Nhóm xâm nhập Calisto, một tập hợp các mối đe dọa mạng tinh vi được cho là liên kết với Center 18 của FSB Nga, tiếp tục triển khai các chiến dịch gián điệp mạng nhắm vào các tổ chức phương Tây thông qua chiến thuật phishing nâng cao.

Sự dai dẳng và khả năng thích ứng của Calisto tạo ra một mối đe dọa mạng đáng kể, yêu cầu các tổ chức phải tăng cường khả năng phòng thủ chống lại các cuộc tấn công mạng có chủ đích.

Calisto – Mối Đe Dọa Gián Điệp Bền Bỉ

Calisto đã nổi lên như một mối đe dọa mạng dai dẳng, tập trung vào các thực thể nghiên cứu thuộc NATO và các tổ chức chiến lược.

Nhóm này không ngừng mở rộng phạm vi tấn công, bao gồm cả các tổ chức phi chính phủ (NGO) và các viện nghiên cứu (think tanks). Các quốc gia ủng hộ Ukraine và các quốc gia Đông Âu là mục tiêu chính của Calisto, phản ánh sự điều chỉnh mục tiêu dựa trên bối cảnh địa chính trị.

Các hoạt động của nhóm này nhằm mục đích đánh cắp dữ liệu nhạy cảm và thông tin tình báo thông qua các chiến thuật tấn công mạng tinh vi.

Chiến Thuật Social Engineering và Spear-Phishing

Các chiến dịch của Calisto khai thác mạnh mẽ kỹ thuật social engineering kết hợp với phương pháp ClickFix. Đây là một chiến thuật lừa đảo tinh vi nhằm thao túng người dùng để thực hiện các hành động có thể xâm phạm an ninh hệ thống.

Các cuộc tấn công mạng này thường bắt đầu bằng email spear-phishing được soạn thảo tỉ mỉ, mạo danh các liên hệ đáng tin cậy. Mục tiêu là lợi dụng tâm lý để lừa nạn nhân tải xuống các tệp độc hại hoặc truy cập vào cơ sở hạ tầng đã bị xâm nhập mạng.

Phương Pháp Tiếp Cận Đa Giai Đoạn

Các nhà phân tích bảo mật từ Sekoia đã phát hiện phần mềm độc hại của Calisto sau khi quan sát các cuộc tấn công mạng phối hợp nhắm vào các mục tiêu giá trị cao, thường sử dụng email mồi nhử với nội dung khéo léo.

Ví dụ, email giả mạo có thể thiếu tệp đính kèm hoặc chứa tệp PDF bị hỏng, kích thích nạn nhân yêu cầu gửi lại. Khi nạn nhân bắt đầu tương tác, kẻ tấn công sẽ gửi tải trọng độc hại thông qua các liên kết chuyển hướng được lưu trữ trên các trang web đã bị xâm nhập.

Chiến lược đa giai đoạn này không chỉ tăng độ tin cậy của cuộc tấn công mà còn giúp duy trì tính an toàn trong hoạt động của kẻ tấn công. Để hiểu rõ hơn về cách thức hoạt động này, bạn có thể tham khảo báo cáo chi tiết của Sekoia về các chiến dịch của Calisto.

Cơ Sở Hạ Tầng Kỹ Thuật và Chuỗi Tấn Công

Phân tích cơ sở hạ tầng của Calisto cho thấy các chuỗi tấn công phức tạp. Các bộ chuyển hướng phishing sử dụng các tập lệnh PHP được triển khai trên các máy chủ bị xâm nhập.

Những tập lệnh này chấp nhận các tham số token thông qua yêu cầu GET, mô phỏng các mã theo dõi tiêu chuẩn. Khi được kích hoạt, một đoạn JavaScript độc hại sẽ chuyển hướng người dùng đến các cổng thu thập thông tin xác thực. Đây là một bước quan trọng trong quá trình đánh cắp dữ liệu của nạn nhân.

Phishing Kit Tùy Chỉnh và Adversary-in-the-Middle

Bộ phishing kit tùy chỉnh, được lưu trữ trên account.simpleasip[.]org, nhắm mục tiêu cụ thể vào tài khoản ProtonMail bằng kỹ thuật Adversary-in-the-Middle.

Giao diện này tiêm mã JavaScript độc hại duy trì tiêu điểm con trỏ bắt buộc trên các trường mật khẩu cứ sau 250 mili giây, ngăn chặn người dùng điều hướng.

