Midnight Blizzard, một băng cướp biển có liên hệ với Nga hiện đang thực hiện một loạt các cuộc tấn công mạng ở châu Âu. Theo các nhà nghiên cứu của Check Point, tội phạm mạng đang sử dụng một loại vi-rút mới có tên GrapeLoader, như một phần của chiến dịch lừa đảo quy mô lớn nhằm vào các tổ chức ngoại giao châu Âu.
Được cho là hợp tác với các cơ quan tình báo Nga, băng nhóm này được biết đến là đã từng tấn công vào HPE (Hewlett Packard Enterprise), các nhà ngoại giao Pháp cũng như SolarWinds trong quá khứ. Năm ngoái, Midnight Blizzard cũng đã xâm nhập vào hệ thống của Microsoft để hack tài khoản email của một số giám đốc điều hành của công ty này. Tin tặc có thể theo dõi các thông tin liên lạc nhạy cảm của các quan chức. Ngay sau đó, băng nhóm này đã xâm nhập vào cơ sở hạ tầng của TeamViewer, một trong những phần mềm giám sát quan trọng nhất trên thế giới. khoảng cách.
Phần mềm độc hại này sẽ triển khai một cửa hậu có tên là WineLoader. Sau đó, cửa sau sẽ tiếp quản và lấy đi toàn bộ dữ liệu có sẵn trên máy, chẳng hạn như địa chỉ IP của máy tính, tên tiến trình đang chạy, người dùng Windows, tên máy tính và cấp độ đặc quyền. Theo giải thích của Check Point, tin tặc Nga đang sử dụng phiên bản mới hơn, bí mật hơn của WineLoader. Bằng cách kết hợp các công cụ tội phạm mới này, Midnight Blizzard đã phát triển một cuộc tấn công lén lút có khả năng vượt qua nhiều cơ chế bảo mật.
Một số nhóm tội phạm có liên hệ với Nga đã dàn dựng các hoạt động gián điệp mạng ở Châu Âu trong nhiều năm. Ngoài Midnight Blizzard, các băng nhóm như Sandworm và Winter Vivern còn thực hiện các cuộc tấn công mạng tinh vi vào cơ sở hạ tầng quan trọng, đặc biệt là trong lĩnh vực năng lượng hoặc vào các tổ chức chính phủ và quân đội ở châu Âu.
Các nhóm này hoạt động bằng các phương tiện kỹ thuật tiên tiến do các cơ quan tình báo Nga cung cấp, với mục đích đánh cắp dữ liệu mật. Mục tiêu của tin tặc ngày càng đa dạng. Ngày càng có nhiều bộ, bệnh viện, tổ chức, cũng như các nhà báo, nhà nghiên cứu và tổ chức phi chính phủ. Cùng lúc đó, Nga bị cáo buộc là đã chỉ đạo các hoạt động phát tán thông tin sai lệch. chiến dịch lừa đảo quy mô lớn nhằm mục đích làm mất ổn định các nền dân chủ phương Tây.
Nguồn: Check Point
Được cho là hợp tác với các cơ quan tình báo Nga, băng nhóm này được biết đến là đã từng tấn công vào HPE (Hewlett Packard Enterprise), các nhà ngoại giao Pháp cũng như SolarWinds trong quá khứ. Năm ngoái, Midnight Blizzard cũng đã xâm nhập vào hệ thống của Microsoft để hack tài khoản email của một số giám đốc điều hành của công ty này. Tin tặc có thể theo dõi các thông tin liên lạc nhạy cảm của các quan chức. Ngay sau đó, băng nhóm này đã xâm nhập vào cơ sở hạ tầng của TeamViewer, một trong những phần mềm giám sát quan trọng nhất trên thế giới. khoảng cách.
Sự kết hợp của các loại vi-rút mới
Để bẫy các nhà ngoại giao châu Âu, tin tặc bắt đầu bằng cách lấy cắp danh tính của Bộ Ngoại giao. Bằng cách giả mạo là bộ này, tin tặc sẽ gửi email tới mục tiêu. Email này có lời mời tham gia buổi nếm thử rượu vang. Để xác nhận sự hiện diện của mình, mục tiêu được mời: nhấp vào liên kết độc hại. Thao tác này sẽ kích hoạt việc tải xuống và cài đặt tệp ZIP. Các giai đoạn đầu của cuộc tấn công thường giống với các cuộc tấn công lừa đảo. Kho lưu trữ này chứa phần mềm độc hại GrapeLoader. Đây là một trình tải, một phần mềm độc hại được thiết kế riêng để cài đặt các loại vi-rút khác vào máy tính bị nhiễm.Phần mềm độc hại này sẽ triển khai một cửa hậu có tên là WineLoader. Sau đó, cửa sau sẽ tiếp quản và lấy đi toàn bộ dữ liệu có sẵn trên máy, chẳng hạn như địa chỉ IP của máy tính, tên tiến trình đang chạy, người dùng Windows, tên máy tính và cấp độ đặc quyền. Theo giải thích của Check Point, tin tặc Nga đang sử dụng phiên bản mới hơn, bí mật hơn của WineLoader. Bằng cách kết hợp các công cụ tội phạm mới này, Midnight Blizzard đã phát triển một cuộc tấn công lén lút có khả năng vượt qua nhiều cơ chế bảo mật.
Các cuộc tấn công đang diễn ra kể từ tháng 1 năm 2025
Trong báo cáo của mình, Check Point nêu rõ rằng băng nhóm này đang nhắm mục tiêu vào các chính phủ, bao gồm "đại sứ quán của các quốc gia không thuộc châu Âu có trụ sở tại châu Âu". "Các nhà ngoại giao có trụ sở tại Trung Đông" cũng đã bị nhắm tới. Làn sóng tấn công bắt đầu vào tháng 1 năm 2025.Một số nhóm tội phạm có liên hệ với Nga đã dàn dựng các hoạt động gián điệp mạng ở Châu Âu trong nhiều năm. Ngoài Midnight Blizzard, các băng nhóm như Sandworm và Winter Vivern còn thực hiện các cuộc tấn công mạng tinh vi vào cơ sở hạ tầng quan trọng, đặc biệt là trong lĩnh vực năng lượng hoặc vào các tổ chức chính phủ và quân đội ở châu Âu.
Các nhóm này hoạt động bằng các phương tiện kỹ thuật tiên tiến do các cơ quan tình báo Nga cung cấp, với mục đích đánh cắp dữ liệu mật. Mục tiêu của tin tặc ngày càng đa dạng. Ngày càng có nhiều bộ, bệnh viện, tổ chức, cũng như các nhà báo, nhà nghiên cứu và tổ chức phi chính phủ. Cùng lúc đó, Nga bị cáo buộc là đã chỉ đạo các hoạt động phát tán thông tin sai lệch. chiến dịch lừa đảo quy mô lớn nhằm mục đích làm mất ổn định các nền dân chủ phương Tây.
Nguồn: Check Point