Gã khổng lồ công nghệ đã đặt tên cho botnet này là CovertNetwork-1658, nêu rõ các hoạt động dò mật khẩu được sử dụng để đánh cắp thông tin đăng nhập từ nhiều khách hàng của Microsoft.
Nhóm Microsoft Threat Intelligence cho biết: “Storm-0940 hoạt động ít nhất từ năm 2021, nhóm có quyền truy cập ban đầu thông qua việc dò mật khẩu và tấn công hay khai thác hoặc sử dụng sai mục đích các ứng dụng và dịch vụ biên mạng. Storm-0940 nhắm vào các tổ chức ở Bắc Mỹ và Châu Âu, bao gồm các nhóm nghiên cứu, tổ chức chính phủ, tổ chức phi chính phủ, công ty luật, cơ sở công nghiệp quốc phòng và nhiều tổ chức khác”.
Quad7 còn gọi là 7777 hoặc xlogin là chủ đề của các phân tích sâu rộng của Công ty an ninh mạng châu Âu Sekoia (Pháp) và Team Cymru trong những tháng gần đây. Phần mềm độc hại botnet đã được phát hiện nhắm vào một số thương hiệu bộ định tuyến SOHO và thiết bị VPN, bao gồm TP-Link, Zyxel, Asus, Axentra, D-Link và NETGEAR.
Các thiết bị này bị khai thác qua các lỗ hổng bảo mật đã được công bố và cả những lỗ hổng chưa được xác định để giành quyền thực thi mã từ xa. Tên của botnet được đặt dựa trên việc các router bị nhiễm một backdoor hoạt động trên cổng TCP 7777 nhằm hỗ trợ truy cập từ xa.
Quy trình khai thác của botnet CovertNetwork-1658
Sekoia chia sẻ vào tháng 9/2024 rằng, mạng botnet chủ yếu được sử dụng để thực hiện các tấn công vào tài khoản Microsoft 365, đồng thời cho biết thêm rằng những kẻ điều hành có khả năng là các nhóm tấn công được Trung Quốc tài trợ.
Microsoft cũng đánh giá rằng những người duy trì mạng botnet có trụ sở tại Trung Quốc và nhiều nhóm tấn công đe dọa từ quốc gia này đang sử dụng mạng botnet để thực hiện các cuộc tấn công dò mật khẩu nhằm phục vụ cho các hoạt động khai thác mạng máy tính tiếp theo. Ước tính có tới 8.000 thiết bị bị xâm phạm đang hoạt động trong mạng tại bất kỳ thời điểm nào, mặc dù chỉ có 20% trong số các thiết bị đó tham gia vào hoạt động dò mật khẩu.
Nhà sản xuất Windows cũng cảnh báo rằng cơ sở hạ tầng botnet đã chứng kiến sự suy giảm mạnh mẽ sau khi công khai, làm dấy lên khả năng những kẻ tấn công có thể đang xây dựng cơ sở hạ tầng mới được sửa đổi để tránh bị phát hiện.
Microsoft lưu ý rằng: “Bất kỳ tác nhân đe dọa nào sử dụng cơ sở hạ tầng CovertNetwork-1658 đều có thể tiến hành các chiến dịch dò mật khẩu ở quy mô lớn hơn, làm tăng đáng kể khả năng xâm phạm thông tin đăng nhập thành công và truy cập ban đầu vào nhiều tổ chức trong một khoảng thời gian ngắn. Quy mô này, kết hợp với việc luân chuyển nhanh chóng các thông tin đăng nhập bị xâm phạm giữa CovertNetwork-1658 và các nhóm tấn công từ Trung Quốc, tạo ra khả năng xâm phạm tài khoản trên nhiều lĩnh vực và khu vực địa lý”.
Bá Phúc
10:00 | 24/12/2024
17:00 | 07/11/2024
11:00 | 05/12/2024
10:00 | 04/12/2024
07:00 | 07/11/2024
09:00 | 08/11/2024
17:00 | 18/12/2024
08:00 | 27/02/2025
Ngày 21/02, sàn giao dịch tiền mã hóa Bybit đã hứng chịu một cuộc tấn công mạng nghiêm trọng, gây thiệt hại khoảng 1,5 tỷ USD. Đây là một trong những vụ tấn công mạng lớn nhất trong lịch sử ngành Blockchain, gióng lên hồi chuông cảnh báo về an ninh tài sản số trên toàn cầu, trong đó có Việt Nam.
08:00 | 21/02/2025
Một lỗ hổng định danh CVE-2025-1240 với điểm CVSS 7,8 được phát hiện trong phần mềm giải nén Winzip có khả năng cho phép kẻ tấn công từ xa thực thi mã tùy ý trên các hệ thống bị ảnh hưởng. Đây là một lỗ hổng Out-Of-Bound Write cho phép ghi ngoài vùng nhớ được cấp phát của chương trình.
09:00 | 24/01/2025
Các nhà nghiên cứu bảo mật đã phát hiện một mã khai thác (Proof of Concept - PoC) lừa đảo đối với lỗ hổng CVE-2024-49113 (hay còn gọi là LDAPNightmare) trên GitHub lây nhiễm phần mềm độc hại đánh cắp thông tin cho người dùng, từ đó đánh cắp dữ liệu nhạy cảm sang máy chủ FTP bên ngoài.
16:00 | 27/11/2024
Ngày nay, cụm từ "chuỗi cung ứng" đã vô cùng phổ biến trong những câu chuyện đời sống hàng ngày và trở thành một yếu tố then chốt trong nền kinh tế toàn cầu, đóng vai trò quan trọng trong việc sản xuất và phân phối hàng hóa và dịch vụ. Đây cũng là mục tiêu mà tội phạm công nghệ cao nhắm tới bằng phần mềm độc hại hay nhiều cách thức khác nhau.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Ngày 17/3, Tổng thống Mexico Claudia Sheinbaum xác nhận một trong những thiết bị di động của bà đã bị tin tặc tấn công vài ngày trước, song cơ quan an ninh thông tin đã vào cuộc và vô hiệu hóa thành công cuộc tấn công này.
14:00 | 19/03/2025
