Tấn công kỹ nghệ xã hội
cho biết, cuộc điều tra cho thấy chiến dịch đã có ảnh hưởng đến ít nhất 40 tổ chức trên toàn cầu. Các nạn nhân bị nhắm mục tiêu trong hoạt động này có thể chỉ ra các mục tiêu gián điệp cụ thể của APT29 nhắm vào các cơ quan chính phủ, các tổ chức phi chính phủ (NGO), dịch vụ công nghệ thông tin, công ty công nghệ, sản xuất và trong lĩnh vực truyền thông.
Các tin tặc đã sử dụng các tài khoản vốn đã bị xâm phạm thuộc sở hữu của các doanh nghiệp nhỏ để tạo ra các tên miền và tài khoản trông giống như hỗ trợ kỹ thuật, để đánh lừa người dùng của các tổ chức được nhắm mục tiêu bằng các chiến thuật kỹ nghệ xã hội. Mục đích của chúng là lôi kéo người dùng tham gia các cuộc trò chuyện và yêu cầu họ phê duyệt lời nhắc xác thực đa yếu tố (MFA) để đánh cắp thông tin đăng nhập của họ.
Các tên miền mới được tạo là một phần của tên miền “onmicrosoft.com”, đây là tên miền hợp pháp của Microsoft và được Microsoft 365 tự động sử dụng cho các mục đích dự phòng trong trường hợp tên miền tùy chỉnh không được tạo. Theo các nhà nghiên cứu, các tài khoản được liên kết với các tên miền này sau đó đã gửi tin nhắn lừa đảo để dụ dỗ người dùng thông qua Teams.
Nếu người dùng mục tiêu chấp nhận yêu cầu tin nhắn thì sẽ nhận được thông báo Microsoft Teams từ tin tặc đang cố thuyết phục họ nhập mã vào ứng dụng Microsoft Authenticator trên thiết bị di động. Nếu làm theo hướng dẫn, tin tặc sẽ được cấp mã thông báo để xác thực là người dùng, do đó cho phép chúng chiếm đoạt tài khoản và thực hiện các hoạt động khác sau khi thỏa hiệp thành công.
Tin nhắn lừa đảo của APT29
Vì các thông báo đến từ tên miền onmicrosoft.com hợp pháp nên chúng có thể đã khiến các thông báo hỗ trợ giả mạo của Microsoft trông có vẻ đáng tin cậy. “Trong một số trường hợp, các tin tặc cố gắng thêm một thiết bị vào tổ chức dưới dạng thiết bị được quản lý thông qua Microsoft Entra ID (trước đây là Azure Active Directory), có thể là nỗ lực phá vỡ các chính sách truy cập có điều kiện được cấu hình để chỉ hạn chế quyền truy cập vào các tài nguyên cụ thể đối với các thiết bị được quản lý”, Microsoft cho biết.
Gã khổng lồ công nghệ này báo cáo đã chặn thành công nhóm tin tặc APT29 sử dụng các tên miền trong các cuộc tấn công khác và hiện đang tích cực làm việc để giải quyết và giảm thiểu tác động của chiến dịch.
Nhóm tin tặc tình báo nước ngoài của Nga
Các nhà nghiên cứu của Microsoft cho biết, nhóm tin tặc APT29 đứng sau hoạt động này được biết đến với tên gọi khác là “Midnight Blizzard”, có trụ sở tại và có liên kết với SVR, đã đứng sau cuộc tấn công chuỗi cung ứng SolarWinds dẫn đến những vi phạm của một số cơ quan, tổ chức của Mỹ vào ba năm trước.
Kể từ sự cố đó, nhóm tin tặc này cũng đã thực hiện các cuộc xâm nhập mạng vào các tổ chức khác bằng cách sử dụng phần mềm độc hại tàng hình, bao gồm “TrailBlazer” và một biến thể của backdoor “GoldMax Linux”, cho phép chúng không bị phát hiện trong nhiều năm.
