Nhóm tin tặc của GRU
Nhóm tin tặc APT28 được xác định là một phần của Cơ quan Tình báo quân đội Nga (GRU), gần đây có liên quan đến việc khai thác lỗi CVE-2023-38831, lỗ hổng thực thi mã từ xa trong WinRAR và CVE-2023-23397, lỗ hổng nâng cao đặc quyền zero-day trong Microsoft Outlook.
APT28 cũng có liên quan đến một cuộc tấn công mạng nhằm vào nhà cung cấp thông tin vệ tinh Viasat của Mỹ và một cuộc tấn công nhằm vào cơ sở năng lượng quan trọng của Ukraine.
Các tin tặc Nga đã xâm phạm các thiết bị ngoại vi trên các hệ thống mạng quan trọng của các cơ quan, tổ chức, doanh nghiệp Pháp và không còn sử dụng các backdoor để tránh bị phát hiện.
Trinh sát mạng và điểm truy cập ban đầu
Để có quyền truy cập vào các hệ thống được nhắm mục tiêu, nhóm tin tặc APT28 đã gửi email lừa đảo từ các tài khoản email bị xâm nhập hoặc bị rò rỉ. Các nhà nghiên cứu đã tiết lộ công khai một số email bị xâm nhập, bao gồm email từ chuỗi các khách sạn, công ty quản lý vốn và công ty công nghệ.
Các nhà nghiên cứu đã phát hiện ra nhiều chiến thuật khác nhau được tin tặc triển khai trong các cuộc tấn công của chúng, bao gồm việc sử dụng các công cụ nguồn mở, xâm phạm bộ định tuyến Ubiquiti và tài khoản email cá nhân cũng như quét các hệ thống có thể bị nhắm tới bởi các lỗ hổng zero-day.
Cụ thể, trong khoảng thời gian từ tháng 3/2022 đến tháng 6/2023, APT28 đã khai thác một lỗi trong dịch vụ email Outlook của Microsoft. Được theo dõi là CVE-2023-23397, trước đây nó đã được các tin tặc ở Nga sử dụng để tấn công các cơ quan trong lĩnh vực chính phủ, giao thông, năng lượng và quân sự ở châu Âu.
Trong giai đoạn này, những kẻ tấn công cũng khai thác CVE-2022-30190 (hay còn gọi là Follina) trong Microsoft Windows Support Diagnostic Tool (công cụ có nhiệm vụ báo lỗi máy tính người dùng đến Microsoft để hãng chẩn đoán), cùng với các lỗi CVE-2020-12641, CVE-2020-35730, CVE-2021-44026 trong ứng dụng Roundcube.
Các công cụ được sử dụng trong giai đoạn đầu của cuộc tấn công bao gồm trình trích xuất mật khẩu Mimikatz và công cụ chuyển tiếp lưu lượng truy cập reGeorg, cũng như các dịch vụ nguồn mở Mockbin và Mocky.
ANSSI cũng báo cáo rằng APT28 sử dụng nhiều máy khách VPN, bao gồm SurfShark, ExpressVPN, ProtonVPN, PureVPN, NordVPN, CactusVPN, WorldVPN và VPNSecure.
Hình 1. Địa chỉ phát tán email khai thác CVE-2023-23397
Truy cập và lọc dữ liệu
Là một nhóm gián điệp mạng, việc truy cập và đánh cắp dữ liệu là mục tiêu hoạt động cốt lõi của APT28. ANSSI đã quan sát thấy các tác nhân đe dọa lấy thông tin xác thực bằng cách sử dụng các tiện ích gốc và đánh cắp các email chứa thông tin và thư từ nhạy cảm.
Cụ thể, những kẻ tấn công khai thác lỗi CVE-2023-23397 để kích hoạt kết nối SMB từ các tài khoản được nhắm mục tiêu đến một dịch vụ do chúng kiểm soát, cho phép truy xuất hàm băm xác thực NetNTLMv2, hàm băm này cũng có thể được sử dụng trên các dịch vụ khác.
Cơ sở hạ tầng máy chủ chỉ huy và kiểm soát (C2) của APT28 dựa trên các dịch vụ đám mây hợp pháp, chẳng hạn như Microsoft OneDrive và Google Drive. Cuối cùng, ANSSI đã thấy bằng chứng cho thấy những kẻ tấn công thu thập dữ liệu bằng cách sử dụng phần mềm độc hại CredoMap, nhắm mục tiêu vào thông tin được lưu trữ trong trình duyệt web của nạn nhân, chẳng hạn như cookie xác thực.
Ngoài ra, Mockbin và dịch vụ Pipedream cũng tham gia vào quá trình lọc dữ liệu.
Hình 2. Chuỗi tấn công APT28
Khuyến nghị phòng tránh
ANSSI nhấn mạnh cách tiếp cận toàn diện về bảo mật, đòi hỏi phải thực hiện đánh giá rủi ro. Trong trường hợp với mối đe dọa APT28, việc tập trung vào bảo mật email là rất quan trọng. Các khuyến nghị chính của cơ quan này về bảo mật email bao gồm:
- Đảm bảo tính an toàn và bảo mật của việc trao đổi email.
- Sử dụng nền tảng trao đổi an toàn để ngăn chặn việc chuyển hướng hoặc chiếm đoạt email.
- Giảm thiểu bề mặt tấn công của giao diện webmail và giảm rủi ro từ các máy chủ như Microsoft Exchange.
- Triển khai khả năng phát hiện email độc hại.
Dương Ngân
09:00 | 25/10/2023
14:00 | 04/08/2023
10:00 | 22/11/2023
08:00 | 28/11/2023
16:00 | 18/12/2023
13:00 | 02/08/2022
13:00 | 26/02/2024
19:00 | 30/04/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
09:00 | 28/04/2024
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
08:00 | 24/01/2024
Sáng 23/01, Tạp chí An toàn thông tin tổ chức Hội nghị tổng kết công tác báo chí xuất bản và công tác cộng tác viên năm 2023. Đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ, Chủ tịch Hội đồng biên tập các Ấn phẩm của Tạp chí chủ trì Hội nghị.
14:00 | 16/01/2024
Các máy chủ Microsoft SQL (MS SQL) dễ bị tổn thương đang bị nhắm mục tiêu tấn công ở các khu vực tại Mỹ, Liên minh châu Âu và Mỹ Latinh (LATAM) như một phần của chiến dịch RE#TURGENCE đang diễn ra nhằm giành được quyền truy cập vào máy chủ.
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Apple đang đàm phán để sử dụng công cụ Gemini AI của Google trên iPhone, tạo tiền đề cho một thỏa thuận mang tính đột phá trong ngành công nghiệp AI.
11:00 | 26/04/2024