Tấn công kỹ nghệ xã hội
Microsoft cho biết, cuộc điều tra cho thấy chiến dịch đã có ảnh hưởng đến ít nhất 40 tổ chức trên toàn cầu. Các nạn nhân bị nhắm mục tiêu trong hoạt động này có thể chỉ ra các mục tiêu gián điệp cụ thể của APT29 nhắm vào các cơ quan chính phủ, các tổ chức phi chính phủ (NGO), dịch vụ công nghệ thông tin, công ty công nghệ, sản xuất và trong lĩnh vực truyền thông.
Các tin tặc đã sử dụng các tài khoản Microsoft 365 vốn đã bị xâm phạm thuộc sở hữu của các doanh nghiệp nhỏ để tạo ra các tên miền và tài khoản trông giống như hỗ trợ kỹ thuật, để đánh lừa người dùng của các tổ chức được nhắm mục tiêu bằng các chiến thuật kỹ nghệ xã hội. Mục đích của chúng là lôi kéo người dùng Microsoft Teams tham gia các cuộc trò chuyện và yêu cầu họ phê duyệt lời nhắc xác thực đa yếu tố (MFA) để đánh cắp thông tin đăng nhập của họ.
Các tên miền mới được tạo là một phần của tên miền “onmicrosoft.com”, đây là tên miền hợp pháp của Microsoft và được Microsoft 365 tự động sử dụng cho các mục đích dự phòng trong trường hợp tên miền tùy chỉnh không được tạo. Theo các nhà nghiên cứu, các tài khoản được liên kết với các tên miền này sau đó đã gửi tin nhắn lừa đảo để dụ dỗ người dùng thông qua Teams.
Nếu người dùng mục tiêu chấp nhận yêu cầu tin nhắn thì sẽ nhận được thông báo Microsoft Teams từ tin tặc đang cố thuyết phục họ nhập mã vào ứng dụng Microsoft Authenticator trên thiết bị di động. Nếu làm theo hướng dẫn, tin tặc sẽ được cấp mã thông báo để xác thực là người dùng, do đó cho phép chúng chiếm đoạt tài khoản và thực hiện các hoạt động khác sau khi thỏa hiệp thành công.
Tin nhắn lừa đảo của APT29
Vì các thông báo đến từ tên miền onmicrosoft.com hợp pháp nên chúng có thể đã khiến các thông báo hỗ trợ giả mạo của Microsoft trông có vẻ đáng tin cậy. “Trong một số trường hợp, các tin tặc cố gắng thêm một thiết bị vào tổ chức dưới dạng thiết bị được quản lý thông qua Microsoft Entra ID (trước đây là Azure Active Directory), có thể là nỗ lực phá vỡ các chính sách truy cập có điều kiện được cấu hình để chỉ hạn chế quyền truy cập vào các tài nguyên cụ thể đối với các thiết bị được quản lý”, Microsoft cho biết.
Gã khổng lồ công nghệ này báo cáo đã chặn thành công nhóm tin tặc APT29 sử dụng các tên miền trong các cuộc tấn công khác và hiện đang tích cực làm việc để giải quyết và giảm thiểu tác động của chiến dịch.
Nhóm tin tặc tình báo nước ngoài của Nga
Các nhà nghiên cứu của Microsoft cho biết, nhóm tin tặc APT29 đứng sau hoạt động này được biết đến với tên gọi khác là “Midnight Blizzard”, có trụ sở tại Nga và có liên kết với SVR, đã đứng sau cuộc tấn công chuỗi cung ứng SolarWinds dẫn đến những vi phạm của một số cơ quan, tổ chức của Mỹ vào ba năm trước.
Kể từ sự cố đó, nhóm tin tặc này cũng đã thực hiện các cuộc xâm nhập mạng vào các tổ chức khác bằng cách sử dụng phần mềm độc hại tàng hình, bao gồm “TrailBlazer” và một biến thể của backdoor “GoldMax Linux”, cho phép chúng không bị phát hiện trong nhiều năm.
Gần đây hơn, Microsoft đã tiết lộ rằng nhóm tin tặc này đang sử dụng phần mềm độc hại mới có khả năng chiếm quyền kiểm soát dịch vụ Active Directory Federation Services (ADFS) để đăng nhập với tư cách là bất kỳ người dùng nào trong hệ thống Windows. Hơn nữa, chúng đã nhắm mục tiêu đến các tài khoản Microsoft 365 thuộc về các thực thể tại các quốc gia thuộc Tổ chức Hiệp ước Bắc Đại Tây Dương (NATO) như một phần trong nỗ lực giành quyền truy cập vào thông tin liên quan đến các chính sách đối ngoại.
Ngoài ra, APT29 còn đứng sau một loạt các chiến dịch lừa đảo với mục tiêu rõ ràng vào các chính phủ, đại sứ quán và các quan chức cấp cao trên khắp các quốc gia tại châu Âu.
Hồng Đạt
09:00 | 19/07/2023
09:00 | 25/10/2023
08:00 | 06/11/2023
12:00 | 30/06/2022
14:00 | 08/11/2023
14:00 | 22/08/2023
10:00 | 28/09/2022
14:00 | 26/03/2024
Người dùng và các nhà phát triển đã vô tình tiết lộ khoảng 12,8 triệu dữ liệu bí mật và khóa xác thực nhạy cảm trên GitHub vào năm 2023, tăng 28% so với năm 2022.
13:00 | 20/02/2024
Hệ thống thi thử trực tuyến của cuộc thi "Học sinh với an toàn thông tin" mùa thứ ba dự kiến được mở cho học sinh trung học cơ sở cả nước tập dượt từ đầu tháng 3, trước khi bước vào các vòng thi chính thức.
08:00 | 24/01/2024
Chiều 22/01, tại Hà Nội, Bộ Tổng Tham mưu Quân đội nhân dân Việt Nam đã tổ chức Hội nghị ngành Cơ yếu Quân đội triển khai nhiệm vụ năm 2024. Thượng tướng Huỳnh Chiến Thắng, Ủy viên Trung ương Đảng, Phó Tổng Tham mưu trưởng Quân đội nhân dân Việt Nam dự và chỉ đạo Hội nghị.
13:00 | 23/01/2024
Báo cáo mới nhất về chỉ số sẵn sàng trí tuệ nhân tạo toàn cầu cho thấy, Việt Nam đứng thứ 5/10 trong ASEAN, tăng một bậc so với năm trước.
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Apple đang đàm phán để sử dụng công cụ Gemini AI của Google trên iPhone, tạo tiền đề cho một thỏa thuận mang tính đột phá trong ngành công nghiệp AI.
11:00 | 26/04/2024