Microsoft vạch trần chiến thuật lừa đảo lén lút của tin tặc Nga thông qua trò chuyện nhóm của Microsoft

www.tuoitre.vn -   03/08/2023 08:00:00 225

Microsoft hôm thứ Tư tiết lộ rằng họ đã xác định được một loạt các cuộc tấn công kỹ thuật xã hội có mục tiêu cao do một kẻ đe dọa quốc gia-nhà nước Nga thực hiện bằng cách sử dụng mồi nhử lừa đảo đánh cắp thông tin xác thực được gửi dưới dạng cuộc trò chuyện trong Microsoft Teams.

Microsoft vạch trần chiến thuật lừa đảo lén lút của tin tặc Nga thông qua trò chuyện nhóm của Microsoft

Gã khổng lồ công nghệ quy các cuộc tấn công cho một nhóm mà họ theo dõi là Midnight Blizzard (trước đây là Nobelium). Nó còn được gọi là APT29, BlueBravo, Cosy Bear, Iron Hemlock và The Dukes.

Công ty cho biết: “Trong hoạt động mới nhất này, kẻ đe dọa sử dụng các đối tượng thuê Microsoft 365 bị xâm nhập trước đây thuộc sở hữu của các doanh nghiệp nhỏ để tạo các miền mới xuất hiện dưới dạng thực thể hỗ trợ kỹ thuật”.

“Bằng cách sử dụng các miền này từ những người thuê bị xâm nhập, Midnight Blizzard tận dụng các tin nhắn của Nhóm để gửi những lời dụ dỗ nhằm đánh cắp thông tin xác thực từ một tổ chức được nhắm mục tiêu bằng cách thu hút người dùng và yêu cầu phê duyệt lời nhắc xác thực đa yếu tố (MFA).

Microsoft cho biết chiến dịch này, được quan sát ít nhất từ cuối tháng 5 năm 2023, đã ảnh hưởng đến ít hơn 40 tổ chức trên toàn cầu, bao gồm các lĩnh vực chính phủ, tổ chức phi chính phủ (NGO), dịch vụ CNTT, công nghệ, sản xuất rời rạc và truyền thông.

Người ta đã quan sát thấy tác nhân đe dọa sử dụng các kỹ thuật đánh cắp mã thông báo để truy cập ban đầu vào các môi trường được nhắm mục tiêu, bên cạnh các phương pháp khác như lừa đảo xác thực, phun mật khẩu và tấn công vũ phu.

Một dấu hiệu nổi bật khác là việc khai thác môi trường tại chỗ để chuyển sang đám mây sau này cũng như lạm dụng chuỗi tin cậy của nhà cung cấp dịch vụ để giành quyền truy cập vào khách hàng hạ nguồn, như đã thấy trong vụ hack SolarWinds năm 2020.

Trong loạt cuộc tấn công mới có liên quan đến Midnight Blizzard, một tên miền phụ onmicrosoft.com mới được thêm vào một đối tượng thuê trước đó đã bị xâm phạm trong các cuộc tấn công, sau đó tạo một người dùng mới với tên miền phụ đó để bắt đầu yêu cầu trò chuyện Nhóm với các mục tiêu tiềm năng bằng cách giả dạng nhân viên kỹ thuật. người hỗ trợ hoặc nhóm Bảo vệ danh tính của Microsoft.

Microsoft giải thích: “Nếu người dùng mục tiêu chấp nhận yêu cầu tin nhắn, thì người dùng sẽ nhận được tin nhắn Microsoft Teams từ kẻ tấn công đang cố gắng thuyết phục họ nhập mã vào ứng dụng Microsoft Authenticator trên thiết bị di động của họ”.

Nếu nạn nhân làm theo hướng dẫn, kẻ đe dọa sẽ được cấp mã thông báo để xác thực là người dùng mục tiêu, từ đó cho phép chiếm đoạt tài khoản và tiếp tục hoạt động sau xâm phạm.

"Trong một số trường hợp, tác nhân cố gắng thêm một thiết bị vào tổ chức dưới dạng thiết bị được quản lý thông qua Microsoft Entra ID (trước đây là Azure Active Directory), có thể là một nỗ lực nhằm phá vỡ các chính sách truy cập có điều kiện được định cấu hình để hạn chế quyền truy cập vào các tài nguyên cụ thể chỉ đối với các thiết bị được quản lý, "Microsoft cảnh báo.

Những phát hiện này được đưa ra vài ngày sau khi tác nhân đe dọa được cho là thực hiện các cuộc tấn công lừa đảo nhắm vào các tổ chức ngoại giao trên khắp Đông Âu với mục tiêu cung cấp một cửa hậu mới có tên GraphicalProton.

Họ cũng theo dõi việc phát hiện ra một số vectơ tấn công Azure AD (AAD) Connect mới có thể cho phép các tác nhân mạng độc hại tạo ra một cửa sau không thể phát hiện được bằng cách đánh cắp các hàm băm mật mã của mật khẩu bằng cách đưa mã độc vào quy trình đồng bộ hóa hàm băm và chặn thông tin xác thực bằng phương tiện của kẻ thù. - tấn công ở giữa (AitM).

Sygnia cho biết trong một tuyên bố được chia sẻ với The Hacker News: “Ví dụ: những kẻ tấn công có thể tận dụng việc trích xuất băm NT để đảm bảo chúng nhận được mọi thay đổi mật khẩu trong tương lai trong miền”.

"Các tác nhân đe dọa cũng có thể sử dụng [Dịch vụ chứng chỉ Active Directory] để lấy mật khẩu AAD Connector, cũng như đóng vai trò là kẻ trung gian và khởi động các cuộc tấn công chống lại các kênh được mã hóa SSL trong mạng bằng cách khai thác cấu hình sai trong các mẫu chứng chỉ có xác thực máy chủ."

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Đọc nhanh tài liệu Word với tính năng AI...

30/08/2024 12:00:00 45
Một tính năng mới rất hữu ích dành cho người dùng Word, cho phép xử lý các tài liệu dài dễ dàng hơn ...

Google tung bản vá bảo mật khẩn cấp cho ...

29/08/2024 12:00:00 45
Hãykiểm tra xem trình duyệt của mình đã tự động cập nhật lên phiên bản mới nhất chưa bằng cách mở cà...

Phần mềm độc hại Android mới NGate đánh ...

28/08/2024 08:00:00 44
Các nhà nghiên cứu an ninh mạng đã phát hiện ra phần mềm độc hại Android mới có thể chuyển tiếp dữ l...

Thời đại AI lên ngôi, ảnh chụp không hẳn...

28/08/2024 12:00:00 44
Với sự xuất hiện của AI, bất kỳ ai cũng có thể tạo ảnh giả với độ chân thực không kém chuyên gia pho...

Trung tâm siêu dữ liệu đang được Google ...

27/08/2024 12:00:00 32
Lý do khiến Google có thể lựa chọn xây trung tâm dữ liệu tại Việt Nam đến từ việc hãng kiếm được ngà...

Google cảnh báo về lỗ hổng bảo mật CVE-2...

26/08/2024 08:00:00 24
Google đã tiết lộ rằng một lỗ hổng bảo mật đã được vá như một phần của bản cập nhật phần mềm được tu...
Xem thêm

LIÊN HỆ

Thông tin liên hệ