Công ty an ninh mạng Symantec (thuộc Broadcom - Hoa Kỳ), cho biết trong một báo cáo: “Điều này được thực hiện để tạo điều kiện thuận lợi cho việc liên lạc với cơ sở hạ tầng chỉ huy và kiểm soát (C&C) được lưu trữ trên các dịch vụ đám mây của Microsoft”.
Kể từ tháng 1/2022, nhiều nhóm tin tặc liên kết với từng quốc gia đã bị phát hiện sử dụng API Microsoft Graph cho C&C, có thể kể đến: APT28, REF2924, Red Stinger, Flea, APT29 và OilRig.
Trường hợp lạm dụng API Microsoft Graph đầu tiên được biết đến bắt đầu từ tháng 6 năm 2021 liên quan đến một loạt hoạt động có tên là Harvester, được phát hiện bằng cách sử dụng một bộ cấy tùy chỉnh có tên là Graphon, sử dụng API để giao tiếp với cơ sở hạ tầng của Microsoft.
Symantec cho biết gần đây họ đã phát hiện việc sử dụng kỹ thuật tương tự nhằm vào một tổ chức giấu tên ở Ukraine, liên quan đến việc triển khai một phần mềm độc hại có tên BirdyClient (còn gọi là OneDriveBirdyClient).
Tệp DLL có tên "vxdiff[.]dll", giống như một tệp DLL hợp pháp được liên kết với ứng dụng có tên Apoint ("apoint[.]exe"), tệp này được thiết kế để kết nối với Microsoft Graph API và sử dụng OneDrive làm máy chủ C&C để tải lên và tải xuống các tập tin.
Hiện chưa có thông tin về phương pháp phân phối và yêu cầu tải DLL, cũng như thông tin về tác nhân đe dọa cùng mục tiêu cuối cùng của nhóm tin tặc.
Symantec cho biết: “Thông tin liên lạc của kẻ tấn công với máy chủ C&C thường có thể gây ra cảnh báo đỏ đối với các tổ chức mục tiêu. Ngoài việc có vẻ kín đáo, đây còn là nguồn cơ sở hạ tầng an toàn và rẻ tiền cho những kẻ tấn công vì các tài khoản cơ bản cho các dịch vụ như OneDrive đều miễn phí”.
Sự phát triển này diễn ra khi Permiso tiết lộ cách các lệnh quản trị đám mây có thể bị tin tặc khai thác với quyền truy cập đặc quyền để thực thi các lệnh trên máy ảo.
Công ty bảo mật đám mây này cho biết: “Hầu hết, tin tặc tận dụng các mối quan hệ đáng tin cậy để thực thi các lệnh trong các phiên bản tính toán được kết nối hoặc môi trường kết hợp bằng cách xâm phạm các nhà cung cấp bên ngoài hoặc nhà thầu bên thứ ba có quyền truy cập đặc quyền để quản lý môi trường dựa trên đám mây nội bộ. Bằng cách xâm phạm các thực thể bên ngoài này, tin tặc có thể có được quyền truy cập nâng cao, cho phép chúng thực thi các lệnh trong các phiên bản điện toán hoặc môi trường kết hợp”.
Quốc An
07:00 | 08/04/2024
09:00 | 05/09/2024
10:00 | 23/07/2024
15:00 | 13/12/2024
15:00 | 26/05/2023
10:00 | 09/12/2024
12:00 | 06/05/2024
22:00 | 31/01/2025
Apple vừa phát đi thông báo khẩn cấp, khuyến cáo người dùng iPhone nên cập nhật phần mềm ngay lập tức để vá lỗi và bảo vệ dữ liệu cá nhân.
08:00 | 29/01/2025
Một chiến thuật tấn công mới đang được tin tặc sử dụng thông qua cách thức "giả mạo mô phỏng giao dịch" để đánh cắp tiền điện tử, mới đây trên ScamSniffer (trang web chuyên đăng tải các bài báo về phòng, chống lừa đảo mạng) đã công bố một vụ tấn công sử dụng hình thức này gât thiệt hại 143,45 Ethereum (ETH) với trị giá khoảng 460.000 USD.
08:00 | 02/01/2025
Mới đây, hãng bảo mật McAfee đã phát hiện một ứng dụng độc hại có chứa mã gián điệp trên Amazon Appstore. Theo thông tin được công bố, ứng dụng độc hại dùng để tính chỉ số khối cơ thể (BMI) nhưng lại được cài cắm phần mềm gián điệp, có khả năng ghi lại màn hình và truy cập danh sách các ứng dụng của người dùng.
17:00 | 22/11/2024
Các nhà nghiên cứu tới từ công ty an ninh mạng Group-IB (Singapore) vừa phát hiện một chiến dịch tấn công mạng mới vô cùng tinh vi, lạm dụng các thuộc tính mở rộng của tệp macOS để phát tán một loại Trojan mới có tên gọi là “RustyAttr”. Bài viết này sẽ cùng phân tích và tìm hiểu về kỹ thuật tấn công này, dựa trên báo cáo của Group-IB.
Một lỗ hổng bảo mật mới được vá trong công cụ lưu trữ 7-Zip đã bị khai thác để phát tán phần mềm độc hại SmokeLoader.
09:00 | 10/02/2025