Công ty an ninh mạng Symantec (thuộc Broadcom - Hoa Kỳ), cho biết trong một báo cáo: “Điều này được thực hiện để tạo điều kiện thuận lợi cho việc liên lạc với cơ sở hạ tầng chỉ huy và kiểm soát (C&C) được lưu trữ trên các dịch vụ đám mây của Microsoft”.
Kể từ tháng 1/2022, nhiều nhóm tin tặc liên kết với từng quốc gia đã bị phát hiện sử dụng cho C&C, có thể kể đến: APT28, REF2924, Red Stinger, Flea, APT29 và OilRig.
Trường hợp lạm dụng API Microsoft Graph đầu tiên được biết đến bắt đầu từ tháng 6 năm 2021 liên quan đến một loạt hoạt động có tên là Harvester, được phát hiện bằng cách sử dụng một bộ cấy tùy chỉnh có tên là Graphon, sử dụng API để giao tiếp với cơ sở hạ tầng của Microsoft.
Symantec cho biết gần đây họ đã phát hiện việc sử dụng kỹ thuật tương tự nhằm vào một tổ chức giấu tên ở Ukraine, liên quan đến việc triển khai một có tên BirdyClient (còn gọi là OneDriveBirdyClient).
Tệp DLL có tên "vxdiff[.]dll", giống như một tệp DLL hợp pháp được liên kết với ứng dụng có tên Apoint ("apoint[.]exe"), tệp này được thiết kế để kết nối với Microsoft Graph API và sử dụng OneDrive làm máy chủ C&C để tải lên và tải xuống các tập tin.
Hiện chưa có thông tin về phương pháp phân phối và yêu cầu tải DLL, cũng như thông tin về tác nhân đe dọa cùng mục tiêu cuối cùng của nhóm tin tặc.
Symantec cho biết: “Thông tin liên lạc của kẻ tấn công với máy chủ C&C thường có thể gây ra cảnh báo đỏ đối với các tổ chức mục tiêu. Ngoài việc có vẻ kín đáo, đây còn là nguồn cơ sở hạ tầng an toàn và rẻ tiền cho những kẻ tấn công vì các tài khoản cơ bản cho các dịch vụ như OneDrive đều miễn phí”.
Sự phát triển này diễn ra khi Permiso tiết lộ cách các lệnh quản trị đám mây có thể bị tin tặc khai thác với quyền truy cập đặc quyền để thực thi các lệnh trên máy ảo.
Công ty bảo mật đám mây này cho biết: “Hầu hết, tin tặc tận dụng các mối quan hệ đáng tin cậy để thực thi các lệnh trong các phiên bản tính toán được kết nối hoặc môi trường kết hợp bằng cách xâm phạm các nhà cung cấp bên ngoài hoặc nhà thầu bên thứ ba có quyền truy cập đặc quyền để quản lý môi trường dựa trên nội bộ. Bằng cách xâm phạm các thực thể bên ngoài này, tin tặc có thể có được quyền truy cập nâng cao, cho phép chúng thực thi các lệnh trong các phiên bản điện toán hoặc môi trường kết hợp”.
Quốc An
10:00 | 23/07/2024
07:00 | 08/04/2024
15:00 | 26/05/2023
12:00 | 06/05/2024
14:00 | 05/08/2024
Các chuyên gia bảo mật vừa phát hiện chiến dịch độc hại nhằm vào thiết bị Android toàn cầu, sử dụng hàng nghìn bot Telegram để lây nhiễm mã độc đánh cắp mã OTP của người dùng tại 113 quốc gia.
08:00 | 14/06/2024
Website bán vé trực tuyến nổi tiếng Ticketmaster vừa xác nhận bị tấn công mạng và lộ dữ liệu của hàng trăm triệu người dùng.
10:00 | 07/06/2024
Phần mềm ghi hình tòa án JAVS là một giải pháp được thiết kế để mang lại khả năng ghi âm kỹ thuật số và tích hợp A/V cho các tòa án, phòng họp và các môi trường tương tự khác. Nó được tạo ra bởi Justice AV Solutions (JAVS), một công ty chuyên về công nghệ âm thanh, hình ảnh cho các tòa án và chính phủ.
10:00 | 14/05/2024
Bộ Quốc phòng Anh vừa tiết lộ một vụ vi phạm dữ liệu tại hệ thống trả lương của bên thứ ba làm lộ dữ liệu của 272 nghìn quân nhân và cựu chiến binh trong lực lượng vũ trang.
Các nhà nghiên cứu bảo mật tại Cisco Talos vừa phát hiện ra một số lỗ hổng Microsoft Office, cho phép tin tặc theo dõi người dùng thông qua camera và micro.
10:00 | 23/08/2024