Nhóm tin tặc của GRU
Nhóm tin tặc APT28 được xác định là một phần của Cơ quan Tình báo quân đội Nga (GRU), gần đây có liên quan đến việc khai thác lỗi CVE-2023-38831, lỗ hổng thực thi mã từ xa trong WinRAR và CVE-2023-23397, lỗ hổng nâng cao đặc quyền zero-day trong Microsoft Outlook.
APT28 cũng có liên quan đến một cuộc tấn công mạng nhằm vào nhà cung cấp thông tin vệ tinh Viasat của Mỹ và một cuộc tấn công nhằm vào cơ sở năng lượng quan trọng của Ukraine.
Các tin tặc Nga đã xâm phạm các thiết bị ngoại vi trên các hệ thống mạng quan trọng của các cơ quan, tổ chức, doanh nghiệp Pháp và không còn sử dụng các backdoor để tránh bị phát hiện.
Trinh sát mạng và điểm truy cập ban đầu
Để có quyền truy cập vào các hệ thống được nhắm mục tiêu, nhóm tin tặc APT28 đã gửi email lừa đảo từ các tài khoản email bị xâm nhập hoặc bị rò rỉ. Các nhà nghiên cứu đã tiết lộ công khai một số email bị xâm nhập, bao gồm email từ chuỗi các khách sạn, công ty quản lý vốn và công ty công nghệ.
Các nhà nghiên cứu đã phát hiện ra nhiều chiến thuật khác nhau được tin tặc triển khai trong các cuộc tấn công của chúng, bao gồm việc sử dụng các công cụ nguồn mở, xâm phạm bộ định tuyến Ubiquiti và tài khoản email cá nhân cũng như quét các hệ thống có thể bị nhắm tới bởi các lỗ hổng zero-day.
Cụ thể, trong khoảng thời gian từ tháng 3/2022 đến tháng 6/2023, APT28 đã khai thác một lỗi trong dịch vụ email Outlook của Microsoft. Được theo dõi là CVE-2023-23397, trước đây nó đã được các tin tặc ở Nga sử dụng để tấn công các cơ quan trong lĩnh vực chính phủ, giao thông, năng lượng và quân sự ở châu Âu.
Trong giai đoạn này, những kẻ tấn công cũng khai thác CVE-2022-30190 (hay còn gọi là Follina) trong Microsoft Windows Support Diagnostic Tool (công cụ có nhiệm vụ báo lỗi máy tính người dùng đến Microsoft để hãng chẩn đoán), cùng với các lỗi CVE-2020-12641, CVE-2020-35730, CVE-2021-44026 trong ứng dụng Roundcube.
Các công cụ được sử dụng trong giai đoạn đầu của cuộc tấn công bao gồm trình trích xuất mật khẩu Mimikatz và công cụ chuyển tiếp lưu lượng truy cập reGeorg, cũng như các dịch vụ nguồn mở Mockbin và Mocky.
ANSSI cũng báo cáo rằng APT28 sử dụng nhiều máy khách VPN, bao gồm SurfShark, ExpressVPN, ProtonVPN, PureVPN, NordVPN, CactusVPN, WorldVPN và VPNSecure.
Hình 1. Địa chỉ phát tán email khai thác CVE-2023-23397
Truy cập và lọc dữ liệu
Là một nhóm gián điệp mạng, việc truy cập và đánh cắp dữ liệu là mục tiêu hoạt động cốt lõi của APT28. ANSSI đã quan sát thấy các tác nhân đe dọa lấy thông tin xác thực bằng cách sử dụng các tiện ích gốc và đánh cắp các email chứa thông tin và thư từ nhạy cảm.
Cụ thể, những kẻ tấn công khai thác lỗi CVE-2023-23397 để kích hoạt kết nối SMB từ các tài khoản được nhắm mục tiêu đến một dịch vụ do chúng kiểm soát, cho phép truy xuất hàm băm xác thực NetNTLMv2, hàm băm này cũng có thể được sử dụng trên các dịch vụ khác.
