Phát hiện nhóm tin tặc nhắm mục tiêu vào Nga và Belarus
Theo phân tích của Kaspersky, Head Mare sử dụng các phương pháp tấn công tinh vi. Điển hình là việc khai thác lỗ hổng CVE-2023-38831 trong WinRAR. Lỗ hổng này cho phép tin tặc thực thi mã độc trên hệ thống của nạn nhân thông qua một tệp nén được chuẩn bị đặc biệt.
Hoạt động từ năm 2023, Head Mare được cho là có liên quan đến xung đột Nga-Ukraine. Nhóm này không chỉ tấn công để gây thiệt hại mà còn sử dụng ransomware LockBit và Babuk để mã hóa dữ liệu và đòi tiền chuộc. Các mục tiêu của chúng bao gồm các tổ chức chính phủ, giao thông, năng lượng, sản xuất và môi trường.
Không giống như các nhóm tin tặc khác có khả năng hoạt động với mục đích gây ra "thiệt hại tối đa" cho các công ty ở hai quốc gia, Head Mare cũng mã hóa các thiết bị của nạn nhân bằng LockBit cho Windows và Babuk cho Linux (ESXi) và yêu cầu tiền chuộc để giải mã dữ liệu.
Ngoài ra, Head Mare còn sử dụng các công cụ độc hại tự phát triển như PhantomDL và PhantomCore để kiểm soát hệ thống nạn nhân từ xa, tải lên và tải xuống dữ liệu, cũng như thực thi các lệnh tùy ý. Chúng còn sử dụng các kỹ thuật tinh vi để che giấu hoạt động, như giả mạo các tác vụ cập nhật của Microsoft và đặt tên các tệp độc hại giống như các ứng dụng phổ biến.
Các cuộc tấn công thường bắt đầu bằng email lừa đảo (phishing) chứa tài liệu có phần mở rộng kép, chẳng hạn như [.]pdf, [.]exe. Khi nạn nhân mở tệp đính kèm, mã độc sẽ được thực thi, cho phép tin tặc xâm nhập vào hệ thống.
Mặc dù sử dụng các chiến thuật tương tự các nhóm tin tặc khác hoạt động trong khu vực, Head Mare nổi bật với việc sử dụng phần mềm độc hại tùy chỉnh và khai thác các lỗ hổng mới.
Phát hiện này một lần nữa nhấn mạnh tầm quan trọng của việc cập nhật phần mềm thường xuyên và cảnh giác với các email lừa đảo. Các chuyên gia khuyến cáo, người dùng và các tổ chức nên thận trọng khi mở các tệp đính kèm từ các nguồn không tin cậy và nên sử dụng các phần mềm bảo mật cập nhật để phát hiện và ngăn chặn các mối đe dọa.
Phong Thu