Gần đây hơn, Microsoft đã tiết lộ rằng nhóm tin tặc này đang sử dụng phần mềm độc hại mới có khả năng chiếm quyền kiểm soát dịch vụ Active Directory Federation Services (ADFS) để đăng nhập với tư cách là bất kỳ người dùng nào trong hệ thống . Hơn nữa, chúng đã nhắm mục tiêu đến các tài khoản Microsoft 365 thuộc về các thực thể tại các quốc gia thuộc Tổ chức Hiệp ước Bắc Đại Tây Dương () như một phần trong nỗ lực giành quyền truy cập vào thông tin liên quan đến các chính sách đối ngoại.
Ngoài ra, APT29 còn đứng sau một loạt các chiến dịch lừa đảo với mục tiêu rõ ràng vào các chính phủ, đại sứ quán và các quan chức cấp cao trên khắp các quốc gia tại châu Âu.
Hồng Đạt
09:00 | 19/07/2023
09:00 | 25/10/2023
08:00 | 06/11/2023
12:00 | 30/06/2022
14:00 | 08/11/2023
14:00 | 22/08/2023
10:00 | 28/09/2022
17:00 | 13/05/2024
Sáng ngày 13/5, tại Hà Nội, dưới sự bảo trợ của Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao - Bộ Công an, Hiệp hội An ninh mạng Quốc gia tổ chức Hội thảo “Phòng, chống lừa đảo trên không gian mạng”, nhằm đẩy mạnh công tác tuyên truyền, phổ biến kiến thức về các hành vi lừa đảo chiếm đoạt tài sản và các quy định của pháp luật có liên quan để nâng cao ý thức cảnh giác của người dân, doanh nghiệp; tăng cường sự phối hợp đồng bộ giữa các cơ quan, tổ chức, doanh nghiệp và người dân trong công tác phòng, chống lừa đảo trên không gian mạng.
21:00 | 03/05/2024
Đội thi 0range đến từ Học viện Kỹ thuật mật mã vừa giành vị trí dẫn đầu bảng tại cuộc thi an toàn thông tin quốc tế HackTheon Sejong, diễn ra ngày 27/4 theo hình thức trực tuyến. Điều này lần nữa khẳng định bước phát triển trong công tác đào tạo nguồn nhân lực an toàn thông tin tại Học viện Kỹ thuật mật mã nói riêng và tại Việt Nam nói chung.
15:00 | 16/04/2024
Theo báo cáo của The Times of India, một số công ty, tổ chức đang mua lỗ hổng Zero-day trên iPhone với giá lên đến 7 triệu USD và 5 triệu USD đối với điện thoại Android.
14:00 | 22/03/2024
Chiều 19/3, tại Hà Nội, Viện Khoa học - Công nghệ mật mã (Ban Cơ yếu Chính phủ) tổ chức hội thảo khoa học và sơ kết hoạt động nhóm mật mã lượng tử. Đến dự và chỉ đạo Hội thảo có Thiếu tướng Vũ Ngọc Thiềm, Trưởng ban Ban Cơ yếu Chính phủ.
Chiều ngày 15/5, tại Hà Nội, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn cùng đại diện lãnh đạo một số cơ quan, đơn vị thuộc Ban đã đến thăm và làm việc với Tòa án nhân dân tối cao nhằm phối hợp triển khai các nhiệm vụ về bảo mật và an toàn thông tin trong tình hình mới.
10:00 | 16/05/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Chiều ngày 16/5, tại Hà Nội, Tạp chí An toàn thông tin, Ban Cơ yếu Chính phủ đã có buổi làm việc với Viện Công nghệ Blockchain và Trí tuệ nhân tạo (Hiệp hội Blockchain Việt Nam) để cùng bàn về chương trình hoạt động hợp tác cụ thể trong thời gian tới.
09:00 | 17/05/2024