“Động cơ chính của họ là đánh cắp thẻ quà tặng và kiếm lợi nhuận bằng cách bán chúng trực tuyến với mức giá chiết khấu”, Microsoft cho biết trong báo cáo Mối đe dọa mạng mới nhất (Cyber Signals). “Chúng tôi đã phát hiện một số trường hợp trong đó kẻ đe dọa đã đánh cắp tới 100.000 USD mỗi ngày tại một số công ty.”
Storm-0539, còn được gọi là Atlas Lion và hoạt động ít nhất từ cuối năm 2021, gây chú ý kể từ giữa tháng 12 năm 2023, được liên kết với các chiến dịch kỹ thuật xã hội (social engineering) nhằm đánh cắp thông tin xác thực và session token của nạn nhân thông qua các trang lừa đảo.
Nhóm này sau đó lạm dụng quyền truy cập ban đầu để đăng ký thiết bị của riêng chúng nhằm vượt qua kiểm tra xác thực và giành được quyền truy cập lâu dài, cũng như leo thang quyền và xâm phạm các dịch vụ liên quan đến thẻ quà tặng bằng cách tạo ra các thẻ quà tặng giả mạo được dùng cho mục đích gian lận.
Các chuỗi tấn công được thiết kế tinh vi để giành quyền truy cập lén lút vào môi trường cloud của nạn nhân, cho phép kẻ đe dọa thực hiện do thám trên diện rộng và lạm dụng cơ sở hạ tầng để đạt được mục đích của chúng. Mục tiêu của chiến dịch bao gồm các nhà bán lẻ lớn, các thương hiệu cao cấp và các nhà hàng thức ăn nhanh nổi tiếng.
Mục tiêu cuối cùng của hoạt động là đổi giá trị liên quan đến những thẻ đó, bán thẻ quà tặng cho các tác nhân đe dọa khác trên thị trường chợ đen hoặc sử dụng những kẻ vận chuyển tiền (money mules) để đổi thẻ quà tặng.
Microsoft cho biết hoạt động xâm nhập của Storm-0539 đã tăng 30% trong khoảng thời gian từ tháng 3 đến tháng 5 năm 2024.
Đầu tháng này, Cục Điều tra Liên bang Hoa Kỳ (FBI) đã đưa ra cảnh báo về các cuộc tấn công giả mạo do nhóm nhắm vào bộ phận thẻ quà tặng của các tập đoàn bán lẻ bằng cách sử dụng công cụ lừa đảo tinh vi để vượt qua xác thực đa yếu tố (MFA).
FBI cho biết: “Trong một trường hợp, một công ty đã phát hiện hoạt động gian lận thẻ quà tặng của Storm-0539 trong hệ thống của họ và tiến hành các thay đổi để ngăn chặn hành vi gian lận”.
"Storm-0539 tiếp tục tấn công và giành lại quyền truy cập vào hệ thống của công ty. Sau đó, những kẻ tấn công thay đổi phương thức để xác định các thẻ quà tặng chưa được đổi và thay đổi địa chỉ email liên quan thành địa chỉ do Storm-0539 kiểm soát để đổi thẻ quà tặng."
Điều đáng chú ý là hoạt động của chúng không chỉ đánh cắp thông tin đăng nhập của nhân viên bộ phận thẻ quà tặng, mà còn lấy cắp mật khẩu và khóa (key) SSH, thông tin này có thể được bán để thu lợi tài chính hoặc sử dụng cho các cuộc tấn công tiếp theo.
Ngoài ra, Storm-0539 còn sử dụng danh sách gửi thư hợp pháp của công ty nội bộ để phát tán các tin nhắn lừa đảo sau khi giành được quyền truy cập ban đầu, làm tăng thêm tính xác thực cho các cuộc tấn công.
Các công ty phát hành thẻ quà tặng cần chủ động theo dõi, giám sát các thông tin đăng nhập đáng ngờ vì họ có thể đã/ đang bị nhắm mục tiêu trong các cuộc tấn công gian lận thẻ.
Microsoft lưu ý: “Các tổ chức cũng nên xem xét việc bổ sung MFA với các chính sách truy cập có điều kiện trong đó các yêu cầu xác thực được đánh giá bằng cách sử dụng các thông tin bổ sung dựa trên danh tính như thông tin vị trí địa chỉ IP hoặc trạng thái thiết bị,…”.