Khi người dùng nhập thông tin xác thực, mã được tiêm sẽ tương tác với các API do kẻ tấn công kiểm soát, đặt tại scorelikelygateway.simLeasip[.]org. Thông tin xác thực bị đánh cắp dữ liệu sẽ được chuyển tiếp.

Đồng thời, các lời nhắc CAPTCHA và xác thực hai yếu tố (2FA) có vẻ hợp pháp vẫn được hiển thị để duy trì sự lừa dối. Sau khi thu thập thành công, phishing kit cố gắng tìm nạp các điểm cuối hợp lệ từ cơ sở hạ tầng ProtonMail nhằm duy trì vẻ ngoài hoạt động bình thường, tránh bị phát hiện là một mối đe dọa mạng.

Chỉ Số Thỏa Hiệp (IOCs) và Kỹ Thuật Che Dấu

Kẻ tấn công sử dụng các dịch vụ proxy để che giấu nguồn gốc của các cuộc tấn công mạng. Nhật ký cho thấy truy cập từ một địa chỉ IP cụ thể liên quan đến dịch vụ Big Mama Proxy.

Sự tinh vi trong cơ sở hạ tầng của Calisto cho thấy sự tiến hóa liên tục của các mẫu tấn công và nỗ lực che giấu dấu vết, khiến việc theo dõi các mối đe dọa mạng trở nên thách thức.

Indicators of Compromise (IOCs)

Các chỉ số thỏa hiệp (IOCs) được liên kết với các chiến dịch của Calisto bao gồm:

• Tên miền lừa đảo (Phishing Domains):
  • account.simpleasip[.]org
  • scorelikelygateway.simLeasip[.]org
• Địa chỉ IP:
  • 196.44.117[.]196 (Liên quan đến dịch vụ Big Mama Proxy)

Các tổ chức nên cấu hình hệ thống phát hiện xâm nhập (IDS) và tường lửa để chặn lưu lượng truy cập từ các chỉ số này, nhằm giảm thiểu nguy cơ bị xâm nhập mạng và đánh cắp dữ liệu.

Đăng Ký Tên Miền và Evasion

Calisto sử dụng nhiều nhà đăng ký tên miền khác nhau để triển khai các chiến dịch phishing của mình. Ban đầu, nhóm này dùng Regway, sau đó chuyển sang các máy chủ định danh miễn phí và tiêu chuẩn của Namecheap.

Chiến thuật này gây khó khăn cho các nhà phân tích threat intelligence trong việc theo dõi liên tục các hoạt động độc hại, mặc dù họ vẫn có thể theo dõi và đối chiếu các chiến dịch tấn công với độ tin cậy trung bình.

Phòng Chống và Biện Pháp Bảo Mật Khuyến Nghị

Mặc dù đã có nhiều thông tin công khai về các chiến dịch của Calisto, nhóm này vẫn tiếp tục mở rộng hoạt động phishing nhắm vào các mục tiêu liên quan đến Ukraine.

Các tổ chức nhân đạo, các nhóm vận động tự do báo chí và các viện nghiên cứu chiến lược vẫn là mục tiêu chính. Để giảm thiểu rủi ro từ các mối đe dọa mạng này, các tổ chức cần tăng cường nhận thức về an ninh mạng cho toàn bộ nhân viên, đặc biệt là về các kỹ thuật social engineering và phishing tinh vi để phòng tránh các cuộc tấn công mạng.

Các Biện Pháp Bảo Mật Thiết Yếu

Để giảm thiểu rủi ro từ các cuộc tấn công mạng của Calisto và các nhóm tương tự, các tổ chức nên thực hiện các biện pháp sau:

• Triển khai xác thực đa yếu tố (MFA) cho tất cả các tài khoản người dùng, đặc biệt là các dịch vụ email và hệ thống nhạy cảm.
• Thực hiện các chương trình đào tạo nâng cao nhận thức về an ninh mạng thường xuyên để giúp nhân viên nhận diện và báo cáo các email phishing và dấu hiệu xâm nhập mạng.
• Sử dụng các giải pháp bảo mật email tiên tiến có khả năng lọc và phát hiện các email độc hại.
• Giám sát mạng liên tục để phát hiện các hoạt động bất thường hoặc truy cập vào các tên miền và địa chỉ IP đáng ngờ liên quan đến mối đe dọa mạng.
• Đảm bảo tất cả hệ thống và ứng dụng được cập nhật bản vá bảo mật mới nhất và được cấu hình an toàn.