Microsoft vạch trần chiến thuật lừa đảo lén lút của tin tặc Nga thông qua trò chuyện nhóm của Microsoft

www.tuoitre.vn -   03/08/2023 08:00:00 175

Microsoft hôm thứ Tư tiết lộ rằng họ đã xác định được một loạt các cuộc tấn công kỹ thuật xã hội có mục tiêu cao do một kẻ đe dọa quốc gia-nhà nước Nga thực hiện bằng cách sử dụng mồi nhử lừa đảo đánh cắp thông tin xác thực được gửi dưới dạng cuộc trò chuyện trong Microsoft Teams.

Microsoft vạch trần chiến thuật lừa đảo lén lút của tin tặc Nga thông qua trò chuyện nhóm của Microsoft

Gã khổng lồ công nghệ quy các cuộc tấn công cho một nhóm mà họ theo dõi là Midnight Blizzard (trước đây là Nobelium). Nó còn được gọi là APT29, BlueBravo, Cosy Bear, Iron Hemlock và The Dukes.

Công ty cho biết: “Trong hoạt động mới nhất này, kẻ đe dọa sử dụng các đối tượng thuê Microsoft 365 bị xâm nhập trước đây thuộc sở hữu của các doanh nghiệp nhỏ để tạo các miền mới xuất hiện dưới dạng thực thể hỗ trợ kỹ thuật”.

“Bằng cách sử dụng các miền này từ những người thuê bị xâm nhập, Midnight Blizzard tận dụng các tin nhắn của Nhóm để gửi những lời dụ dỗ nhằm đánh cắp thông tin xác thực từ một tổ chức được nhắm mục tiêu bằng cách thu hút người dùng và yêu cầu phê duyệt lời nhắc xác thực đa yếu tố (MFA).

Microsoft cho biết chiến dịch này, được quan sát ít nhất từ cuối tháng 5 năm 2023, đã ảnh hưởng đến ít hơn 40 tổ chức trên toàn cầu, bao gồm các lĩnh vực chính phủ, tổ chức phi chính phủ (NGO), dịch vụ CNTT, công nghệ, sản xuất rời rạc và truyền thông.

Người ta đã quan sát thấy tác nhân đe dọa sử dụng các kỹ thuật đánh cắp mã thông báo để truy cập ban đầu vào các môi trường được nhắm mục tiêu, bên cạnh các phương pháp khác như lừa đảo xác thực, phun mật khẩu và tấn công vũ phu.

Một dấu hiệu nổi bật khác là việc khai thác môi trường tại chỗ để chuyển sang đám mây sau này cũng như lạm dụng chuỗi tin cậy của nhà cung cấp dịch vụ để giành quyền truy cập vào khách hàng hạ nguồn, như đã thấy trong vụ hack SolarWinds năm 2020.

Trong loạt cuộc tấn công mới có liên quan đến Midnight Blizzard, một tên miền phụ onmicrosoft.com mới được thêm vào một đối tượng thuê trước đó đã bị xâm phạm trong các cuộc tấn công, sau đó tạo một người dùng mới với tên miền phụ đó để bắt đầu yêu cầu trò chuyện Nhóm với các mục tiêu tiềm năng bằng cách giả dạng nhân viên kỹ thuật. người hỗ trợ hoặc nhóm Bảo vệ danh tính của Microsoft.

Microsoft giải thích: “Nếu người dùng mục tiêu chấp nhận yêu cầu tin nhắn, thì người dùng sẽ nhận được tin nhắn Microsoft Teams từ kẻ tấn công đang cố gắng thuyết phục họ nhập mã vào ứng dụng Microsoft Authenticator trên thiết bị di động của họ”.

Nếu nạn nhân làm theo hướng dẫn, kẻ đe dọa sẽ được cấp mã thông báo để xác thực là người dùng mục tiêu, từ đó cho phép chiếm đoạt tài khoản và tiếp tục hoạt động sau xâm phạm.

"Trong một số trường hợp, tác nhân cố gắng thêm một thiết bị vào tổ chức dưới dạng thiết bị được quản lý thông qua Microsoft Entra ID (trước đây là Azure Active Directory), có thể là một nỗ lực nhằm phá vỡ các chính sách truy cập có điều kiện được định cấu hình để hạn chế quyền truy cập vào các tài nguyên cụ thể chỉ đối với các thiết bị được quản lý, "Microsoft cảnh báo.

Những phát hiện này được đưa ra vài ngày sau khi tác nhân đe dọa được cho là thực hiện các cuộc tấn công lừa đảo nhắm vào các tổ chức ngoại giao trên khắp Đông Âu với mục tiêu cung cấp một cửa hậu mới có tên GraphicalProton.

Họ cũng theo dõi việc phát hiện ra một số vectơ tấn công Azure AD (AAD) Connect mới có thể cho phép các tác nhân mạng độc hại tạo ra một cửa sau không thể phát hiện được bằng cách đánh cắp các hàm băm mật mã của mật khẩu bằng cách đưa mã độc vào quy trình đồng bộ hóa hàm băm và chặn thông tin xác thực bằng phương tiện của kẻ thù. - tấn công ở giữa (AitM).

Sygnia cho biết trong một tuyên bố được chia sẻ với The Hacker News: “Ví dụ: những kẻ tấn công có thể tận dụng việc trích xuất băm NT để đảm bảo chúng nhận được mọi thay đổi mật khẩu trong tương lai trong miền”.

"Các tác nhân đe dọa cũng có thể sử dụng [Dịch vụ chứng chỉ Active Directory] để lấy mật khẩu AAD Connector, cũng như đóng vai trò là kẻ trung gian và khởi động các cuộc tấn công chống lại các kênh được mã hóa SSL trong mạng bằng cách khai thác cấu hình sai trong các mẫu chứng chỉ có xác thực máy chủ."

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Hội nghị đại lý “Let’s go Next: cybersec...

09/05/2024 10:00:00 188
Chiều ngày 7/5, Kaspersky đã có buổi hội nghị đại lý “Let’s go Next: cybersecurity redefined” tại So...

Họp báo ra mắt dòng sản phẩm chủ lực mới...

09/05/2024 09:00:00 133
Ngày 7/5, Kaspersky tự hào ra mắt giải pháp XDR tiên tiến Kaspersky Next, đồng thời chuyển đổi toàn ...

Google đã ngăn chặn 2,28 triệu ứng dụng ...

29/04/2024 08:00:00 262
Google hôm thứ Hai tiết lộ rằng gần 200.000 ứng dụng gửi tới Play Store dành cho Android đã bị từ ch...

Nhiều ứng dụng AI bị Apple gỡ khỏi App S...

29/04/2024 12:00:00 252
Apple đang tiến hành xử lý một danh mục ứng dụng tạo hình ảnh AI “quảng cáo khả năng tạo ra hình ảnh...

Để kiếm tiền từ Generative AI, các hãng ...

26/04/2024 12:00:00 287
Chi phí đằng sau Generative AI thực sự khá cao, vì nó đòi hỏi nhiều sức mạnh xử lý để đào tạo và vận...

Lỗ hổng bảo mật lớn phơi bày thao tác gõ...

25/04/2024 08:00:00 149
Các lỗ hổng bảo mật được phát hiện trong các ứng dụng bàn phím bính âm dựa trên đám mây có thể bị kh...
Xem thêm

LIÊN HỆ

Thông tin liên hệ