Microsoft cảnh báo về các cuộc tấn công đánh cắp thông tin xác thực trên diện rộng của tin tặc Nga

www.tuoitre.vn -   26/06/2023 08:00:00 421

Microsoft đã tiết lộ rằng họ đã phát hiện thấy sự gia tăng đột biến trong các cuộc tấn công đánh cắp thông tin xác thực do nhóm tin tặc liên kết với nhà nước Nga có tên là Midnight Blizzard thực hiện.

Microsoft cảnh báo về các cuộc tấn công đánh cắp thông tin xác thực trên diện rộng của tin tặc Nga

Nhóm tình báo mối đe dọa của gã khổng lồ công nghệ cho biết, các cuộc xâm nhập sử dụng dịch vụ proxy dân cư để làm xáo trộn địa chỉ IP nguồn của các cuộc tấn công, nhằm vào các chính phủ, nhà cung cấp dịch vụ CNTT, tổ chức phi chính phủ, quốc phòng và các lĩnh vực sản xuất quan trọng.

Midnight Blizzard, trước đây gọi là Nobelium, cũng được theo dõi dưới các biệt danh APT29, Cozy Bear, Iron Hemlock và The Dukes.

Nhóm đã thu hút sự chú ý trên toàn thế giới vì thỏa hiệp chuỗi cung ứng SolarWinds vào tháng 12 năm 2020, đã tiếp tục dựa vào công cụ vô hình trong các cuộc tấn công có chủ đích nhằm vào các bộ ngoại giao và tổ chức ngoại giao.

Đó là dấu hiệu cho thấy họ quyết tâm duy trì hoạt động của mình như thế nào mặc dù bị lộ, điều này khiến họ trở thành một nhân tố đặc biệt đáng gờm trong lĩnh vực gián điệp.

"Các cuộc tấn công thông tin xác thực này sử dụng nhiều kỹ thuật đánh cắp mật khẩu, brute-force và đánh cắp mã thông báo", Microsoft cho biết trong một loạt các tweet, đồng thời cho biết thêm rằng kẻ tấn công "cũng đã tiến hành các cuộc tấn công phát lại phiên để có quyền truy cập ban đầu vào tài nguyên đám mây, tận dụng các phiên bị đánh cắp có khả năng có được thông qua bán hàng bất hợp pháp."

Gã khổng lồ công nghệ này còn chỉ trích APT29 về việc sử dụng các dịch vụ proxy dân cư để định tuyến lưu lượng truy cập độc hại nhằm cố gắng làm xáo trộn các kết nối được thực hiện bằng thông tin xác thực bị xâm phạm.

Nhà sản xuất Windows cho biết: “Tác nhân đe dọa có thể đã sử dụng các địa chỉ IP này trong thời gian rất ngắn, điều này có thể khiến việc xác định phạm vi và khắc phục trở nên khó khăn”.

Diễn biến này diễn ra khi Recorded Future trình bày chi tiết về một chiến dịch lừa đảo trực tuyến mới do APT28 (còn gọi là BlueDelta, Forest Blizzard, FROZENLAKE, Iron Twilight và Fancy Bear) dàn dựng nhằm vào các tổ chức chính phủ và quân đội ở Ukraine kể từ tháng 11 năm 2021.

Các cuộc tấn công đã tận dụng các email có tệp đính kèm khai thác nhiều lỗ hổng trong phần mềm webmail Roundcube mã nguồn mở (CVE-2020-12641, CVE-2020-35730 và CVE-2021-44026) để tiến hành trinh sát và thu thập dữ liệu.

Một vi phạm thành công đã cho phép tin tặc tình báo quân sự Nga triển khai phần mềm độc hại JavaScript giả mạo chuyển hướng email đến của các cá nhân được nhắm mục tiêu đến địa chỉ email dưới sự kiểm soát của kẻ tấn công cũng như đánh cắp danh sách liên hệ của họ.

Công ty an ninh mạng cho biết: “Chiến dịch đã thể hiện mức độ chuẩn bị cao, nhanh chóng vũ khí hóa nội dung tin tức thành mồi nhử để khai thác người nhận”. "Các email lừa đảo có chủ đề tin tức liên quan đến Ukraine, với dòng chủ đề và nội dung phản ánh các nguồn truyền thông hợp pháp."

Quan trọng hơn, hoạt động này được cho là ăn khớp với một loạt các cuộc tấn công khác vũ khí hóa lỗ hổng zero-day trong Microsoft Outlook (CVE-2023-23397) mà Microsoft tiết lộ là do các tác nhân đe dọa có trụ sở tại Nga sử dụng trong "các cuộc tấn công có mục tiêu hạn chế" chống lại các tổ chức châu Âu.

Lỗ hổng leo thang đặc quyền đã được xử lý như một phần của bản cập nhật Bản vá Thứ Ba được tung ra vào tháng 3 năm 2023.

Phát hiện này cho thấy những nỗ lực bền bỉ của các tác nhân đe dọa Nga trong việc thu thập thông tin tình báo có giá trị về các thực thể khác nhau ở Ukraine và khắp châu Âu, đặc biệt là sau cuộc xâm lược toàn diện vào quốc gia này vào tháng 2 năm 2022.

Các hoạt động chiến tranh mạng nhằm vào các mục tiêu Ukraine đã được đánh dấu đáng chú ý bằng việc triển khai rộng rãi phần mềm độc hại wiper được thiết kế để xóa và hủy dữ liệu, biến nó thành một trong những trường hợp sớm nhất của xung đột hỗn hợp quy mô lớn.

"BlueDelta gần như chắc chắn sẽ tiếp tục ưu tiên nhắm mục tiêu vào các tổ chức chính phủ và khu vực tư nhân Ukraine để hỗ trợ các nỗ lực quân sự rộng lớn hơn của Nga," Recorded Future kết luận.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Liệu công cụ kiểm tra nội dung AI có đán...

03/10/2024 12:00:00 45
Trên thực tế, công cụ kiểm tra nội dung AI không phải lúc nào cũng đáng tin cậy và các ví dụ sau đây...

Công cụ AI tạo sinh được bổ sung thêm tr...

02/10/2024 12:00:00 49
Với bản nâng cấp cho Microsoft Paint, người dùng rất háo hức muốn xem chất lượng hình ảnh mọi người ...

Máy tính liên tục khởi động lại vì bản c...

01/10/2024 12:00:00 44
Máy tính gặp sự cố sẽ xuất hiện lỗi màu xanh lam hoặc xanh lục, đôi khi xuất hiện công cụ Windows Au...

Lỗ hổng ChatGPT macOS có thể kích hoạt p...

30/09/2024 08:00:00 70
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể khiến kẻ...

Phát hiện lỗi lạ gây ra hiệu suất thiếu ...

30/09/2024 12:00:00 40
Trong thời gian sớm nhất, bản cập nhật mới sẽ được phát hành ra công chúng.

Mozilla đối mặt với ​​khiếu nại về quyền...

27/09/2024 08:00:00 79
Tổ chức phi lợi nhuận về quyền riêng tư noyb (viết tắt của None Of Your Business) có trụ sở tại Vien...
Xem thêm

LIÊN HỆ

Thông tin liên hệ