Trước đó, Kaspersky ICS Cerrt cũng đã cung cấp một báo cáo như vậy vào năm 2018 mô tả việc tin tặc sử dụng Teamviewer và các hệ thống điều khiển từ xa trong các cuộc tấn công này. Rõ ràng, những kẻ tấn công hiện đang sử dụng các kỹ thuật mới và nhắm tới nhiều các doanh nghiệp hơn.
Một số tấn công điển hình có thể kể đến như:
- Từ năm 2018 đến cuối năm 2020, tin tặc đã sử dụng hình thức gửi nhiều thư điện tử lừa đảo (phishing email) có chứa mã độc tới người dùng.
- Tin tặc sử dụng các kỹ thuật social engineering đánh lừa người dùng; các tài liệu hợp lệ như tài liệu cài đặt thiết bị máy móc hoặc thông tin xử lý, những tài liệu này bị đánh cắp từ các cuộc tấn công mạng.
- Các cuộc tấn công thường vẫn sử dụng là các công cụ quản trị từ xa. Giao diện người dùng của các công cụ này bị ẩn đi bởi mã độc, cho phép tin tặc điều khiển hệ thống của nạn nhân mà người dùng không hề hay biết.
- Trong phiên bản mới của mã độc, tin tặc đã thay đổi kênh kiểm soát sau khi một hệ thống mới bị chiếm quyền. Thay vì sử dụng các máy chủ điều khiển mã độc, tin tặc sử dụng giao diện web trên nền tảng đám mây của các công cụ quản trị từ xa.
- Trong quá trình tấn công, tin tặc sử dụng spyware (phần mềm gián điệp) và Mimikatz (phần mềm mã nguồn mở khai thác các lỗ hổng để xem các thông tin bảo mật của Windows như mật khẩu, mã PIN…) để đánh cắp các thông tin tài khoản và sau đó sử dụng để xâm nhập các hệ thống khác của nạn nhân.
- Trong các chiến dịch mới nhất, tin tặc nhắm tới các hệ thống hạ tầng công nghiệp ở Liên Bang Nga trong khắp các lĩnh vực, trọng tâm là ngành năng lượng. Ngoài ra, tin tặc cũng nhắm tới khối sản xuất, dầu mỏ, gas, công nghiệp kim loại, xây dựng, khai thác và logistic.
- Một vài nhóm chuyên thực hiện các cuộc tấn công APT gần đây đã phát động các chiến dịch tấn công mạng nhắm vào các hệ thống công nghiệp như: Tháng 10/2020, nhóm MontysThree APT đã phát động chiến dịch gián điệp nhằm vào một công ty quốc tế về kiến trúc và sản xuất video bằng kỹ thuật giấu tin (steganography) và khai thác ứng MAXScript của bên thứ 3 (PhysXPlyginMfx); tháng 8/2020, các tin tặc cũng bị phát hiện sử dụng các mã thực thi độc hại giả danh một plugin của Autodesk 3ds Max.
Các chuyên gia đưa ra khuyến nghị đối với người dùng:
- Cần nâng cao cảnh giác trong việc sử dụng Email, đặc biệt cần được đào tạo cách nhận diện được các Email lừa đảo.
- Hạn chế khả năng của các chương trình có được đặc quyền (nếu có thể).
- Cài đặt phần mềm diệt virus có hỗ trợ quản trị tập trung các chính sách bảo mật trong toàn hệ thống, liên tục cập nhật cơ sở dữ liệu mã độc và các môđun được cập nhật.
- Chỉ sử dụng tài khoản với quyền quản trị domain khi cần thiết. Sau mỗi lần sử dụng tài khoản này, hãy khởi động lại hệ thống nơi tài khoản này được dùng.
- Triển khai chính sách mật khẩu mạnh và yêu cầu thường xuyên thay đổi.
- Nếu có nghi ngờ một vài thành phần của hệ thống bị lây nhiễm: hãy xóa bỏ tất cả các công cụ quản trị từ xa của bên thứ ba, dò quét các hệ thống này với phần mềm diệt virus và thực hiện bắt buộc thay đổi mật khẩu đối với tất cả các tài khoản đã đăng nhập vào hệ thống bị lây nhiễm.
- Giám sát các kết nối mạng để tìm các dấu vết của phần mềm điều khiển từ xa được cài đặt bất hợp pháp, nhấn mạnh với Teamviewer.
- Không sử dụng các phiên bản cũ của Teamviewer (từ phiên bản 6.0 trở về trước).
- Sử dụng trình giám sát, thống kê các ứng dụng và phiên bản của chúng đang hoạt động trên máy tính của người dùng. Điều này giúp chủ động giám sát các ứng dụng đang xuất hiện trong hệ thống. Trình giám sát này có thể là một tính năng của các phần mềm diệt virus.
Lưu ý rằng, vì tấn công này sử dụng các phần mềm điều khiển từ xa hợp pháp, phần mềm điều khiển có thể tồn tại trên máy tính của nạn nhân và vẫn tiếp tục hoạt động dù trình tải mã độc đã bị xóa.
Trọng Huấn
16:00 | 21/08/2020
17:00 | 26/08/2020
09:25 | 14/09/2017
16:00 | 27/09/2024
Một chiến dịch quốc tế phối hợp giữa các cơ quan thực thi pháp luật đã thành công trong việc triệt phá một mạng lưới tội phạm tinh vi chuyên mở khóa điện thoại di động bị mất hoặc đánh cắp. Mạng lưới này đã sử dụng nền tảng lừa đảo tự động iServer để đánh cắp thông tin đăng nhập của hàng trăm nghìn nạn nhân trên toàn thế giới.
10:00 | 28/08/2024
Theo cảnh báo mới nhất từ Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) và Cục Điều tra Liên bang Mỹ (FBI) các cuộc tấn công bằng mã độc tống tiền BlackSuit đã lan rộng trên nhiều lĩnh vực, cơ sở hạ tầng quan trọng bao gồm các cơ sở thương mại, chăm sóc sức khỏe và y tế công cộng, cơ sở hạ tầng của chính phủ và một số cơ sở sản xuất trọng yếu.
14:00 | 22/08/2024
Các máy chủ của Microchip Technology, nhà cung ứng chip quan trọng cho ngành công nghiệp quốc phòng Mỹ đã bị tấn công, buộc công ty này phải tạm ngừng một số hệ thống và giảm quy mô hoạt động.
10:00 | 16/08/2024
Vào tháng 5/2024, các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một mối đe dọa APT mới nhắm vào các thực thể Chính phủ Nga. Được gọi là CloudSorcerer, đây là một công cụ gián điệp mạng tinh vi được sử dụng để theo dõi lén lút, thu thập dữ liệu và đánh cắp thông tin thông qua cơ sở hạ tầng đám mây Microsoft Graph, Yandex Cloud và Dropbox. Phần mềm độc hại này tận dụng các tài nguyên đám mây và GitHub làm máy chủ điều khiển và ra lệnh (C2), truy cập chúng thông qua API bằng mã thông báo xác thực. Bài viết này sẽ tiến hành phân tích và giải mã về công cụ gián điệp mạng này, dựa trên báo cáo mới đây của Kaspersky.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Các chuyên gia phát hiện ra 02 lỗ hổng Zero-day trong camera PTZOptics định danh CVE-2024-8956 và CVE-2024-8957 sau khi Sift - công cụ chuyên phát hiện rủi ro an ninh mạng sử dụng AI tìm ra hoạt động bất thường chưa từng được ghi nhận trước đó trên mạng honeypot của công ty này.
09:00 | 08/11/2024
