Các nghiên cứu bảo mật của Microsoft cho biết: “Các tin tặc tiếp tục nhắm mục tiêu mạnh mẽ vào các cá nhân và tổ chức liên quan đến các vấn đề quốc tế, quốc phòng và hỗ trợ hậu cần cho Ukraine, cũng như các học viện, công ty bảo mật thông tin và các thực thể khác có liên quan đến lợi ích nhà nước của Nga”.
Cold River được biết đã hoạt động ít nhất từ năm 2017 và có mối liên hệ với Cơ quan An ninh Liên bang Nga (FSB). Vào tháng 8/2023, công ty an ninh mạng Recorded Future (Mỹ) đã tiết lộ 94 tên miền mới nằm trong cơ sở hạ tầng tấn công của Cold River, hầu hết trong số đó có từ khóa liên quan đến công nghệ thông tin và tiền điện tử.
Microsoft chia sẻ rằng họ đã quan sát thấy nhóm tin tặc này lợi dụng các tập lệnh phía máy chủ để ngăn chặn quá trình quét tự động cơ sở hạ tầng do chúng kiểm soát bắt đầu từ tháng 4/2023. Mã JavaScript phía máy chủ được thiết kế để kiểm tra xem trình duyệt có cài đặt bất kỳ plugin nào hay không, xem trang có đang được truy cập bằng công cụ tự động hóa như Selenium hoặc PhantomJS không và truyền kết quả đến máy chủ dưới dạng yêu cầu HTTP POST.
Microsoft cho biết: “Theo yêu cầu POST, máy chủ chuyển hướng sẽ đánh giá dữ liệu được thu thập từ trình duyệt và quyết định xem có cho phép tiếp tục chuyển hướng trình duyệt hay không”.
Nội dung của yêu cầu POST và phản hồi của máy chủ
Cold River cũng sử dụng các dịch vụ như HubSpot và MailerLite để tạo các chiến dịch đóng vai trò là điểm khởi đầu của chuỗi tấn công nhằm chuyển hướng đến máy chủ Evilginx lưu trữ trang thu thập thông tin xác thực.
Ngoài ra, các nhà nghiên cứu bảo mật còn quan sát thấy nhóm tin tặc Cold River sử dụng nhà cung cấp dịch vụ tên miền (DNS) để phân giải tên miền do nhóm tin tặc này đăng ký, gửi các tệp tin mồi nhử PDF được bảo vệ bằng mật khẩu và nhúng các liên kết để trốn tránh các quy trình bảo mật email cũng như lưu trữ các tệp trên Proton Drive.
Theo Microsoft, giờ đây các tin tặc Cold River đã nâng cấp thuật toán tạo tên miền (DGA) để tạo danh sách tên miền ngẫu nhiên hơn. Microsoft cho biết, các hoạt động của Cold River vẫn tập trung vào hành vi đánh cắp thông tin xác thực email, chủ yếu nhắm mục tiêu vào các nhà cung cấp email dựa trên đám mây lưu trữ tài khoản email tổ chức hoặc cá nhân.
Lê Thị Bích Hằng
(Tổng hợp)
08:00 | 08/12/2023
08:00 | 12/01/2024
14:00 | 23/11/2023
14:00 | 22/02/2024
14:00 | 08/11/2023
16:00 | 27/09/2024
16:00 | 15/03/2024
09:00 | 25/10/2023
08:00 | 06/11/2023
10:00 | 30/10/2024
Google sẽ tích hợp công nghệ trí tuệ nhân tạo (AI) tiên tiến vào Android 15, tạo ra lớp phòng thủ mới giúp người dùng tránh xa nguy cơ từ các ứng dụng độc hại. Tính năng này hứa hẹn nâng cao đáng kể khả năng bảo mật trên hệ điều hành di động phổ biến nhất thế giới.
16:00 | 04/10/2024
Sự kiện Security Bootcamp 2024 diễn ra trong hai ngày 28 - 29/9 đã thu hút sự tham gia của đông đảo các chuyên gia, kỹ sư an ninh mạng hàng đầu và các lãnh đạo tổ chức, doanh nghiệp. Trong vai trò nhà tài trợ Bạc, Trellix cùng đồng tài trợ Mi2 JSC đã mang đến sự kiện những giải pháp bảo mật hiệu quả, tận dụng tối đa tiềm năng của AI trong bối cảnh trí tuệ nhân tạo đang phát triển như vũ bão.
15:00 | 04/10/2024
Cơ quan chức năng bảo vệ quyền riêng tư châu Âu tuyên phạt Meta số tiền lên tới 101,5 triệu USD do lưu trữ mật khẩu người dùng mà không có biện pháp bảo mật hoặc mã hóa.
09:00 | 17/09/2024
Ngày 10/9 vừa qua, Microsoft đã tổ chức một hội nghị thượng đỉnh để thảo luận về các bước cải thiện hệ thống an ninh mạng, sau khi bản cập nhật phần mềm bị lỗi từ CrowdStrike đã gây ra sự cố gián đoạn công nghệ thông tin phạm vi toàn cầu vào tháng 7.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Microsoft vừa chính thức "tuyên chiến" với Google, cáo buộc đối thủ dàn dựng các chiến dịch bôi nhọ nhằm hạ uy tín hãng tại châu Âu. Vụ việc làm gia tăng căng thẳng giữa hai "gã khổng lồ" trong cuộc đua thống trị thị trường công nghệ.
08:00 | 15/11/2024
