.PNG)
Công ty an ninh mạng Symantec (thuộc Broadcom - Hoa Kỳ), cho biết trong một báo cáo: “Điều này được thực hiện để tạo điều kiện thuận lợi cho việc liên lạc với cơ sở hạ tầng chỉ huy và kiểm soát (C&C) được lưu trữ trên các dịch vụ đám mây của Microsoft”.
Kể từ tháng 1/2022, nhiều nhóm tin tặc liên kết với từng quốc gia đã bị phát hiện sử dụng cho C&C, có thể kể đến: APT28, REF2924, Red Stinger, Flea, APT29 và OilRig.
Trường hợp lạm dụng API Microsoft Graph đầu tiên được biết đến bắt đầu từ tháng 6 năm 2021 liên quan đến một loạt hoạt động có tên là Harvester, được phát hiện bằng cách sử dụng một bộ cấy tùy chỉnh có tên là Graphon, sử dụng API để giao tiếp với cơ sở hạ tầng của Microsoft.
Symantec cho biết gần đây họ đã phát hiện việc sử dụng kỹ thuật tương tự nhằm vào một tổ chức giấu tên ở Ukraine, liên quan đến việc triển khai một có tên BirdyClient (còn gọi là OneDriveBirdyClient).
Tệp DLL có tên "vxdiff[.]dll", giống như một tệp DLL hợp pháp được liên kết với ứng dụng có tên Apoint ("apoint[.]exe"), tệp này được thiết kế để kết nối với Microsoft Graph API và sử dụng OneDrive làm máy chủ C&C để tải lên và tải xuống các tập tin.
Hiện chưa có thông tin về phương pháp phân phối và yêu cầu tải DLL, cũng như thông tin về tác nhân đe dọa cùng mục tiêu cuối cùng của nhóm tin tặc.
Symantec cho biết: “Thông tin liên lạc của kẻ tấn công với máy chủ C&C thường có thể gây ra cảnh báo đỏ đối với các tổ chức mục tiêu. Ngoài việc có vẻ kín đáo, đây còn là nguồn cơ sở hạ tầng an toàn và rẻ tiền cho những kẻ tấn công vì các tài khoản cơ bản cho các dịch vụ như OneDrive đều miễn phí”.
Sự phát triển này diễn ra khi Permiso tiết lộ cách các lệnh quản trị đám mây có thể bị tin tặc khai thác với quyền truy cập đặc quyền để thực thi các lệnh trên máy ảo.
Công ty bảo mật đám mây này cho biết: “Hầu hết, tin tặc tận dụng các mối quan hệ đáng tin cậy để thực thi các lệnh trong các phiên bản tính toán được kết nối hoặc môi trường kết hợp bằng cách xâm phạm các nhà cung cấp bên ngoài hoặc nhà thầu bên thứ ba có quyền truy cập đặc quyền để quản lý môi trường dựa trên nội bộ. Bằng cách xâm phạm các thực thể bên ngoài này, tin tặc có thể có được quyền truy cập nâng cao, cho phép chúng thực thi các lệnh trong các phiên bản điện toán hoặc môi trường kết hợp”.
Quốc An
07:00 | 08/04/2024
10:00 | 23/07/2024
09:00 | 05/09/2024
15:00 | 26/05/2023
12:00 | 06/05/2024
14:00 | 24/10/2024
Trong tháng 9/2024, Trung tâm Giám sát an toàn không gian mạng quốc gia (Cục An toàn thông tin, Bộ TT&TT) đã ghi nhận 125.338 địa chỉ website giả mạo các cơ quan, tổ chức tăng hơn 100 địa chỉ so với tháng 8 trước đó.
13:00 | 13/08/2024
Các nhà nghiên cứu bảo mật tại Cleafy Labs (Italy) phát hiện ra một phần mềm độc hại Android mang tên BingoMod nguy hiểm, có thể đánh cắp tiền và xóa sạch dữ liệu của người dùng.
10:00 | 04/07/2024
Các nhà nghiên cứu đã phát hành một tập lệnh khai thác (PoC) cho chuỗi lỗ hổng dẫn đến thực thi mã từ xa (RCE) trên các máy chủ Progress Telerik Report.
09:00 | 26/06/2024
Việc xác thực 2 yếu tố bằng mã OTP được xem là biện pháp bảo mật an toàn. Tuy nhiên các tin tặc đã tìm ra kẽ hở để sử dụng phương pháp này tấn công lừa đảo.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
11:00 | 24/10/2024