Cơ sở hạ tầng máy chủ chỉ huy và kiểm soát (C2) của APT28 dựa trên các dịch vụ đám mây hợp pháp, chẳng hạn như Microsoft OneDrive và Google Drive. Cuối cùng, ANSSI đã thấy bằng chứng cho thấy những kẻ tấn công thu thập dữ liệu bằng cách sử dụng phần mềm độc hại CredoMap, nhắm mục tiêu vào thông tin được lưu trữ trong trình duyệt web của nạn nhân, chẳng hạn như cookie xác thực.
Ngoài ra, Mockbin và dịch vụ Pipedream cũng tham gia vào quá trình lọc dữ liệu.
Hình 2. Chuỗi tấn công APT28
Khuyến nghị phòng tránh
ANSSI nhấn mạnh cách tiếp cận toàn diện về bảo mật, đòi hỏi phải thực hiện đánh giá rủi ro. Trong trường hợp với mối đe dọa APT28, việc tập trung vào bảo mật email là rất quan trọng. Các khuyến nghị chính của cơ quan này về bảo mật email bao gồm:
- Đảm bảo tính an toàn và bảo mật của việc trao đổi email.
- Sử dụng nền tảng trao đổi an toàn để ngăn chặn việc chuyển hướng hoặc chiếm đoạt email.
- Giảm thiểu bề mặt tấn công của giao diện webmail và giảm rủi ro từ các máy chủ như Microsoft Exchange.
- Triển khai khả năng phát hiện email độc hại.
Dương Ngân
09:00 | 25/10/2023
14:00 | 04/08/2023
10:00 | 22/11/2023
08:00 | 28/11/2023
16:00 | 18/12/2023
13:00 | 02/08/2022
13:00 | 26/02/2024
15:00 | 16/04/2024
Theo báo cáo của The Times of India, một số công ty, tổ chức đang mua lỗ hổng Zero-day trên iPhone với giá lên đến 7 triệu USD và 5 triệu USD đối với điện thoại Android.
08:00 | 09/04/2024
Sáng ngày 08/4, tại Hà Nội đã diễn ra Hội nghị thượng đỉnh về Công nghệ thông tin và Nguồn mở châu Á - FOSSASIA Summit 2024. Sự kiện năm nay sẽ diễn ra trong ba ngày 08-10/4 và được tổ chức bởi FOSSASIA, Hiệp hội Internet Việt Nam (VIA), Học viện Công nghệ Bưu chính Viễn thông và Câu lạc bộ phần mềm tự do nguồn mở Việt Nam (VFOSSA).
14:00 | 19/02/2024
Một chiến dịch quảng cáo độc hại đang diễn ra nhắm mục tiêu vào người dùng nói tiếng Trung Quốc bằng cách lợi dụng các nền tảng nhắn tin phổ biến như Telegram hoặc LINE, với mục đích phát tán phần mềm độc hại. Điều thú vị là ứng dụng Telegram bị hạn chế rất nhiều và trước đó đã bị cấm ở Trung Quốc.
11:00 | 07/02/2024
Nhân dịp đón Xuân mới Giáp Thìn 2024, Tạp chí An toàn thông tin trân trọng gửi lời chúc mừng năm mới và lời cảm ơn sâu sắc nhất tới các đồng chí Lãnh đạo Ban Cơ yếu Chính phủ, Lãnh đạo các bộ, ban, ngành Trung ương và địa phương, các cơ quan đơn vị, các hiệp hội, tổ chức, doanh nghiệp, quý bạn đọc và cộng tác viên đã luôn quan tâm ủng hộ để Tạp chí hoàn thành tốt nhiệm vụ và có những bước phát triển mới trong năm qua.
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Apple đang đàm phán để sử dụng công cụ Gemini AI của Google trên iPhone, tạo tiền đề cho một thỏa thuận mang tính đột phá trong ngành công nghiệp AI.
11:00 | 26/04/2024