Thông tin này dựa trên một báo cáo mới của Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA). Cơ quan này tuyên bố rằng tin tặc Nga đã can thiệp vào hệ thống liên lạc của 11 công ty viễn thông nước này, dẫn đến gián đoạn dịch vụ và có khả năng vi phạm dữ liệu.
Sandworm là một nhóm gián điệp mạng hoạt động rất tích cực và có liên kết với Cơ quan Tình báo quân đội Nga (GRU). Những kẻ tấn công đã tập trung vào Ukraine trong suốt năm 2023, sử dụng các mồi nhử lừa đảo, phần mềm độc hại trên Android và trình xóa dữ liệu Wiper.
Điểm bắt đầu của các cuộc tấn công là giai đoạn trinh sát mạng của một công ty viễn thông, bằng cách sử dụng công cụ “masscan” để thực hiện quét trên mạng của mục tiêu.
Ví dụ về tập lệnh masscan (CERT-UA)
Các tin tặc Sandworm tìm kiếm các cổng mở và giao diện RDP hoặc SSH không được bảo vệ mà chúng có thể tận dụng để xâm phạm mạng. Ngoài ra, những kẻ tấn công sử dụng các công cụ như “ffuf”, “dirbuster”, “gowitness” và “nmap” để tìm các lỗ hổng tiềm ẩn trong các dịch vụ web có thể bị khai thác để giành quyền truy cập.
Các tài khoản VPN bị xâm phạm không được bảo vệ bằng xác thực đa yếu tố cũng đã bị lợi dụng để có quyền truy cập mạng. CERT-UA cho biết: “Cần lưu ý rằng các hoạt động trinh sát và khai thác được thực hiện từ các máy chủ bị xâm nhập trước đó, đặc biệt là vùng mạng Internet của Ukraine”.
Để khiến cho hoạt động xâm nhập của mình trở nên lén lút hơn, Sandworm sử dụng “Dante”, “socks5” và các máy chủ proxy khác để định tuyến các hoạt động độc hại của chúng thông qua các máy chủ trong khu vực mạng Internet của Ukraine mà đã xâm phạm trước đó, khiến nó ít đáng ngờ hơn.
Báo cáo của CERT-UA cho thấy hai backdoor trong các hệ thống ISP bị vi phạm, đó là “Poemgate” và “Poseidon”. Poemgate nắm bắt thông tin đăng nhập của quản trị viên cố gắng xác thực ở điểm cuối bị xâm nhập, cung cấp cho kẻ tấn công quyền truy cập vào các tài khoản bổ sung mà chúng có thể sử dụng để di chuyển ngang hoặc xâm nhập mạng sâu hơn.
Trong khi đó, Poseidon là một backdoor Linux mà CERT-UA cho biết bao gồm đầy đủ các công cụ điều khiển máy tính từ xa. Sự bền bỉ của Poseidon đạt được bằng cách sửa đổi tác vụ Cron để bổ sung các hành vi độc hại.
Sửa đổi nhị phân Cron để thêm tính bền vững cho Poseidon (CERT-UA)
Sandworm sử dụng công cụ “Whitecat” để xóa dấu vết của cuộc tấn công và xóa nhật ký truy cập. Ở giai đoạn cuối của cuộc tấn công, tin tặc triển khai các tập lệnh có thể gây gián đoạn dịch vụ, đặc biệt là tập trung vào thiết bị Mikrotik và xóa sạch các bản sao lưu để khiến việc khôi phục trở nên khó khăn hơn.
Diễn biến này xảy ra khi CERT-UA cho biết họ đã quan sát thấy bốn chiến dịch tấn công lừa đảo được thực hiện bởi một nhóm tin tặc mà họ theo dõi là nhóm UAC-0006, sử dụng phần mềm độc hại “SmokeLoader” trong tuần đầu tiên của tháng 10/2023.
TÀI LIỆU THAM KHẢO https://thehackernews.com/2023/10/cert-ua-reports-11-ukrainian-telecom.html |
Phương Chi
14:00 | 30/11/2023
14:00 | 04/08/2023
08:00 | 24/11/2023
14:00 | 08/11/2023
14:00 | 23/11/2023
13:00 | 18/01/2024
16:00 | 21/07/2023
09:00 | 05/01/2024
13:00 | 26/02/2024
16:00 | 18/12/2023
09:00 | 13/07/2023
10:00 | 28/03/2024
Các nhà nghiên cứu phát hiện nhóm ransomware ShadowSyndicate đang quét các máy chủ tồn tại lỗ hổng directory traversal định danh CVE-2024-23334, hay còn gọi là lỗ hổng path traversal trong thư viện Aiohttp của Python.
15:00 | 26/01/2024
Các nhà nghiên cứu bảo mật của công ty an ninh mạng Akamai (Mỹ) phát hiện ra một mạng botnet mới dựa trên Mirai có tên là NoaBot, hiện đang được các tác nhân đe dọa sử dụng như một phần của chiến dịch khai thác tiền điện tử đã hoạt động kể từ đầu năm 2023. Bài viết này sẽ phân tích về đặc điểm của NoaBot và công cụ khai thác tiền điện tử được sử dụng trong chiến dịch tấn công mạng botnet này.
07:00 | 18/01/2024
Một kỹ thuật khai thác mới có tên là SMTP Smuggling có thể được tin tặc sử dụng để gửi email giả mạo có địa chỉ người gửi giả và vượt qua các biện pháp bảo mật.
17:00 | 21/12/2023
Mới đây, nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky phát hiện một chiến dịch gián điệp mạng đang nhắm mục tiêu đánh cắp dữ liệu lưu trữ trên các thiết bị USB an toàn sử dụng trong các cơ quan, tổ chức chính phủ các nước Châu Á - Thái Bình dương (APAC).
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024