Nhóm tin tặc của GRU
Nhóm tin tặc APT28 được xác định là một phần của Cơ quan Tình báo quân đội Nga (GRU), gần đây có liên quan đến việc khai thác lỗi CVE-2023-38831, lỗ hổng thực thi mã từ xa trong WinRAR và CVE-2023-23397, lỗ hổng nâng cao đặc quyền zero-day trong Microsoft Outlook.
APT28 cũng có liên quan đến một cuộc tấn công mạng nhằm vào nhà cung cấp thông tin vệ tinh Viasat của Mỹ và một cuộc tấn công nhằm vào cơ sở năng lượng quan trọng của Ukraine.
Các tin tặc Nga đã xâm phạm các thiết bị ngoại vi trên các hệ thống mạng quan trọng của các cơ quan, tổ chức, doanh nghiệp Pháp và không còn sử dụng các backdoor để tránh bị phát hiện.
Trinh sát mạng và điểm truy cập ban đầu
Để có quyền truy cập vào các hệ thống được nhắm mục tiêu, nhóm tin tặc APT28 đã gửi email lừa đảo từ các tài khoản email bị xâm nhập hoặc bị rò rỉ. Các nhà nghiên cứu đã tiết lộ công khai một số email bị xâm nhập, bao gồm email từ chuỗi các khách sạn, công ty quản lý vốn và công ty công nghệ.
Các nhà nghiên cứu đã phát hiện ra nhiều chiến thuật khác nhau được tin tặc triển khai trong các cuộc tấn công của chúng, bao gồm việc sử dụng các công cụ nguồn mở, xâm phạm bộ định tuyến Ubiquiti và tài khoản email cá nhân cũng như quét các hệ thống có thể bị nhắm tới bởi các lỗ hổng zero-day.
Cụ thể, trong khoảng thời gian từ tháng 3/2022 đến tháng 6/2023, APT28 đã khai thác một lỗi trong dịch vụ email Outlook của Microsoft. Được theo dõi là CVE-2023-23397, trước đây nó đã được các tin tặc ở Nga sử dụng để tấn công các cơ quan trong lĩnh vực chính phủ, giao thông, năng lượng và quân sự ở châu Âu.
Trong giai đoạn này, những kẻ tấn công cũng khai thác CVE-2022-30190 (hay còn gọi là Follina) trong Microsoft Windows Support Diagnostic Tool (công cụ có nhiệm vụ báo lỗi máy tính người dùng đến Microsoft để hãng chẩn đoán), cùng với các lỗi CVE-2020-12641, CVE-2020-35730, CVE-2021-44026 trong ứng dụng Roundcube.
Các công cụ được sử dụng trong giai đoạn đầu của cuộc tấn công bao gồm trình trích xuất mật khẩu Mimikatz và công cụ chuyển tiếp lưu lượng truy cập reGeorg, cũng như các dịch vụ nguồn mở Mockbin và Mocky.
ANSSI cũng báo cáo rằng APT28 sử dụng nhiều máy khách VPN, bao gồm SurfShark, ExpressVPN, ProtonVPN, PureVPN, NordVPN, CactusVPN, WorldVPN và VPNSecure.
Hình 1. Địa chỉ phát tán email khai thác CVE-2023-23397
Truy cập và lọc dữ liệu
Là một nhóm gián điệp mạng, việc truy cập và đánh cắp dữ liệu là mục tiêu hoạt động cốt lõi của APT28. ANSSI đã quan sát thấy các tác nhân đe dọa lấy thông tin xác thực bằng cách sử dụng các tiện ích gốc và đánh cắp các email chứa thông tin và thư từ nhạy cảm.
Cụ thể, những kẻ tấn công khai thác lỗi CVE-2023-23397 để kích hoạt kết nối SMB từ các tài khoản được nhắm mục tiêu đến một dịch vụ do chúng kiểm soát, cho phép truy xuất hàm băm xác thực NetNTLMv2, hàm băm này cũng có thể được sử dụng trên các dịch vụ khác.
