OilRig còn được biết đến với các tên gọi khác như Cobalt Gypsy, Earth Simnavaz và Helix Kitten, nhóm tin tặc này đã hoạt động ít nhất từ năm 2014, nhắm vào các thực thể trong lĩnh vực năng lượng và cơ sở hạ tầng quan trọng khác, theo đuổi các mục tiêu phù hợp với mục tiêu của Chính phủ Iran.
Trend Micro cho biết: “Trong những tháng gần đây, đã có sự gia tăng đáng kể các cuộc tấn công mạng được cho là do nhóm tin tặc OilRig thực hiện, nhắm vào các khu vực chính phủ tại Các Tiểu vương quốc Ả Rập Thống nhất (UAE) và khu vực Vùng Vịnh rộng lớn”.
Là một phần trong các hoạt động mới được phát hiện, OilRig đã triển khai một backdoor mới tinh vi để đánh cắp thông tin đăng nhập thông qua các máy chủ Microsoft Exchange Server on-premises.
Ngoài ra, các tin tặc OilRig còn bị phát hiện lạm dụng chính sách lọc mật khẩu để trích xuất mật khẩu dạng rõ, lợi dụng công cụ giám sát và quản lý từ xa (RMM) Ngrok để tạo đường hầm (tunnel) lưu lượng truy cập và duy trì tính bền bỉ, đồng thời khai thác lỗ hổng CVE-2024-30088.
Được biết, CVE-2024-30088 là lỗ hổng leo thang đặc quyền trong Windows kernel, ảnh hưởng đến các hệ điều hành Microsoft. Lỗ hổng này có điểm CVSS cao là 8,8, cho thấy tác động nghiêm trọng của nó.
Kẻ tấn công có thể khai thác lỗ hổng này để nâng cao quyền của chúng trên các mục tiêu bị ảnh hưởng, có khả năng giành toàn quyền kiểm soát hệ thống. Microsoft đã vá lỗ hổng này vào tháng 6/2024, tuy nhiên gã khổng lồ công nghệ không đề cập đến việc khai thác trong thực tế tại thời điểm hiện tại.
Trend Micro cho biết, các tin tặc đã tải một web shell lên một máy chủ web dễ bị tấn công. Web shell này không chỉ cho phép thực thi mã PowerShell mà còn cho phép kẻ tấn công tải xuống và tải lên (upload) các tệp từ máy chủ.
Sau khi truy cập được vào hệ thống mạng, các tin tặc triển khai Ngrok và tận dụng nó để di chuyển ngang hàng, cuối cùng xâm phạm Domain Controller và khai thác CVE-2024-30088 để leo thang đặc quyền. Các tin tặc cũng đã cấu hình một DLL lọc mật khẩu và triển khai backdoor nhằm thu thập thông tin xác thực.
Các nhà nghiên cứu cho biết kẻ tấn công cũng đã sử dụng thông tin đăng nhập tên miền bị xâm phạm để truy cập vào Exchange Server và đánh cắp dữ liệu.
“Mục tiêu chính của giai đoạn này là thu thập mật khẩu bị đánh cắp và gửi những thông tin này cho kẻ tấn công dưới dạng tệp đính kèm email. Ngoài ra, chúng tôi quan sát thấy rằng kẻ tấn công lợi dụng các tài khoản hợp pháp có mật khẩu bị rò rỉ để định tuyến các email này qua máy chủ Exchange Server của một số chính phủ”, Trend Micro giải thích.
Backdoor được triển khai trong các cuộc tấn công này có điểm tương đồng với phần mềm độc hại khác được OilRig sử dụng, đó là lấy tên người dùng và mật khẩu từ một tệp cụ thể, cũng như dữ liệu cấu hình từ máy chủ Exchange Mail Server và gửi email đến một địa chỉ mục tiêu đã chỉ định.
Nguyễn Hữu Hưng
(Tổng hợp)
10:00 | 16/08/2024
08:00 | 22/05/2024
11:00 | 26/04/2024
07:00 | 22/10/2024
Một chiến dịch phần mềm độc hại mới nhắm vào lĩnh vực bảo hiểm và tài chính đã được phát hiện bằng cách sử dụng các liên kết GitHub trong các email lừa đảo như một cách để vượt qua các biện pháp bảo mật và phát tán Remcos RAT. Chiến dịch cho thấy phương pháp này đang được các tác nhân đe dọa ưa chuộng.
10:00 | 28/08/2024
Theo cảnh báo mới nhất từ Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) và Cục Điều tra Liên bang Mỹ (FBI) các cuộc tấn công bằng mã độc tống tiền BlackSuit đã lan rộng trên nhiều lĩnh vực, cơ sở hạ tầng quan trọng bao gồm các cơ sở thương mại, chăm sóc sức khỏe và y tế công cộng, cơ sở hạ tầng của chính phủ và một số cơ sở sản xuất trọng yếu.
10:00 | 31/07/2024
Mới đây, tin tặc đã phát tán tài liệu nội bộ liên quan đến các cơ quan trọng yếu của Mỹ như Bộ Quốc phòng, Bộ An ninh Nội địa, Cơ quan Hàng không và Vũ trụ (NASA). Theo đó, tài liệu nội bộ bị đánh cắp từ Leidos Holdings, một trong những nhà cung cấp dịch vụ công nghệ thông tin lớn nhất của Chính phủ Mỹ.
10:00 | 23/07/2024
Ngày 19/7, dịch vụ đám mây Azure, Microsoft 365 và Teams của Microsoft gặp trục trặc khiến hàng nghìn chuyến bay trên toàn cầu bị hoãn, hủy và gây gián đoạn hoạt động tại nhiều sân bay. Nguyên nhân vấn đề được cho là xuất phát từ lỗi trong hệ thống của Công ty an ninh mạng toàn cầu CrowdStrike (Mỹ) - đối tác của Microsoft. Đây được coi là sự cố lớn nhất trong lịch sử với mức độ ảnh hưởng sâu rộng từ giao thông vận tải, ngân hàng đến an ninh, y tế...
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
11:00 | 24/10/2024