Microsoft phát hiện kẻ trộm thẻ quà tặng bằng chiến thuật gián điệp mạng

Microsoft đã ra thông báo "Cyber Signals" chia sẻ thông tin mới về nhóm hack Storm-0539 và sự gia tăng mạnh mẽ nạn trộm thẻ quà tặng khi chúng ta sắp đến kỳ nghỉ Lễ Tưởng niệm ở Hoa Kỳ.

FBI trước đó đã cảnh báo về các hoạt động của Storm-0539 (còn gọi là "Ant Lion") vào đầu tháng này, nêu rõ các kỹ thuật tiên tiến của nhóm đe dọa này trong việc thực hiện hành vi trộm cắp và lừa đảo thẻ quà tặng, đồng thời cũng cho biết chiến thuật của họ giống với các tin tặc được nhà nước bảo trợ và các tác nhân gián điệp mạng tinh vi.

Microsoft cảnh báo rằng các tác nhân đe dọa sẽ tăng cường hoạt động trước kỳ nghỉ lễ lớn, chứng kiến hoạt động của Storm-0539 tăng 60% trong kỳ nghỉ đông năm ngoái (Giáng sinh) và mức tăng đáng chú ý là 30% trong khoảng thời gian từ tháng 3 đến tháng 5 năm 2024.

Trong báo cáo Cyber Signals mới phát hành, Microsoft chứng thực rằng các tác nhân đe dọa nhắm mục tiêu vào các tổ chức phát hành thẻ quà tặng thay vì người dùng cuối, đồng thời tiết lộ việc lạm dụng quy mô lớn các nhà cung cấp dịch vụ đám mây cho các hoạt động chi phí thấp.

Hồ sơ và phương thức hoạt động của Storm-0539

Storm-0539 là nhóm đe dọa có động cơ tài chính ở Maroc hoạt động từ năm 2021, chủ yếu tập trung vào các hoạt động gian lận thẻ quà tặng và thẻ thanh toán.

Các tác nhân đe dọa nổi tiếng với việc trinh sát và các tin nhắn lừa đảo qua email và SMS được tạo tùy chỉnh, nhắm mục tiêu vào nhân viên của các tổ chức mục tiêu, điển hình là các tổ chức phát hành thẻ quà tặng.

Lừa đảo qua SMS được gửi tới  nạn nhân

​​​​​​Nguồn: Microsoft



Sau khi giành được quyền truy cập vào môi trường mục tiêu bằng các tài khoản bị đánh cắp, chúng sẽ đăng ký thiết bị của riêng mình với nền tảng xác thực đa yếu tố (MFA) của công ty để duy trì và sau đó di chuyển ngang bằng cách xâm phạm các máy ảo, VPN, SharePoint, OneDrive, Salesforce và Citrix.

Quá trình xâm nhập

Nguồn: Microsoft



Cuối cùng Storm-0539 đã có quyền truy cập vào thông tin xác thực cho phép tạo thẻ quà tặng mới để đổi trên các thị trường web đen, trong cửa hàng hoặc bằng cách đổi tiền bằng cách sử dụng con la tiền (money mule). 

"Thông thường, các tổ chức đặt giới hạn về giá trị tiền mặt có thể được cấp cho một thẻ quà tặng riêng lẻ. Ví dụ: nếu giới hạn đó là 100.000 USD, kẻ đe dọa sẽ phát hành một thẻ có giá 99.000 USD sau đó tự gửi mã thẻ quà tặng và kiếm tiền từ chúng, " giải thích về báo cáo Tín hiệu mạng của Microsoft.

“Động cơ chính của chúng là đánh cắp thẻ quà tặng và kiếm lợi nhuận bằng cách bán chúng trực tuyến với mức giá chiết khấu.”

“Chúng tôi đã thấy một số ví dụ trong đó kẻ đe dọa đã đánh cắp tới 100.000 USD mỗi ngày tại một số công ty.”

Để tạo cơ sở hạ tầng mới cho các cuộc tấn công của mình, kẻ tấn công tạo ra các trang web mạo danh các tổ chức phi lợi nhuận, được sử dụng để đăng ký với các nhà cung cấp dịch vụ đám mây. Những tài khoản này tham gia các cấp độ "trả tiền khi bạn sử dụng" hoặc "dùng thử miễn phí", chúng lạm dụng các cấp độ này trong các hoạt động quy mô lớn với chi phí thấp hoặc miễn phí.

Microsoft giải thích: “Khả năng trinh sát và tận dụng môi trường đám mây của Storm-0539 tương tự như những gì Microsoft quan sát được từ các tác nhân đe dọa do nhà nước bảo trợ, cho thấy các kỹ thuật được phổ biến bởi các đối thủ tập trung vào hoạt động gián điệp và địa chính trị hiện đang ảnh hưởng đến bọn tội phạm có động cơ tài chính”.

Tổng quan về chuỗi tấn công Storm-0539

Nguồn: Microsoft