Các nghiên cứu bảo mật của Microsoft cho biết: “Các tin tặc tiếp tục nhắm mục tiêu mạnh mẽ vào các cá nhân và tổ chức liên quan đến các vấn đề quốc tế, quốc phòng và hỗ trợ hậu cần cho Ukraine, cũng như các học viện, công ty bảo mật thông tin và các thực thể khác có liên quan đến lợi ích nhà nước của Nga”.
Cold River được biết đã hoạt động ít nhất từ năm 2017 và có mối liên hệ với Cơ quan An ninh Liên bang Nga (FSB). Vào tháng 8/2023, công ty an ninh mạng Recorded Future (Mỹ) đã tiết lộ 94 tên miền mới nằm trong cơ sở hạ tầng tấn công của Cold River, hầu hết trong số đó có từ khóa liên quan đến công nghệ thông tin và tiền điện tử.
Microsoft chia sẻ rằng họ đã quan sát thấy nhóm tin tặc này lợi dụng các tập lệnh phía máy chủ để ngăn chặn quá trình quét tự động cơ sở hạ tầng do chúng kiểm soát bắt đầu từ tháng 4/2023. Mã JavaScript phía máy chủ được thiết kế để kiểm tra xem trình duyệt có cài đặt bất kỳ plugin nào hay không, xem trang có đang được truy cập bằng công cụ tự động hóa như Selenium hoặc PhantomJS không và truyền kết quả đến máy chủ dưới dạng yêu cầu HTTP POST.
Microsoft cho biết: “Theo yêu cầu POST, máy chủ chuyển hướng sẽ đánh giá dữ liệu được thu thập từ trình duyệt và quyết định xem có cho phép tiếp tục chuyển hướng trình duyệt hay không”.
Nội dung của yêu cầu POST và phản hồi của máy chủ
Cold River cũng sử dụng các dịch vụ như HubSpot và MailerLite để tạo các chiến dịch đóng vai trò là điểm khởi đầu của chuỗi tấn công nhằm chuyển hướng đến máy chủ Evilginx lưu trữ trang thu thập thông tin xác thực.
Ngoài ra, các nhà nghiên cứu bảo mật còn quan sát thấy nhóm tin tặc Cold River sử dụng nhà cung cấp dịch vụ tên miền (DNS) để phân giải tên miền do nhóm tin tặc này đăng ký, gửi các tệp tin mồi nhử PDF được bảo vệ bằng mật khẩu và nhúng các liên kết để trốn tránh các quy trình bảo mật email cũng như lưu trữ các tệp trên Proton Drive.
Theo Microsoft, giờ đây các tin tặc Cold River đã nâng cấp thuật toán tạo tên miền (DGA) để tạo danh sách tên miền ngẫu nhiên hơn. Microsoft cho biết, các hoạt động của Cold River vẫn tập trung vào hành vi đánh cắp thông tin xác thực email, chủ yếu nhắm mục tiêu vào các nhà cung cấp email dựa trên đám mây lưu trữ tài khoản email tổ chức hoặc cá nhân.
Lê Thị Bích Hằng
(Tổng hợp)
08:00 | 08/12/2023
08:00 | 12/01/2024
14:00 | 23/11/2023
14:00 | 22/02/2024
14:00 | 08/11/2023
16:00 | 27/09/2024
16:00 | 15/03/2024
09:00 | 25/10/2023
08:00 | 06/11/2023
11:00 | 03/09/2024
Google chính thức giới thiệu hai tính năng Gemini mới cho Gmail, tích hợp trí tuệ nhân tạo (AI) để hỗ trợ người dùng viết và chỉnh sửa email, cải thiện hiệu suất và chất lượng công việc.
10:00 | 19/08/2024
Hiện nay, email đã trở thành phương thức liên lạc chính của các cá nhân và tổ chức, điều này khiến nhu cầu về các dịch vụ lưu trữ email ngày càng tăng. Những dịch vụ này không chỉ cung cấp dung lượng lưu trữ lớn, mà còn phải đảm bảo tính bảo mật mạnh mẽ, giúp bảo vệ thông tin cá nhân và dữ liệu quan trọng của người dùng. Bài báo sẽ thông tin tới độc giả Top 5 dịch vụ lưu trữ email tốt nhất năm 2024 theo đánh giá của chuyên trang công nghệ uy tín ZDNET.
14:00 | 05/08/2024
Trong tháng 7, ServiceNow đã phát hành bản vá các lỗ hổng nghiêm trọng có định danh là CVE-2024-4879, CVE-2024-5178 và CVE-2024-5217. Các lỗ hổng này có thể đánh cắp thông tin đăng nhập và truy cập đầy đủ cơ sở dữ liệu.
16:00 | 24/07/2024
Mới đây Oracle đã phát hành bản vá cho WebLogic Server để khắc phục một lỗ hổng bảo mật nghiêm trọng có định danh là CVE-2024-21181 với điểm CVSS 9.8.
Gã khổng lồ công nghệ Google rót 1 tỷ USD vào Thái Lan, xây dựng trung tâm dữ liệu và mở rộng dịch vụ đám mây.
10:00 | 10/10/2024