Các thực thể được nhắm mục tiêu bao gồm các cơ quan thuộc chính phủ, lĩnh vực năng lượng, giao thông vận tải và các tổ chức quan trọng khác ở Mỹ, châu Âu và Trung Đông. Gã khổng lồ công nghệ Microsoft cũng nhấn mạnh nhóm tin tặc APT28 đang khai thác các lỗ hổng khác trong các cuộc tấn công tương tự, bao gồm CVE-2023-38831 trong WinRAR và CVE-2021-40444 trong Windows MSHTML.
CVE-2023-23397 là một lỗ hổng nâng cao đặc quyền (EoP) nghiêm trọng trong Outlook trên Windows, đã được Microsoft cập nhật và vá lỗi là lỗ hổng zero-day trong bản cập nhật Patch Tuesday tháng 3/2023
Việc tiết lộ lỗ hổng đi kèm với nhóm tin tặc APT28 đã khai thác trong thực tế kể từ tháng 4/2022 thông qua các ghi chú Outlook được thiết kế đặc biệt để đánh cắp mã băm NTLM, dẫn đến các thiết bị mục tiêu phải xác thực với các chia sẻ SMB, do kẻ tấn công kiểm soát mà không yêu cầu tương tác của người dùng.
Bằng cách nâng cao các đặc quyền của người dùng trên hệ thống, APT28 đã thực hiện hành vi di chuyển ngang trong hệ thống mạng của nạn nhân và thay đổi quyền của hộp thư Outlook nhằm thực hiện hành vi đánh cắp thông tin email có mục tiêu.
Mặc dù, lỗ hổng CVE-2023-23397 đã có sẵn các bản cập nhật bảo mật và các đề xuất giảm thiểu rủi ro, nhưng bề mặt tấn công vẫn còn đáng kể và việc bỏ qua bản sửa lỗi trong tháng 5 đã khiến tình hình trở nên tồi tệ hơn.
Trong tháng 6/2023, công ty an ninh mạng Recorded Future (Mỹ) đã cảnh báo nhóm tin tặc APT28 có thể lợi dụng lỗ hổng Outlook để tấn công các tổ chức quan trọng của Ukraine.
Sau đó vào tháng 10/2023, Cơ quan an ninh mạng quốc gia Pháp (ANSSI) tiết lộ rằng tin tặc Nga đã sử dụng cuộc Zero-Click vào các tổ chức chính phủ, doanh nghiệp, các trường đại học, viện nghiên cứu và tổ chức nghiên cứu ở Pháp.
Mặt khác, trong cảnh báo mới nhất của Microsoft nhấn mạnh rằng, các tin tặc đang tiếp tục khai thác CVE-2023-38831 trong các cuộc tấn công, đồng thời ghi nhận những nỗ lực của Bộ chỉ huy không gian mạng Ba Lan (DKWOC) trong việc giúp phát hiện và ngăn chặn các cuộc tấn công khai thác lỗ hổng này. DKWOC cũng đã công bố một bài đăng mô tả hoạt động APT28 tận dụng lỗ hổng CVE-2023-38831.
Để giảm thiểu và chủ động bảo vệ trước những mối đe dọa khai thác lỗ hổng CVE-2023-23397 và CVE-2023-38831, các chuyên gia khuyến nghị thực hiện một số hành động được ưu tiên như sau:
- Áp dụng các bản cập nhật bảo mật có sẵn cho CVE-2023-23397 và CVE-2023-29324.
- Đặt lại mật khẩu của người dùng bị xâm phạm và bật xác thực đa yếu tố (MFA) cho tất cả người dùng.
- Giới hạn lưu lượng SMB bằng cách chặn kết nối tới cổng 135 và 445 từ tất cả các địa chỉ IP gửi đến.
- Vô hiệu hóa NTLM trên môi trường của người dùng.
Vì APT28 là nhóm tin tặc hoạt động tinh vi và có kiến thức chuyên sâu về kiến trúc cũng như cơ chế của Micrsoft Exchange, nên chiến lược phòng thủ hiệu quả nhất là giảm bề mặt tấn công trên tất cả các giao diện và đảm bảo tất cả các sản phẩm phần mềm đều được cập nhật thường xuyên với các bản vá bảo mật mới nhất.
Hữu Tài
(Tổng hợp)
13:00 | 26/02/2024
16:00 | 18/12/2023
14:00 | 22/02/2024
14:00 | 23/11/2023
13:00 | 26/02/2024
08:00 | 06/11/2023
10:00 | 04/07/2019
16:00 | 15/03/2024
Các nhà nghiên cứu nhóm tình báo mối đe dọa tới từ Công ty an ninh mạng quốc tế Group-IB (trụ sở chính tại Singapore) lên tiếng cảnh báo về một loại trojan mới có tên là GoldPickaxe, được thiết kế để đánh lừa nạn nhân quét khuôn mặt và dữ liệu ID, từ đó tạo ra các bản deepfake nhằm truy cập trái phép tài khoản ngân hàng của nạn nhân.
13:00 | 20/02/2024
Hệ thống thi thử trực tuyến của cuộc thi "Học sinh với an toàn thông tin" mùa thứ ba dự kiến được mở cho học sinh trung học cơ sở cả nước tập dượt từ đầu tháng 3, trước khi bước vào các vòng thi chính thức.
16:00 | 01/02/2024
Hòa chung khí thế tưng bừng, phấn khởi của cả nước kỷ niệm 94 năm Ngày thành lập Đảng Cộng sản Việt Nam và chào đón Xuân Giáp Thìn 2024, sáng ngày 01/02, tại Hà Nội, Trung tâm Công nghệ thông tin và Giám sát an ninh mạng, Ban Cơ yếu Chính phủ long trọng tổ chức Lễ kỷ niệm 20 năm Ngày truyền thống của Trung tâm (05/02/2004 - 05/02/2024) và đón nhận Bằng khen của Thủ tướng Chính phủ.
13:00 | 23/01/2024
Báo cáo mới nhất về chỉ số sẵn sàng trí tuệ nhân tạo toàn cầu cho thấy, Việt Nam đứng thứ 5/10 trong ASEAN, tăng một bậc so với năm trước.
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Apple đang đàm phán để sử dụng công cụ Gemini AI của Google trên iPhone, tạo tiền đề cho một thỏa thuận mang tính đột phá trong ngành công nghiệp AI.
11:00 | 26/04/2024