Nhóm tin tặc của GRU
Nhóm tin tặc APT28 được xác định là một phần của Cơ quan Tình báo quân đội Nga (GRU), gần đây có liên quan đến việc khai thác lỗi CVE-2023-38831, lỗ hổng thực thi mã từ xa trong WinRAR và CVE-2023-23397, lỗ hổng nâng cao đặc quyền zero-day trong Microsoft Outlook.
APT28 cũng có liên quan đến một cuộc tấn công mạng nhằm vào nhà cung cấp thông tin vệ tinh Viasat của Mỹ và một cuộc tấn công nhằm vào cơ sở năng lượng quan trọng của Ukraine.
Các tin tặc Nga đã xâm phạm các thiết bị ngoại vi trên các hệ thống mạng quan trọng của các cơ quan, tổ chức, doanh nghiệp Pháp và không còn sử dụng các backdoor để tránh bị phát hiện.
Trinh sát mạng và điểm truy cập ban đầu
Để có quyền truy cập vào các hệ thống được nhắm mục tiêu, nhóm tin tặc APT28 đã gửi email lừa đảo từ các tài khoản email bị xâm nhập hoặc bị rò rỉ. Các nhà nghiên cứu đã tiết lộ công khai một số email bị xâm nhập, bao gồm email từ chuỗi các khách sạn, công ty quản lý vốn và công ty công nghệ.
Các nhà nghiên cứu đã phát hiện ra nhiều chiến thuật khác nhau được tin tặc triển khai trong các cuộc tấn công của chúng, bao gồm việc sử dụng các công cụ nguồn mở, xâm phạm bộ định tuyến Ubiquiti và tài khoản email cá nhân cũng như quét các hệ thống có thể bị nhắm tới bởi các lỗ hổng zero-day.
Cụ thể, trong khoảng thời gian từ tháng 3/2022 đến tháng 6/2023, APT28 đã khai thác một lỗi trong dịch vụ email Outlook của Microsoft. Được theo dõi là CVE-2023-23397, trước đây nó đã được các tin tặc ở Nga sử dụng để tấn công các cơ quan trong lĩnh vực chính phủ, giao thông, năng lượng và quân sự ở châu Âu.
Trong giai đoạn này, những kẻ tấn công cũng khai thác CVE-2022-30190 (hay còn gọi là Follina) trong Microsoft Windows Support Diagnostic Tool (công cụ có nhiệm vụ báo lỗi máy tính người dùng đến Microsoft để hãng chẩn đoán), cùng với các lỗi CVE-2020-12641, CVE-2020-35730, CVE-2021-44026 trong ứng dụng Roundcube.
Các công cụ được sử dụng trong giai đoạn đầu của cuộc tấn công bao gồm trình trích xuất mật khẩu Mimikatz và công cụ chuyển tiếp lưu lượng truy cập reGeorg, cũng như các dịch vụ nguồn mở Mockbin và Mocky.
ANSSI cũng báo cáo rằng APT28 sử dụng nhiều máy khách VPN, bao gồm SurfShark, ExpressVPN, ProtonVPN, PureVPN, NordVPN, CactusVPN, WorldVPN và VPNSecure.
Hình 1. Địa chỉ phát tán email khai thác CVE-2023-23397
Truy cập và lọc dữ liệu
Là một nhóm gián điệp mạng, việc truy cập và đánh cắp dữ liệu là mục tiêu hoạt động cốt lõi của APT28. ANSSI đã quan sát thấy các tác nhân đe dọa lấy thông tin xác thực bằng cách sử dụng các tiện ích gốc và đánh cắp các email chứa thông tin và thư từ nhạy cảm.
Cụ thể, những kẻ tấn công khai thác lỗi CVE-2023-23397 để kích hoạt kết nối SMB từ các tài khoản được nhắm mục tiêu đến một dịch vụ do chúng kiểm soát, cho phép truy xuất hàm băm xác thực NetNTLMv2, hàm băm này cũng có thể được sử dụng trên các dịch vụ khác.
Cơ sở hạ tầng máy chủ chỉ huy và kiểm soát (C2) của APT28 dựa trên các dịch vụ đám mây hợp pháp, chẳng hạn như Microsoft OneDrive và Google Drive. Cuối cùng, ANSSI đã thấy bằng chứng cho thấy những kẻ tấn công thu thập dữ liệu bằng cách sử dụng phần mềm độc hại CredoMap, nhắm mục tiêu vào thông tin được lưu trữ trong trình duyệt web của nạn nhân, chẳng hạn như cookie xác thực.
Ngoài ra, Mockbin và dịch vụ Pipedream cũng tham gia vào quá trình lọc dữ liệu.
