Công ty an ninh mạng Hunt & Hackett (Hà Lan) cho biết, nhóm tin tặc Sea Turtle triển khai chiến dịch với mục đích thu thập thông tin với động cơ chính trị như: thông tin cá nhân về các nhóm thiểu số và những người bất đồng chính kiến. Thông tin bị đánh cắp có khả năng bị khai thác để giám sát hoặc thu thập thông tin tình báo về các tổ chức hoặc cá nhân cụ thể.
Sea Turtle còn được biết đến với tên Cosmic Wolf, Marbled Dust, Teal Kurma và UNC1326, lần đầu tiên được Cisco Talos phát hiện vào tháng 4/2019, mô tả chi tiết các cuộc tấn công do nhà nước tài trợ nhắm vào các thực thể công cộng và tư nhân ở Trung Đông và Bắc Phi.
Các hoạt động liên quan đến nhóm được cho là đã diễn ra kể từ tháng 01/2017, chủ yếu tận dụng việc chiếm quyền điều khiển DNS để chuyển hướng các mục tiêu tiềm năng, cố gắng truy vấn một tên miền cụ thể đến một máy chủ do tin tặc kiểm soát có khả năng thu thập thông tin đăng nhập.
Vào cuối năm 2021, Microsoft lưu ý rằng tin tặc thực hiện thu thập thông tin tình báo để phục vụ các lợi ích chiến lược của Thổ Nhĩ Kỳ từ các quốc gia như Armenia, Hy Lạp, Iraq và Syria. Các cuộc tấn công nhắm vào công ty viễn thông và CNTT với mục đích thiết lập chỗ đứng trước mục tiêu mong muốn của họ thông qua việc khai thác các lỗ hổng đã biết.
Theo công ty tư vấn an ninh mạng PricewaterhouseCoopers (PwC), vào tháng trước, tin tặc đã sử dụng một shell TCP ngược đơn giản cho các hệ thống Linux và Unix có tên là SnappyTCP trong các cuộc tấn công được thực hiện từ năm 2021 đến năm 2023.
Công ty này cho biết, Web shell là một shell TCP đảo ngược đơn giản dành cho Linux/Unix có khả năng ra lệnh và kiểm soát cơ bản, đồng thời nó cũng có khả năng được sử dụng để thiết lập tính bền vững. Có ít nhất hai biến thể chính, một biến thể sử dụng OpenSSL để tạo kết nối an toàn qua TLS, trong khi biến thể kia bỏ qua khả năng này và gửi yêu cầu dưới dạng văn bản rõ ràng.
Những phát hiện mới nhất từ Hunt & Hackett cho thấy Sea Turtle là một nhóm tin tặc tập trung vào hoạt động gián điệp lén lút, thực hiện các kỹ thuật để tránh rò quét và thu thập tài liệu lưu trữ email.
Một trong những cuộc tấn công được quan sát vào năm 2023 khi một tài khoản cPanel bị xâm phạm được sử dụng làm vectơ truy cập ban đầu để triển khai SnappyTCP trên hệ thống. Hiện tại vẫn chưa biết làm cách nào những kẻ tấn công có được thông tin đăng nhập.
Bằng cách sử dụng SnappyTCP, tin tặc đã gửi lệnh đến hệ thống để tạo một bản sao của kho lưu trữ email được tạo bằng công cụ Tar, trong thư mục web công khai của trang web có thể truy cập được từ Internet. Rất có khả năng tin tặc đã trích xuất kho lưu trữ email bằng cách tải xuống tệp trực tiếp từ thư mục web.
Để giảm thiểu rủi ro do các cuộc tấn công như vậy gây ra, các tổ chức nên thực thi chính sách mật khẩu mạnh, thực hiện xác thực hai yếu tố (2FA), giới hạn số lần đăng nhập, giám sát lưu lượng SSH và thường xuyên cập nhật các bản ván cho các hệ thống và phần mềm.
Trường An
(theo thehackernews)
17:00 | 22/12/2023
08:00 | 24/10/2023
14:00 | 23/11/2023
23:00 | 28/09/2023
07:00 | 08/04/2024
Tháng 01/2024, nhóm nghiên cứu Zero Day Initiative (ZDI) của hãng bảo mật Trend Micro phát hiện chiến dịch phân phối phần mềm độc hại DarkGate. Các tác nhân đe dọa đã khai thác lỗ hổng CVE-2024-21412 trong Windows Defender SmartScreen để vượt qua kiểm tra bảo mật (bypass) và tự động cài đặt phần mềm giả mạo.
09:00 | 02/04/2024
Một chiến dịch phần mềm độc hại trên quy mô lớn có tên Sign1 đã xâm phạm hơn 39.000 trang web WordPress trong 6 tháng qua, sử dụng cách thức chèn mã JavaScript độc hại để chuyển hướng người dùng đến các trang web lừa đảo.
09:00 | 01/04/2024
Vừa qua, công ty bảo mật đám mây Akamai (Mỹ) đã đưa ra cảnh báo về việc khai thác lỗ hổng Kubernetes ở mức độ nghiêm trọng cao, có thể dẫn đến việc thực thi mã tùy ý với các đặc quyền hệ thống trên tất cả các điểm cuối Windows trong một cụm (cluster).
07:00 | 08/01/2024
Mới đây, các nhà nghiên cứu an ninh mạng tới từ công ty bảo mật di động ThreatFabric (Hà Lan) cho biết một phiên bản cập nhật mới của Trojan ngân hàng Android có tên là Chameleon đang mở rộng mục tiêu nhắm tới người dùng ở Anh và Ý. Trojan này được phân phối thông qua Zombinder - một loại phần mềm Dropper dưới dạng dịch vụ (DaaS). Bài viết này sẽ tập trung phân tích biến thể mới của Chameleon với khả năng đặc biệt vượt qua tính năng xác thực sinh trắc học.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024
