OilRig còn được biết đến với các tên gọi khác như Cobalt Gypsy, Earth Simnavaz và Helix Kitten, nhóm tin tặc này đã hoạt động ít nhất từ năm 2014, nhắm vào các thực thể trong lĩnh vực năng lượng và cơ sở hạ tầng quan trọng khác, theo đuổi các mục tiêu phù hợp với mục tiêu của Chính phủ Iran.
Trend Micro cho biết: “Trong những tháng gần đây, đã có sự gia tăng đáng kể các cuộc tấn công mạng được cho là do nhóm tin tặc OilRig thực hiện, nhắm vào các khu vực chính phủ tại Các Tiểu vương quốc Ả Rập Thống nhất (UAE) và khu vực Vùng Vịnh rộng lớn”.
Là một phần trong các hoạt động mới được phát hiện, OilRig đã triển khai một backdoor mới tinh vi để đánh cắp thông tin đăng nhập thông qua các máy chủ Microsoft Exchange Server on-premises.
Ngoài ra, các tin tặc OilRig còn bị phát hiện lạm dụng chính sách lọc mật khẩu để trích xuất mật khẩu dạng rõ, lợi dụng công cụ giám sát và quản lý từ xa (RMM) Ngrok để tạo đường hầm (tunnel) lưu lượng truy cập và duy trì tính bền bỉ, đồng thời khai thác lỗ hổng CVE-2024-30088.
Được biết, CVE-2024-30088 là lỗ hổng leo thang đặc quyền trong Windows kernel, ảnh hưởng đến các hệ điều hành Microsoft. Lỗ hổng này có điểm CVSS cao là 8,8, cho thấy tác động nghiêm trọng của nó.
Kẻ tấn công có thể khai thác lỗ hổng này để nâng cao quyền của chúng trên các mục tiêu bị ảnh hưởng, có khả năng giành toàn quyền kiểm soát hệ thống. Microsoft đã vá lỗ hổng này vào tháng 6/2024, tuy nhiên gã khổng lồ công nghệ không đề cập đến việc khai thác trong thực tế tại thời điểm hiện tại.
Trend Micro cho biết, các tin tặc đã tải một web shell lên một máy chủ web dễ bị tấn công. Web shell này không chỉ cho phép thực thi mã PowerShell mà còn cho phép kẻ tấn công tải xuống và tải lên (upload) các tệp từ máy chủ.
Sau khi truy cập được vào hệ thống mạng, các tin tặc triển khai Ngrok và tận dụng nó để di chuyển ngang hàng, cuối cùng xâm phạm Domain Controller và khai thác CVE-2024-30088 để leo thang đặc quyền. Các tin tặc cũng đã cấu hình một DLL lọc mật khẩu và triển khai backdoor nhằm thu thập thông tin xác thực.
Các nhà nghiên cứu cho biết kẻ tấn công cũng đã sử dụng thông tin đăng nhập tên miền bị xâm phạm để truy cập vào Exchange Server và đánh cắp dữ liệu.
“Mục tiêu chính của giai đoạn này là thu thập mật khẩu bị đánh cắp và gửi những thông tin này cho kẻ tấn công dưới dạng tệp đính kèm email. Ngoài ra, chúng tôi quan sát thấy rằng kẻ tấn công lợi dụng các tài khoản hợp pháp có mật khẩu bị rò rỉ để định tuyến các email này qua máy chủ Exchange Server của một số chính phủ”, Trend Micro giải thích.
Backdoor được triển khai trong các cuộc tấn công này có điểm tương đồng với phần mềm độc hại khác được OilRig sử dụng, đó là lấy tên người dùng và mật khẩu từ một tệp cụ thể, cũng như dữ liệu cấu hình từ máy chủ Exchange Mail Server và gửi email đến một địa chỉ mục tiêu đã chỉ định.
Nguyễn Hữu Hưng
10:00 | 16/08/2024
08:00 | 22/05/2024
11:00 | 26/04/2024
13:00 | 13/01/2025
Lừa đảo mạo danh đang là chiêu trò kẻ tấn công sử dụng trên không gian mạng Việt Nam và quốc tế. Lừa đảo qua email giả mạo dịch vụ bảo mật Windows và mạo danh doanh nghiệp bưu chính là 2 thủ đoạn vừa được các chuyên gia cảnh báo.
10:00 | 24/12/2024
Mới đây, các nhà nghiên cứu an ninh mạng đã phát hiện một rootkit mới có tên là Pumakit trên hệ điều hành Linux, được thiết kế với nhiều lớp để ẩn mình và leo thang đặc quyền một cách tinh vi.
17:00 | 22/11/2024
Các nhà nghiên cứu tới từ công ty an ninh mạng Group-IB (Singapore) vừa phát hiện một chiến dịch tấn công mạng mới vô cùng tinh vi, lạm dụng các thuộc tính mở rộng của tệp macOS để phát tán một loại Trojan mới có tên gọi là “RustyAttr”. Bài viết này sẽ cùng phân tích và tìm hiểu về kỹ thuật tấn công này, dựa trên báo cáo của Group-IB.
14:00 | 24/10/2024
Trong tháng 9/2024, Trung tâm Giám sát an toàn không gian mạng quốc gia (Cục An toàn thông tin, Bộ TT&TT) đã ghi nhận 125.338 địa chỉ website giả mạo các cơ quan, tổ chức tăng hơn 100 địa chỉ so với tháng 8 trước đó.
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
09:00 | 08/01/2025