Hình 2. Chuỗi tấn công APT28
Khuyến nghị phòng tránh
ANSSI nhấn mạnh cách tiếp cận toàn diện về bảo mật, đòi hỏi phải thực hiện đánh giá rủi ro. Trong trường hợp với mối đe dọa APT28, việc tập trung vào bảo mật email là rất quan trọng. Các khuyến nghị chính của cơ quan này về bảo mật email bao gồm:
- Đảm bảo tính an toàn và bảo mật của việc trao đổi email.
- Sử dụng nền tảng trao đổi an toàn để ngăn chặn việc chuyển hướng hoặc chiếm đoạt email.
- Giảm thiểu bề mặt tấn công của giao diện webmail và giảm rủi ro từ các máy chủ như Microsoft Exchange.
- Triển khai khả năng phát hiện email độc hại.
Dương Ngân
09:00 | 25/10/2023
14:00 | 04/08/2023
10:00 | 22/11/2023
08:00 | 28/11/2023
16:00 | 18/12/2023
13:00 | 02/08/2022
13:00 | 26/02/2024
14:00 | 09/09/2024
Sáng ngày 07/9, tại Hà Nội, Hội thảo UEC Đông Nam Á lần thứ 11 đã diễn ra, với sự tham gia của các nhà khoa học và chuyên gia hàng đầu trong lĩnh vực an toàn thông tin, mật mã và công nghệ viễn thông. Đây là sự kiện thường niên do Trường UEC Nhật Bản tổ chức, nhằm thúc đẩy hợp tác quốc tế trong nghiên cứu khoa học, phát triển công nghệ và trao đổi giáo dục giữa các trường đại học khu vực Đông Nam Á với Nhật Bản.
10:00 | 30/08/2024
Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), Bộ Thông tin và Truyền thông vừa đưa ra thông báo đáng chú ý về tình hình lừa đảo trực tuyến tại Việt Nam. Trong tuần qua, đã có tới 582 trường hợp lừa đảo được người dùng Internet Việt Nam phản ánh qua hệ thống của đơn vị này. Đáng lo ngại, nhiều vụ lừa đảo đã giả mạo các tổ chức, doanh nghiệp lớn và uy tín như các mạng xã hội, ngân hàng, dịch vụ thư điện tử... nhằm chiếm đoạt thông tin cá nhân và tài sản của người dùng.
13:00 | 21/08/2024
Chỉ trong vòng vài tháng, tốc độ Internet di động tại Việt Nam đã có bước nhảy vọt đáng kinh ngạc, nhờ vào chính sách công khai chất lượng dịch vụ. Người dùng đang được hưởng lợi trực tiếp từ sự cạnh tranh giữa các nhà mạng.
10:00 | 14/08/2024
Ngày 5/8, Thủ tướng Chính phủ đã ký quyết định về việc thành lập Ban Chỉ đạo quốc gia về phát triển ngành công nghiệp bán dẫn (Ban Chỉ đạo). Ban Chỉ đạo có chức năng giúp Chính phủ, Thủ tướng Chính phủ nghiên cứu, chỉ đạo, phối hợp giải quyết những công việc quan trọng, liên ngành liên quan đến thúc đẩy phát triển ngành công nghiệp bán dẫn tại Việt Nam.
Kaspersky sẽ ngừng cung cấp dịch vụ tại Mỹ do lệnh cấm của chính phủ, với khoảng một triệu khách hàng của họ sẽ được chuyển sang phần mềm chống mã độc UltraAV thuộc sở hữu của Pango. Việc này đánh dấu bước chuyển giao lớn trong thị trường an ninh mạng tại Hoa Kỳ.
08:00 | 18/09/2024
Chương trình “Vinh quang thầm lặng 2024” do Ban Cơ yếu Chính phủ chỉ đạo, Tạp chí An toàn thông tin phối hợp với Oscar Media tổ chức đặc biệt chào mừng Kỷ niệm 80 năm ngày thành lập QĐND Việt Nam (22/12/1944-22/12/2024), 35 năm Ngày Quốc phòng toàn dân (22/12/1989-22/12/2024) và Kỷ niệm 79 năm Ngày thành lập ngành Cơ yếu Việt Nam (12/9/1945-12/9/2024). Chương trình diễn ra tại Trung tâm Hội nghị Quốc gia Hà Nội ngày 06/9/2024, phát sóng trực tiếp trên kênh Truyền hình Quốc phòng Việt Nam, với sự tài trợ chính của Công ty Cổ phần Sản xuất và Kinh doanh VinFast.
10:00 | 10/09/2024
Ngày 10/9 vừa qua, Microsoft đã tổ chức một hội nghị thượng đỉnh để thảo luận về các bước cải thiện hệ thống an ninh mạng, sau khi bản cập nhật phần mềm bị lỗi từ CrowdStrike đã gây ra sự cố gián đoạn công nghệ thông tin phạm vi toàn cầu vào tháng 7.
09:00 | 17/09/2024