Cơ sở hạ tầng máy chủ chỉ huy và kiểm soát (C2) của APT28 dựa trên các dịch vụ đám mây hợp pháp, chẳng hạn như Microsoft OneDrive và Google Drive. Cuối cùng, ANSSI đã thấy bằng chứng cho thấy những kẻ tấn công thu thập dữ liệu bằng cách sử dụng phần mềm độc hại CredoMap, nhắm mục tiêu vào thông tin được lưu trữ trong trình duyệt web của nạn nhân, chẳng hạn như cookie xác thực.
Ngoài ra, Mockbin và dịch vụ Pipedream cũng tham gia vào quá trình lọc dữ liệu.
Hình 2. Chuỗi tấn công APT28
Khuyến nghị phòng tránh
ANSSI nhấn mạnh cách tiếp cận toàn diện về bảo mật, đòi hỏi phải thực hiện đánh giá rủi ro. Trong trường hợp với mối đe dọa APT28, việc tập trung vào bảo mật email là rất quan trọng. Các khuyến nghị chính của cơ quan này về bảo mật email bao gồm:
- Đảm bảo tính an toàn và bảo mật của việc trao đổi email.
- Sử dụng nền tảng trao đổi an toàn để ngăn chặn việc chuyển hướng hoặc chiếm đoạt email.
- Giảm thiểu bề mặt tấn công của giao diện webmail và giảm rủi ro từ các máy chủ như Microsoft Exchange.
- Triển khai khả năng phát hiện email độc hại.
Dương Ngân
09:00 | 25/10/2023
14:00 | 04/08/2023
10:00 | 22/11/2023
08:00 | 28/11/2023
16:00 | 18/12/2023
13:00 | 02/08/2022
13:00 | 26/02/2024
14:00 | 25/04/2024
Ngày 18/4, Meta thông báo triển khai trợ lý AI thông minh nhất hiện nay - Meta AI miễn phí cho các nền tảng của mình. Theo CEO Meta Mark Zuckerberg, trợ lý có thể trả lời câu hỏi, tạo hình ảnh cho người dùng. Meta AI được xây dựng dựa trên mô hình ngôn ngữ lớn mới nhất của hãng mang tên Llama 3.
15:00 | 19/04/2024
Trong kỷ nguyên số, các doanh nghiệp đang đối mặt với các thách thức lớn về rủi ro mất an toàn thông tin. Vì vậy việc bảo đảm an toàn thông tin, dữ liệu cho doanh nghiệp, tổ chức và xác định, đánh giá, kiểm soát các rủi ro liên quan để bảo vệ thông tin một cách hiệu quả là chủ đề được các chuyên gia, doanh nghiệp chia sẻ tại Hội thảo: “ISO/IEC 27001 - An toàn thông tin và bảo vệ quyền riêng tư đối với doanh nghiệp trong kỷ nguyên số” diễn ra vào ngày 16/4 tại TP. Hồ Chí Minh vừa qua.
09:00 | 08/03/2024
Theo báo cáo của Kaspersky, số lượng các vụ tấn công trực tuyến tại Việt Nam trong năm 2023 đã giảm 29% so với năm 2022, từ 41,9 triệu vụ xuống còn 29,6 triệu vụ.
10:00 | 28/02/2024
Theo thông báo vào ngày 20/2/2024, FBI và các đồng minh quốc tế đã triệt phá và kiểm soát trang web tống tiền do nhóm tội phạm mạng nguy hiểm nhất thế giới LockBit sử dụng để tống tiền nạn nhân.
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Công ty được mệnh danh là “Google của Trung Quốc” - Baidu cho biết chatbot AI của hãng này, Ernie Bot đã có hơn 200 triệu người dùng trong bối cảnh cạnh tranh ngày càng khốc liệt.
19:00 | 30/04/2024