Tấn công kỹ nghệ xã hội

Microsoft cho biết, cuộc điều tra cho thấy chiến dịch đã có ảnh hưởng đến ít nhất 40 tổ chức trên toàn cầu. Các nạn nhân bị nhắm mục tiêu trong hoạt động này có thể chỉ ra các mục tiêu gián điệp cụ thể của APT29 nhắm vào các cơ quan chính phủ, các tổ chức phi chính phủ (NGO), dịch vụ công nghệ thông tin, công ty công nghệ, sản xuất và trong lĩnh vực truyền thông.

Các tin tặc đã sử dụng các tài khoản Microsoft 365 vốn đã bị xâm phạm thuộc sở hữu của các doanh nghiệp nhỏ để tạo ra các tên miền và tài khoản trông giống như hỗ trợ kỹ thuật, để đánh lừa người dùng của các tổ chức được nhắm mục tiêu bằng các chiến thuật kỹ nghệ xã hội. Mục đích của chúng là lôi kéo người dùng Microsoft Teams tham gia các cuộc trò chuyện và yêu cầu họ phê duyệt lời nhắc xác thực đa yếu tố (MFA) để đánh cắp thông tin đăng nhập của họ.

Các tên miền mới được tạo là một phần của tên miền “onmicrosoft.com”, đây là tên miền hợp pháp của Microsoft và được Microsoft 365 tự động sử dụng cho các mục đích dự phòng trong trường hợp tên miền tùy chỉnh không được tạo. Theo các nhà nghiên cứu, các tài khoản được liên kết với các tên miền này sau đó đã gửi tin nhắn lừa đảo để dụ dỗ người dùng thông qua Teams.

Nếu người dùng mục tiêu chấp nhận yêu cầu tin nhắn thì sẽ nhận được thông báo Microsoft Teams từ tin tặc đang cố thuyết phục họ nhập mã vào ứng dụng Microsoft Authenticator trên thiết bị di động. Nếu làm theo hướng dẫn, tin tặc sẽ được cấp mã thông báo để xác thực là người dùng, do đó cho phép chúng chiếm đoạt tài khoản và thực hiện các hoạt động khác sau khi thỏa hiệp thành công.

Tin nhắn lừa đảo của APT29

Vì các thông báo đến từ tên miền onmicrosoft.com hợp pháp nên chúng có thể đã khiến các thông báo hỗ trợ giả mạo của Microsoft trông có vẻ đáng tin cậy. “Trong một số trường hợp, các tin tặc cố gắng thêm một thiết bị vào tổ chức dưới dạng thiết bị được quản lý thông qua Microsoft Entra ID (trước đây là Azure Active Directory), có thể là nỗ lực phá vỡ các chính sách truy cập có điều kiện được cấu hình để chỉ hạn chế quyền truy cập vào các tài nguyên cụ thể đối với các thiết bị được quản lý”, Microsoft cho biết.

Gã khổng lồ công nghệ này báo cáo đã chặn thành công nhóm tin tặc APT29 sử dụng các tên miền trong các cuộc tấn công khác và hiện đang tích cực làm việc để giải quyết và giảm thiểu tác động của chiến dịch.

Nhóm tin tặc tình báo nước ngoài của Nga

Các nhà nghiên cứu của Microsoft cho biết, nhóm tin tặc APT29 đứng sau hoạt động này được biết đến với tên gọi khác là “Midnight Blizzard”, có trụ sở tại Nga và có liên kết với SVR, đã đứng sau cuộc tấn công chuỗi cung ứng SolarWinds dẫn đến những vi phạm của một số cơ quan, tổ chức của Mỹ vào ba năm trước.

Kể từ sự cố đó, nhóm tin tặc này cũng đã thực hiện các cuộc xâm nhập mạng vào các tổ chức khác bằng cách sử dụng phần mềm độc hại tàng hình, bao gồm “TrailBlazer” và một biến thể của backdoor “GoldMax Linux”, cho phép chúng không bị phát hiện trong nhiều năm.

Gần đây hơn, Microsoft đã tiết lộ rằng nhóm tin tặc này đang sử dụng phần mềm độc hại mới có khả năng chiếm quyền kiểm soát dịch vụ Active Directory Federation Services (ADFS) để đăng nhập với tư cách là bất kỳ người dùng nào trong hệ thống Windows. Hơn nữa, chúng đã nhắm mục tiêu đến các tài khoản Microsoft 365 thuộc về các thực thể tại các quốc gia thuộc Tổ chức Hiệp ước Bắc Đại Tây Dương (NATO) như một phần trong nỗ lực giành quyền truy cập vào thông tin liên quan đến các chính sách đối ngoại.

Ngoài ra, APT29 còn đứng sau một loạt các chiến dịch lừa đảo với mục tiêu rõ ràng vào các chính phủ, đại sứ quán và các quan chức cấp cao trên khắp các quốc gia tại châu Âu.