Cơ quan An ninh mạng và cơ sở hạ tầng (CISA), Cục Điều tra Liên bang (FBI), Cơ quan An ninh quốc gia (NSA) của Mỹ, Cơ quan Tình báo Điện tử Canada (CSE), Cảnh sát Liên bang (AFP) và Trung tâm An ninh mạng (ACSC) của Úc cho biết, kể từ tháng 10/2023, các nhóm tin tặc của Iran đã sử dụng phương pháp Password Spraying (một loại tấn công Brute Force liên quan đến việc kẻ tấn công cố gắng sử dụng nhiều mật khẩu chung để có quyền truy cập), MFA bombing và các kỹ thuật khác để xâm nhập vào tài khoản người dùng và hệ thống của các tổ chức.
Các cuộc tấn công nhắm vào các cơ quan trong lĩnh vực năng lượng, kỹ thuật, chính phủ, chăm sóc sức khỏe và y tế công cộng (HPH) và công nghệ thông tin để đánh cắp thông tin xác thực, sửa đổi đăng ký xác thực đa yếu tố (MFA) để truy cập liên tục và thực hiện dò quét mạng nhằm đánh cắp thêm thông tin xác thực và dữ liệu quan trọng khác.
Các cơ quan đánh giá, tác nhân đe dọa Iran rao bán những thông tin mà chúng thu thập được trên các diễn đàn tội phạm mạng. Trước khi có được quyền truy cập liên tục vào các mạng mục tiêu, các tin tặc có thể thu thập thông tin về nạn nhân. Sau khi xâm phạm ban đầu, chúng thực hiện thêm hoạt động do thám để thu thập thông tin xác thực, nâng cao đặc quyền, phát hiện các hệ thống trên mạng và di chuyển ngang hàng.
Bản khuyến cáo cho biết: “Những kẻ tấn công sử dụng tài khoản email nhóm và người dùng hợp lệ, thường lấy được bằng cách tấn công Brute Force như Password Spraying, mặc dù đôi khi bằng các phương pháp không xác định, để có được quyền truy cập ban đầu vào các hệ thống Microsoft 365, Azure và Citrix”.
Nếu MFA dựa trên thông báo được bật, kẻ tấn công sẽ tấn công người dùng bằng thông báo MFA cho đến khi họ chấp thuận yêu cầu. Sau khi truy cập tài khoản, chúng đăng ký thiết bị của mình bằng MFA để đảm bảo quyền truy cập lâu dài.
Bên cạnh đó, các tin tặc thường tiến hành hoạt động của chúng bằng dịch vụ mạng riêng ảo (VPN). Một số địa chỉ IP trong hoạt động độc hại của những kẻ tấn công bắt nguồn từ các "exit node" được liên kết với dịch vụ VPN Private Internet Access.
Các tin tặc bị phát hiện sử dụng Remote Desktop để di chuyển ngang hàng, sử dụng các công cụ mã nguồn mở để do thám và thu thập thông tin xác thực, đồng thời mạo danh Domain Controller, có khả năng là bằng cách khai thác lỗ hổng ZeroLogon (CVE-2020-1472).
Bản khuyến cáo nêu rõ: “Trong một số trường hợp, khi đăng nhập vào tài khoản của nạn nhân, kẻ tấn công đã tải xuống các tệp liên quan đến việc truy cập từ xa và kho dữ liệu của tổ chức, có khả năng đánh cắp các tệp để tiếp tục tồn tại trong mạng của nạn nhân hoặc để rao bán thông tin trực tuyến”.
Đây không phải là lần đầu tiên tin tặc Iran nhắm vào các cơ sở hạ tầng quan trọng. Vào tháng 8, các cuộc điều tra của FBI đã tiết lộ rằng các tác nhân đe dọa như Pioneer Kitten, có liên hệ với Chính phủ Iran và liên kết với một công ty công nghệ thông tin của Iran. Đánh giá được thực hiện với sự hợp tác của CISA, FBI và Trung tâm tội phạm mạng của Bộ Quốc phòng Mỹ, chỉ ra rằng những tin tặc này đang tham gia vào các hoạt động mạng độc hại.
Các tổ chức được khuyến cáo nên xem lại nhật ký xác thực để xác định nhiều lần xác thực không thành công, cho thấy hoạt động tấn công bằng Brute Force, thông tin đăng nhập đáng ngờ, IP được sử dụng cho nhiều tài khoản, thông tin đăng nhập từ nhiều IP có khoảng cách địa lý đáng kể, đăng ký MFA và sử dụng tài khoản có đặc quyền đáng ngờ, hoạt động bất thường trong tài khoản không hoạt động, chuỗi tác nhân người dùng bất thường và các nỗ lực ghi đè thông tin đăng nhập.
Để ngăn ngừa các cuộc tấn công, các tổ chức nên cập nhật chính sách quản lý mật khẩu như: tránh sử dụng những mật khẩu phổ biến, thiết lập mật khẩu đủ mạnh (có cả chữ thường, in hoa, số và ký tự đặc biệt); vô hiệu hóa tài khoản của nhân viên cũ hoặc những người dùng từ lâu không hoạt động; triển khai xác thực MFA; tổ chức các khóa đào tạo về an ninh mạng cho người dùng.
Dương Ngân
(Tổng hợp)
21:00 | 16/11/2023
10:00 | 07/11/2023
14:00 | 26/10/2021
10:00 | 24/12/2024
Mới đây, các nhà nghiên cứu an ninh mạng đã phát hiện một rootkit mới có tên là Pumakit trên hệ điều hành Linux, được thiết kế với nhiều lớp để ẩn mình và leo thang đặc quyền một cách tinh vi.
08:00 | 22/12/2024
Trang web chuyên đăng tải các bài báo về phòng chống lừa đảo mạng Scam Sniffer cho biết, trong thời gian gần đây kẻ tấn công đã cài phần mềm chứa mã độc vào các trang web giả mạo được lập ra với mục đích để xác thực tài khoản Telegram của người dùng.
13:00 | 18/11/2024
Cisco đã xử lý lỗ hổng nghiêm trọng định danh CVE-2024-20418 cho phép kẻ tấn công thực thi lệnh với quyền root trên các điểm truy cập Ultra-Reliable Wireless Backhaul (URWB) dễ bị tấn công.
08:00 | 26/09/2024
Theo dữ liệu mới từ Kaspersky, tình hình an ninh mạng Việt Nam đã có những dấu hiệu tích cực trong quý II/2024 so với cùng kỳ năm trước. Tuy nhiên, trước sự gia tăng và phức tạp của các loại hình tấn công mạng, việc duy trì cảnh giác cao độ và đầu tư vào các giải pháp bảo mật vẫn là nhiệm vụ cần được ưu tiên hàng đầu.
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
09:00 | 08/01/2025