Các thực thể được nhắm mục tiêu bao gồm các cơ quan thuộc chính phủ, lĩnh vực năng lượng, giao thông vận tải và các tổ chức quan trọng khác ở Mỹ, châu Âu và Trung Đông. Gã khổng lồ công nghệ Microsoft cũng nhấn mạnh nhóm tin tặc APT28 đang khai thác các lỗ hổng khác trong các cuộc tấn công tương tự, bao gồm CVE-2023-38831 trong WinRAR và CVE-2021-40444 trong Windows MSHTML.
CVE-2023-23397 là một lỗ hổng nâng cao đặc quyền (EoP) nghiêm trọng trong Outlook trên Windows, đã được Microsoft cập nhật và vá lỗi là lỗ hổng zero-day trong bản cập nhật Patch Tuesday tháng 3/2023
Việc tiết lộ lỗ hổng đi kèm với nhóm tin tặc APT28 đã khai thác trong thực tế kể từ tháng 4/2022 thông qua các ghi chú Outlook được thiết kế đặc biệt để đánh cắp mã băm NTLM, dẫn đến các thiết bị mục tiêu phải xác thực với các chia sẻ SMB, do kẻ tấn công kiểm soát mà không yêu cầu tương tác của người dùng.
Bằng cách nâng cao các đặc quyền của người dùng trên hệ thống, APT28 đã thực hiện hành vi di chuyển ngang trong hệ thống mạng của nạn nhân và thay đổi quyền của hộp thư Outlook nhằm thực hiện hành vi đánh cắp thông tin email có mục tiêu.
Mặc dù, lỗ hổng CVE-2023-23397 đã có sẵn các bản cập nhật bảo mật và các đề xuất giảm thiểu rủi ro, nhưng bề mặt tấn công vẫn còn đáng kể và việc bỏ qua bản sửa lỗi trong tháng 5 đã khiến tình hình trở nên tồi tệ hơn.
Trong tháng 6/2023, công ty an ninh mạng Recorded Future (Mỹ) đã cảnh báo nhóm tin tặc APT28 có thể lợi dụng lỗ hổng Outlook để tấn công các tổ chức quan trọng của Ukraine.
Sau đó vào tháng 10/2023, Cơ quan an ninh mạng quốc gia Pháp (ANSSI) tiết lộ rằng tin tặc Nga đã sử dụng cuộc Zero-Click vào các tổ chức chính phủ, doanh nghiệp, các trường đại học, viện nghiên cứu và tổ chức nghiên cứu ở Pháp.
Mặt khác, trong cảnh báo mới nhất của Microsoft nhấn mạnh rằng, các tin tặc đang tiếp tục khai thác CVE-2023-38831 trong các cuộc tấn công, đồng thời ghi nhận những nỗ lực của Bộ chỉ huy không gian mạng Ba Lan (DKWOC) trong việc giúp phát hiện và ngăn chặn các cuộc tấn công khai thác lỗ hổng này. DKWOC cũng đã công bố một bài đăng mô tả hoạt động APT28 tận dụng lỗ hổng CVE-2023-38831.
Để giảm thiểu và chủ động bảo vệ trước những mối đe dọa khai thác lỗ hổng CVE-2023-23397 và CVE-2023-38831, các chuyên gia khuyến nghị thực hiện một số hành động được ưu tiên như sau:
- Áp dụng các bản cập nhật bảo mật có sẵn cho CVE-2023-23397 và CVE-2023-29324.
- Đặt lại mật khẩu của người dùng bị xâm phạm và bật xác thực đa yếu tố (MFA) cho tất cả người dùng.
- Giới hạn lưu lượng SMB bằng cách chặn kết nối tới cổng 135 và 445 từ tất cả các địa chỉ IP gửi đến.
- Vô hiệu hóa NTLM trên môi trường của người dùng.
Vì APT28 là nhóm tin tặc hoạt động tinh vi và có kiến thức chuyên sâu về kiến trúc cũng như cơ chế của Micrsoft Exchange, nên chiến lược phòng thủ hiệu quả nhất là giảm bề mặt tấn công trên tất cả các giao diện và đảm bảo tất cả các sản phẩm phần mềm đều được cập nhật thường xuyên với các bản vá bảo mật mới nhất.
Hữu Tài
(Tổng hợp)
14:00 | 23/11/2023
14:00 | 22/02/2024
16:00 | 18/12/2023
13:00 | 26/02/2024
13:00 | 26/02/2024
08:00 | 06/11/2023
08:00 | 15/05/2024
10:00 | 04/07/2019
14:00 | 10/05/2024
16:00 | 30/10/2024
Trong hai ngày 28 - 29/10, tại tỉnh Vĩnh Phúc, Cục Cơ yếu Đảng - Chính quyền/Ban Cơ yếu Chính phủ đã tổ chức thành công Hội thi Kỹ thuật nghiệp vụ mật mã Hệ Cơ yếu Đảng - Chính quyền lần thứ VI. Tới tham dự và chỉ đạo Hội thi có Thiếu tướng Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ; đại diện lãnh đạo các Hệ Cơ yếu và các cơ quan, đơn vị thuộc Ban; Lãnh đạo Văn phòng các tỉnh, thành ủy, bộ, ngành có đoàn tham gia, cùng toàn thể các thí sinh tham gia Hội thi.
16:00 | 25/10/2024
Theo thống kê của Google, hiện có hơn 2,5 tỷ người dùng đang sử dụng Gmail. Đây là mục tiêu béo bở dành cho tin tặc và lừa đảo trên mạng. Google đang áp dụng nhiều biện pháp nâng cao để bảo vệ người dùng Gmail, song các cuộc tấn công dựa vào AI cũng không ngừng biến đổi.
15:00 | 30/09/2024
Trong thời điểm iPhone 16 cũng như các sản phẩm mới của Apple được công bố, một số đối tượng đã giả mạo CEO Tim Cook của Apple để phát livestream với nội dung kêu gọi đầu tư tiền ảo bằng công nghệ Deepfake.
15:00 | 20/09/2024
Chính phủ Mỹ sẽ xóa bỏ yêu cầu về bằng cấp không cần thiết để ưu tiên tuyển dụng nhân sự dựa trên kỹ năng, nhằm đáp ứng yêu cầu tuyển dụng 500 nghìn việc làm trong lĩnh vực an ninh mạng.
Ngày 31/10, Bộ Giáo dục và Đào tạo (GD&ĐT) tổ chức Hội nghị tổng kết công tác tổ chức kỳ thi tốt nghiệp THPT giai đoạn 2020 - 2024 và chuẩn bị kỳ thi từ năm 2025. Thứ trưởng Bộ GD&ĐT Phạm Ngọc Thưởng dự và chỉ đạo Hội nghị.
16:00 | 01/11/2024
Trong hai ngày 30, 31/10, tại Hà Nội, Cục Viễn thông và Cơ yếu Bộ Công an đã tổ chức Hội thi Kỹ thuật nghiệp vụ mật mã lực lượng Cơ yếu Công an nhân dân năm 2024, với sự tham gia của 136 tuyển thủ xuất sắc đại diện cho 68 cơ quan công an các đơn vị, địa phương trên toàn quốc thi đua, tranh tài.
07:00 | 01/11/2024
Google sẽ tích hợp công nghệ trí tuệ nhân tạo (AI) tiên tiến vào Android 15, tạo ra lớp phòng thủ mới giúp người dùng tránh xa nguy cơ từ các ứng dụng độc hại. Tính năng này hứa hẹn nâng cao đáng kể khả năng bảo mật trên hệ điều hành di động phổ biến nhất thế giới.
10:00 | 30/10/2024