Trước đó, Kaspersky ICS Cerrt cũng đã cung cấp một báo cáo như vậy vào năm 2018 mô tả việc tin tặc sử dụng Teamviewer và các hệ thống điều khiển từ xa trong các cuộc tấn công này. Rõ ràng, những kẻ tấn công hiện đang sử dụng các kỹ thuật mới và nhắm tới nhiều các doanh nghiệp hơn.
Một số tấn công điển hình có thể kể đến như:
- Từ năm 2018 đến cuối năm 2020, tin tặc đã sử dụng hình thức gửi nhiều thư điện tử lừa đảo (phishing email) có chứa mã độc tới người dùng.
- Tin tặc sử dụng các kỹ thuật social engineering đánh lừa người dùng; các tài liệu hợp lệ như tài liệu cài đặt thiết bị máy móc hoặc thông tin xử lý, những tài liệu này bị đánh cắp từ các cuộc tấn công mạng.
- Các cuộc tấn công thường vẫn sử dụng là các công cụ quản trị từ xa. Giao diện người dùng của các công cụ này bị ẩn đi bởi mã độc, cho phép tin tặc điều khiển hệ thống của nạn nhân mà người dùng không hề hay biết.
- Trong phiên bản mới của mã độc, tin tặc đã thay đổi kênh kiểm soát sau khi một hệ thống mới bị chiếm quyền. Thay vì sử dụng các máy chủ điều khiển mã độc, tin tặc sử dụng giao diện web trên nền tảng đám mây của các công cụ quản trị từ xa.
- Trong quá trình tấn công, tin tặc sử dụng spyware (phần mềm gián điệp) và Mimikatz (phần mềm mã nguồn mở khai thác các lỗ hổng để xem các thông tin bảo mật của Windows như mật khẩu, mã PIN…) để đánh cắp các thông tin tài khoản và sau đó sử dụng để xâm nhập các hệ thống khác của nạn nhân.
- Trong các chiến dịch mới nhất, tin tặc nhắm tới các hệ thống hạ tầng công nghiệp ở Liên Bang Nga trong khắp các lĩnh vực, trọng tâm là ngành năng lượng. Ngoài ra, tin tặc cũng nhắm tới khối sản xuất, dầu mỏ, gas, công nghiệp kim loại, xây dựng, khai thác và logistic.
- Một vài nhóm chuyên thực hiện các cuộc tấn công APT gần đây đã phát động các chiến dịch tấn công mạng nhắm vào các hệ thống công nghiệp như: Tháng 10/2020, nhóm MontysThree APT đã phát động chiến dịch gián điệp nhằm vào một công ty quốc tế về kiến trúc và sản xuất video bằng kỹ thuật giấu tin (steganography) và khai thác ứng MAXScript của bên thứ 3 (PhysXPlyginMfx); tháng 8/2020, các tin tặc cũng bị phát hiện sử dụng các mã thực thi độc hại giả danh một plugin của Autodesk 3ds Max.
Các chuyên gia đưa ra khuyến nghị đối với người dùng:
- Cần nâng cao cảnh giác trong việc sử dụng Email, đặc biệt cần được đào tạo cách nhận diện được các Email lừa đảo.
- Hạn chế khả năng của các chương trình có được đặc quyền (nếu có thể).
- Cài đặt phần mềm diệt virus có hỗ trợ quản trị tập trung các chính sách bảo mật trong toàn hệ thống, liên tục cập nhật cơ sở dữ liệu mã độc và các môđun được cập nhật.
- Chỉ sử dụng tài khoản với quyền quản trị domain khi cần thiết. Sau mỗi lần sử dụng tài khoản này, hãy khởi động lại hệ thống nơi tài khoản này được dùng.
- Triển khai chính sách mật khẩu mạnh và yêu cầu thường xuyên thay đổi.
- Nếu có nghi ngờ một vài thành phần của hệ thống bị lây nhiễm: hãy xóa bỏ tất cả các công cụ quản trị từ xa của bên thứ ba, dò quét các hệ thống này với phần mềm diệt virus và thực hiện bắt buộc thay đổi mật khẩu đối với tất cả các tài khoản đã đăng nhập vào hệ thống bị lây nhiễm.
- Giám sát các kết nối mạng để tìm các dấu vết của phần mềm điều khiển từ xa được cài đặt bất hợp pháp, nhấn mạnh với Teamviewer.
- Không sử dụng các phiên bản cũ của Teamviewer (từ phiên bản 6.0 trở về trước).
- Sử dụng trình giám sát, thống kê các ứng dụng và phiên bản của chúng đang hoạt động trên máy tính của người dùng. Điều này giúp chủ động giám sát các ứng dụng đang xuất hiện trong hệ thống. Trình giám sát này có thể là một tính năng của các phần mềm diệt virus.
Lưu ý rằng, vì tấn công này sử dụng các phần mềm điều khiển từ xa hợp pháp, phần mềm điều khiển có thể tồn tại trên máy tính của nạn nhân và vẫn tiếp tục hoạt động dù trình tải mã độc đã bị xóa.
Trọng Huấn
16:00 | 21/08/2020
17:00 | 26/08/2020
09:25 | 14/09/2017
08:00 | 17/04/2024
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
09:00 | 08/03/2024
Thông tin chi tiết về một lỗ hổng có độ nghiêm trọng mức cao trong ứng dụng Shortcut của Apple đã được công bố, trong đó lỗ hổng có thể cho phép một Shortcut truy cập thông tin nhạy cảm trên thiết bị mà không có sự đồng ý của người dùng.
09:00 | 10/01/2024
Song song với mức độ phổ biến toàn cầu của tiền điện tử và có nhiều cách thức lưu trữ mới thì các kho công cụ tấn công được sử dụng bởi những tác nhân đe dọa tiền kỹ thuật số cũng ngày càng được mở rộng. Bài viết này dựa trên báo cáo của Kaspersky đề cập đến các phương pháp tấn công email khác nhau được tội phạm mạng sử dụng trong các chiến dịch lừa đảo nhắm vào hai cách lưu trữ tiền điện tử phổ biến nhất: ví nóng và ví lạnh.
07:00 | 27/12/2023
Các nhà nghiên cứu tại Công ty công nghệ an ninh mạng Cisco Talos (Mỹ) mới đây đã phát hiện ra chiến dịch Operation Blacksmith do nhóm tin tặc Lazarus khét tiếng của Triều Tiên thực hiện, sử dụng ba họ phần mềm độc hại dựa trên ngôn ngữ lập trình DLang, bao gồm trojan truy cập từ xa (RAT) có tên là NineRAT tận dụng Telegram để ra lệnh và kiểm soát (C2), DLRAT và trình tải xuống có tên là BottomLoader.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024
