Công ty an ninh mạng Hunt & Hackett (Hà Lan) cho biết, nhóm tin tặc Sea Turtle triển khai chiến dịch với mục đích thu thập thông tin với động cơ chính trị như: thông tin cá nhân về các nhóm thiểu số và những người bất đồng chính kiến. Thông tin bị đánh cắp có khả năng bị khai thác để giám sát hoặc thu thập thông tin tình báo về các tổ chức hoặc cá nhân cụ thể.
Sea Turtle còn được biết đến với tên Cosmic Wolf, Marbled Dust, Teal Kurma và UNC1326, lần đầu tiên được Cisco Talos phát hiện vào tháng 4/2019, mô tả chi tiết các cuộc tấn công do nhà nước tài trợ nhắm vào các thực thể công cộng và tư nhân ở Trung Đông và Bắc Phi.
Các hoạt động liên quan đến nhóm được cho là đã diễn ra kể từ tháng 01/2017, chủ yếu tận dụng việc chiếm quyền điều khiển DNS để chuyển hướng các mục tiêu tiềm năng, cố gắng truy vấn một tên miền cụ thể đến một máy chủ do tin tặc kiểm soát có khả năng thu thập thông tin đăng nhập.
Vào cuối năm 2021, Microsoft lưu ý rằng tin tặc thực hiện thu thập thông tin tình báo để phục vụ các lợi ích chiến lược của Thổ Nhĩ Kỳ từ các quốc gia như Armenia, Hy Lạp, Iraq và Syria. Các cuộc tấn công nhắm vào công ty viễn thông và CNTT với mục đích thiết lập chỗ đứng trước mục tiêu mong muốn của họ thông qua việc khai thác các lỗ hổng đã biết.
Theo công ty tư vấn an ninh mạng PricewaterhouseCoopers (PwC), vào tháng trước, tin tặc đã sử dụng một shell TCP ngược đơn giản cho các hệ thống Linux và Unix có tên là SnappyTCP trong các cuộc tấn công được thực hiện từ năm 2021 đến năm 2023.
Công ty này cho biết, Web shell là một shell TCP đảo ngược đơn giản dành cho Linux/Unix có khả năng ra lệnh và kiểm soát cơ bản, đồng thời nó cũng có khả năng được sử dụng để thiết lập tính bền vững. Có ít nhất hai biến thể chính, một biến thể sử dụng OpenSSL để tạo kết nối an toàn qua TLS, trong khi biến thể kia bỏ qua khả năng này và gửi yêu cầu dưới dạng văn bản rõ ràng.
Những phát hiện mới nhất từ Hunt & Hackett cho thấy Sea Turtle là một nhóm tin tặc tập trung vào hoạt động gián điệp lén lút, thực hiện các kỹ thuật để tránh rò quét và thu thập tài liệu lưu trữ email.
Một trong những cuộc tấn công được quan sát vào năm 2023 khi một tài khoản cPanel bị xâm phạm được sử dụng làm vectơ truy cập ban đầu để triển khai SnappyTCP trên hệ thống. Hiện tại vẫn chưa biết làm cách nào những kẻ tấn công có được thông tin đăng nhập.
Bằng cách sử dụng SnappyTCP, tin tặc đã gửi lệnh đến hệ thống để tạo một bản sao của kho lưu trữ email được tạo bằng công cụ Tar, trong thư mục web công khai của trang web có thể truy cập được từ Internet. Rất có khả năng tin tặc đã trích xuất kho lưu trữ email bằng cách tải xuống tệp trực tiếp từ thư mục web.
Để giảm thiểu rủi ro do các cuộc tấn công như vậy gây ra, các tổ chức nên thực thi chính sách mật khẩu mạnh, thực hiện xác thực hai yếu tố (2FA), giới hạn số lần đăng nhập, giám sát lưu lượng SSH và thường xuyên cập nhật các bản ván cho các hệ thống và phần mềm.
Trường An
(theo thehackernews)
17:00 | 22/12/2023
08:00 | 24/10/2023
14:00 | 23/11/2023
23:00 | 28/09/2023
14:00 | 05/03/2024
Một sự cố an ninh mạng nghiêm trọng gần đây đã xảy ra khi một trình cài đặt trong phần mềm của Chính phủ Nga bị cài đặt backdoor để phát tán trojan truy cập từ xa có tên Konni RAT (còn gọi là UpDog).
14:00 | 23/02/2024
Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.
09:00 | 05/02/2024
Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.
07:00 | 27/12/2023
Các nhà nghiên cứu tại Công ty công nghệ an ninh mạng Cisco Talos (Mỹ) mới đây đã phát hiện ra chiến dịch Operation Blacksmith do nhóm tin tặc Lazarus khét tiếng của Triều Tiên thực hiện, sử dụng ba họ phần mềm độc hại dựa trên ngôn ngữ lập trình DLang, bao gồm trojan truy cập từ xa (RAT) có tên là NineRAT tận dụng Telegram để ra lệnh và kiểm soát (C2), DLRAT và trình tải xuống có tên là BottomLoader.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024
