Các cơ quan an ninh mạng cho biết, hoạt động độc hại được quan sát có thể xuất phát từ một số nhóm tin tặc đã biết của Trung Quốc, bao gồm APT27, APT30, APT31, Ke3chang, Gallium và Mustang Panda.
Những tác nhân đe dọa này hiện đang tạo ra các mối đe dọa nguy hiểm đối với EU. Các hoạt động gần đây của nhóm tin tặc chủ yếu tập trung vào hành vi trộm cắp thông tin, chủ yếu thông qua việc thiết lập vị trí trong cơ sở hạ tầng mạng của các tổ chức có liên quan tới việc xây dựng chiến lược.
Các cơ quan cũng cho biết, việc này sẽ thúc đẩy các tổ chức ở EU cải thiện tình hình bảo mật và tăng cường khả năng phát hiện các cuộc tấn công mạng, cũng như khả năng phục hồi của họ trước các cuộc tấn công đó.
Phát hiện tấn công mạng liên quan đến việc thu thập, xem xét nhật ký, giám sát hoạt động của thiết bị, phát hiện xâm nhập và thông tin tình báo về mối đe dọa được tuyển chọn, săn tìm mối đe dọa thường xuyên.
Các tổ chức cũng nên triển khai các chiến lược để phát hiện và ngăn chặn các cuộc tấn công dựa trên PowerShell cũng như việc lạm dụng các giao thức NTLM và Kerberos, đồng thời nên hướng dẫn người dùng báo cáo ngay lập tức mọi hoạt động đáng ngờ.
Để giảm rủi ro bị xâm phạm, các tổ chức nên tuân theo các phương pháp tốt nhất về bảo mật để củng cố sản phẩm và bảo vệ các tài khoản đặc quyền cao cũng như tài sản chính, đồng thời tuân theo các phương pháp tối ưu nhất để quản lý danh tính và quyền truy cập.
Các tổ chức nên duy trì kho lưu trữ cập nhật của tất cả tài sản, cả vật lý và ảo để chặn hoặc giảm truy cập internet đầu ra cho các hệ thống ít khi được khởi động lại. Điều này giúp ích cho việc sao lưu, triển khai kiểm soát truy cập cho tất cả người dùng cuối và bên thứ ba bên ngoài nhà thầu.
Đồng thời, triển khai phân đoạn mạng, đảm bảo môi trường đám mây được bảo mật đúng cách, triển khai chính sách email linh hoạt để ngăn chặn thư độc hại, phòng ngừa các cuộc tấn công sử dụng kỹ thuật đánh cắp thông tin xác thực, cảnh báo người dùng và nhân viên về lừa đảo và các mối đe dọa khác cũng sẽ giúp các tổ chức cải thiện khả năng phục hồi mạng của họ.
Ngoài ra, các tổ chức nên triển khai kế hoạch ứng phó sự cố liên quan đến việc đánh giá mức độ nghiêm trọng của sự cố dựa trên tác động và đảm bảo thông tin liên lạc rõ ràng với các bên liên quan nội bộ.
Khi ứng phó với sự cố, các tổ chức nên tìm hiểu điều gì đã gây ra sự kiện và tác động tiềm tàng của nó, thu thập bằng chứng từ các hệ thống bị ảnh hưởng, sử dụng tất cả các nguồn đo từ xa có sẵn, khắc phục nguyên nhân gốc rễ của cuộc tấn công và đảm bảo sự cố được ngăn chặn đầy đủ, đồng thời lưu giữ hồ sơ chi tiết của tất cả các hành động được thực hiện.
Nguyễn Chân
15:00 | 04/08/2023
13:00 | 06/12/2022
10:00 | 03/03/2023
14:00 | 27/10/2023
16:00 | 25/05/2023
09:00 | 31/01/2019
09:00 | 10/10/2022
08:00 | 04/05/2024
Mới đây, Cisco cảnh báo rằng một nhóm tin tặc được nhà nước bảo trợ đã khai thác hai lỗ hổng zero-day trong tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11/2023 để cài đặt phần mềm độc hại trên các hệ thống mạng viễn thông và năng lượng bị ảnh hưởng tại nhiều quốc gia.
13:00 | 23/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet (ISP), nhà cung cấp dịch vụ công nghệ thông tin và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới do nhóm tin tặc có tên gọi là Sea Turtle thực hiện. Nhóm này hoạt động với động cơ chính trị nhằm thu thập thông tin tình báo phù hợp với những lợi ích của Thổ Nhĩ Kỳ. Bài viết này sẽ cùng phân tích về các hoạt động của nhóm tin tặc này và các kỹ thuật trong chiến dịch mới nhất, dựa trên báo cáo điều tra của công ty an ninh mạng Hunt&Hackett (Hà Lan).
12:00 | 15/12/2023
Các nhà nghiên cứu của công ty an ninh mạng Cisco Talos gần đây đã phát hiện một chiến dịch độc hại có khả năng bắt đầu từ tháng 8/2023, phát tán một Trojan truy cập từ xa (RAT) mới có tên gọi là “SugarGh0st”. Cisco Talos cho biết các tin tặc nhắm mục tiêu vào Bộ Ngoại giao Uzbekistan và người dùng tại Hàn Quốc đồng thời quy kết hoạt động này cho tin tặc Trung Quốc.
13:00 | 14/12/2023
RisePro là một phần mềm độc hại đánh cắp thông tin dưới dạng dịch vụ, được xác định lần đầu tiên vào năm 2022. Gần đây, các nhà nghiên cứu của Anyrun nhận thấy hoạt động của phần mềm độc hại này tăng đột biến, đồng thời thay đổi cách giao tiếp với máy chủ điều khiển và kiểm soát (C2), cũng như trang bị những khả năng mới, đặc biệt là các tính năng điều khiển từ xa khiến nó có khả năng hoạt động như một RAT (Remote Access Trojan).
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024