Tấn công kỹ nghệ xã hội
Microsoft cho biết, cuộc điều tra cho thấy chiến dịch đã có ảnh hưởng đến ít nhất 40 tổ chức trên toàn cầu. Các nạn nhân bị nhắm mục tiêu trong hoạt động này có thể chỉ ra các mục tiêu gián điệp cụ thể của APT29 nhắm vào các cơ quan chính phủ, các tổ chức phi chính phủ (NGO), dịch vụ công nghệ thông tin, công ty công nghệ, sản xuất và trong lĩnh vực truyền thông.
Các tin tặc đã sử dụng các tài khoản Microsoft 365 vốn đã bị xâm phạm thuộc sở hữu của các doanh nghiệp nhỏ để tạo ra các tên miền và tài khoản trông giống như hỗ trợ kỹ thuật, để đánh lừa người dùng của các tổ chức được nhắm mục tiêu bằng các chiến thuật kỹ nghệ xã hội. Mục đích của chúng là lôi kéo người dùng Microsoft Teams tham gia các cuộc trò chuyện và yêu cầu họ phê duyệt lời nhắc xác thực đa yếu tố (MFA) để đánh cắp thông tin đăng nhập của họ.
Các tên miền mới được tạo là một phần của tên miền “onmicrosoft.com”, đây là tên miền hợp pháp của Microsoft và được Microsoft 365 tự động sử dụng cho các mục đích dự phòng trong trường hợp tên miền tùy chỉnh không được tạo. Theo các nhà nghiên cứu, các tài khoản được liên kết với các tên miền này sau đó đã gửi tin nhắn lừa đảo để dụ dỗ người dùng thông qua Teams.
Nếu người dùng mục tiêu chấp nhận yêu cầu tin nhắn thì sẽ nhận được thông báo Microsoft Teams từ tin tặc đang cố thuyết phục họ nhập mã vào ứng dụng Microsoft Authenticator trên thiết bị di động. Nếu làm theo hướng dẫn, tin tặc sẽ được cấp mã thông báo để xác thực là người dùng, do đó cho phép chúng chiếm đoạt tài khoản và thực hiện các hoạt động khác sau khi thỏa hiệp thành công.
Tin nhắn lừa đảo của APT29
Vì các thông báo đến từ tên miền onmicrosoft.com hợp pháp nên chúng có thể đã khiến các thông báo hỗ trợ giả mạo của Microsoft trông có vẻ đáng tin cậy. “Trong một số trường hợp, các tin tặc cố gắng thêm một thiết bị vào tổ chức dưới dạng thiết bị được quản lý thông qua Microsoft Entra ID (trước đây là Azure Active Directory), có thể là nỗ lực phá vỡ các chính sách truy cập có điều kiện được cấu hình để chỉ hạn chế quyền truy cập vào các tài nguyên cụ thể đối với các thiết bị được quản lý”, Microsoft cho biết.
Gã khổng lồ công nghệ này báo cáo đã chặn thành công nhóm tin tặc APT29 sử dụng các tên miền trong các cuộc tấn công khác và hiện đang tích cực làm việc để giải quyết và giảm thiểu tác động của chiến dịch.
Nhóm tin tặc tình báo nước ngoài của Nga
Các nhà nghiên cứu của Microsoft cho biết, nhóm tin tặc APT29 đứng sau hoạt động này được biết đến với tên gọi khác là “Midnight Blizzard”, có trụ sở tại Nga và có liên kết với SVR, đã đứng sau cuộc tấn công chuỗi cung ứng SolarWinds dẫn đến những vi phạm của một số cơ quan, tổ chức của Mỹ vào ba năm trước.
Kể từ sự cố đó, nhóm tin tặc này cũng đã thực hiện các cuộc xâm nhập mạng vào các tổ chức khác bằng cách sử dụng phần mềm độc hại tàng hình, bao gồm “TrailBlazer” và một biến thể của backdoor “GoldMax Linux”, cho phép chúng không bị phát hiện trong nhiều năm.
Gần đây hơn, Microsoft đã tiết lộ rằng nhóm tin tặc này đang sử dụng phần mềm độc hại mới có khả năng chiếm quyền kiểm soát dịch vụ Active Directory Federation Services (ADFS) để đăng nhập với tư cách là bất kỳ người dùng nào trong hệ thống Windows. Hơn nữa, chúng đã nhắm mục tiêu đến các tài khoản Microsoft 365 thuộc về các thực thể tại các quốc gia thuộc Tổ chức Hiệp ước Bắc Đại Tây Dương (NATO) như một phần trong nỗ lực giành quyền truy cập vào thông tin liên quan đến các chính sách đối ngoại.
Ngoài ra, APT29 còn đứng sau một loạt các chiến dịch lừa đảo với mục tiêu rõ ràng vào các chính phủ, đại sứ quán và các quan chức cấp cao trên khắp các quốc gia tại châu Âu.
Hồng Đạt
09:00 | 19/07/2023
09:00 | 25/10/2023
08:00 | 06/11/2023
12:00 | 30/06/2022
14:00 | 08/11/2023
14:00 | 22/08/2023
10:00 | 28/09/2022
10:00 | 14/05/2024
Cơ quan Giao thông và Truyền thông Phần Lan (Traficom) vừa đưa ra cảnh báo về một chiến dịch phát tán mã độc trên Android đang diễn ra với mục tiêu nhắm đến các tài khoản ngân hàng trực tuyến.
08:00 | 25/03/2024
Theo thông báo chính thức từ website của VNDIRECT, Công ty Cổ phần Chứng khoán nổi tiếng tại Việt Nam xác nhận bị tấn công mạng, gây ngưng trệ hoạt động.
14:00 | 01/03/2024
Trong thời đại kỹ thuật số, dữ liệu cá nhân và bí mật công ty luôn là mục tiêu tấn công của tội phạm mạng. Tuy nhiên, khi hệ thống phòng thủ ngày càng tinh vi thì chiến thuật của tin tặc cũng vậy. Năm 2023 cho thấy sự giằng co không ngừng nghỉ, ghi nhận một số vụ xâm phạm dữ liệu gây hậu quả nặng nề. Dưới đây là 10 vụ xâm phạm dữ liệu hàng đầu trong năm 2023 ảnh hưởng đến hơn 100 triệu cá nhân theo ghi nhận của tổ chức phi lợi nhuận Trung tâm Tài nguyên trộm cắp danh tính Mỹ (ITRC).
12:00 | 29/02/2024
Meta Platforms đã thực hiện một loạt các biện pháp nhằm hạn chế các hoạt động gián điệp mạng từ 8 công ty khác nhau có trụ sở tại Ý, Tây Ban Nha và Các Tiểu vương quốc Ả Rập Thống nhất (UAE). Những phần mềm gián điệp này nhắm mục tiêu vào các thiết bị iOS, Android và Windows.
Ba Lan cho biết nhóm tin tặc APT28 có liên quan đến Cơ quan tình báo quân đội Nga (GRU) đã thực hiện các cuộc tấn công mạng nhắm mục tiêu vào các tổ chức chính phủ Ba Lan trong khoảng thời gian đầu tháng 5/2024.
08:00 | 15/05/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Ngày 7/5, ByteDance kiện lên Tòa án liên bang Hoa Kỳ nhằm tìm cách ngăn chặn một đạo luật do Tổng thống Joe Biden ký nhằm buộc ByteDance phải thoái vốn khỏi ứng dụng video ngắn TikTok nếu không sẽ bị cấm tại Mỹ.
09:00 | 15/05/2024