Trước đó, Kaspersky ICS Cerrt cũng đã cung cấp một báo cáo như vậy vào năm 2018 mô tả việc tin tặc sử dụng Teamviewer và các hệ thống điều khiển từ xa trong các cuộc tấn công này. Rõ ràng, những kẻ tấn công hiện đang sử dụng các kỹ thuật mới và nhắm tới nhiều các doanh nghiệp hơn.
Một số tấn công điển hình có thể kể đến như:
- Từ năm 2018 đến cuối năm 2020, tin tặc đã sử dụng hình thức gửi nhiều thư điện tử lừa đảo (phishing email) có chứa mã độc tới người dùng.
- Tin tặc sử dụng các kỹ thuật social engineering đánh lừa người dùng; các tài liệu hợp lệ như tài liệu cài đặt thiết bị máy móc hoặc thông tin xử lý, những tài liệu này bị đánh cắp từ các cuộc tấn công mạng.
- Các cuộc tấn công thường vẫn sử dụng là các công cụ quản trị từ xa. Giao diện người dùng của các công cụ này bị ẩn đi bởi mã độc, cho phép tin tặc điều khiển hệ thống của nạn nhân mà người dùng không hề hay biết.
- Trong phiên bản mới của mã độc, tin tặc đã thay đổi kênh kiểm soát sau khi một hệ thống mới bị chiếm quyền. Thay vì sử dụng các máy chủ điều khiển mã độc, tin tặc sử dụng giao diện web trên nền tảng đám mây của các công cụ quản trị từ xa.
- Trong quá trình tấn công, tin tặc sử dụng spyware (phần mềm gián điệp) và Mimikatz (phần mềm mã nguồn mở khai thác các lỗ hổng để xem các thông tin bảo mật của Windows như mật khẩu, mã PIN…) để đánh cắp các thông tin tài khoản và sau đó sử dụng để xâm nhập các hệ thống khác của nạn nhân.
- Trong các chiến dịch mới nhất, tin tặc nhắm tới các hệ thống hạ tầng công nghiệp ở Liên Bang Nga trong khắp các lĩnh vực, trọng tâm là ngành năng lượng. Ngoài ra, tin tặc cũng nhắm tới khối sản xuất, dầu mỏ, gas, công nghiệp kim loại, xây dựng, khai thác và logistic.
- Một vài nhóm chuyên thực hiện các cuộc tấn công APT gần đây đã phát động các chiến dịch tấn công mạng nhắm vào các hệ thống công nghiệp như: Tháng 10/2020, nhóm MontysThree APT đã phát động chiến dịch gián điệp nhằm vào một công ty quốc tế về kiến trúc và sản xuất video bằng kỹ thuật giấu tin (steganography) và khai thác ứng MAXScript của bên thứ 3 (PhysXPlyginMfx); tháng 8/2020, các tin tặc cũng bị phát hiện sử dụng các mã thực thi độc hại giả danh một plugin của Autodesk 3ds Max.
Các chuyên gia đưa ra khuyến nghị đối với người dùng:
- Cần nâng cao cảnh giác trong việc sử dụng Email, đặc biệt cần được đào tạo cách nhận diện được các Email lừa đảo.
- Hạn chế khả năng của các chương trình có được đặc quyền (nếu có thể).
- Cài đặt phần mềm diệt virus có hỗ trợ quản trị tập trung các chính sách bảo mật trong toàn hệ thống, liên tục cập nhật cơ sở dữ liệu mã độc và các môđun được cập nhật.
- Chỉ sử dụng tài khoản với quyền quản trị domain khi cần thiết. Sau mỗi lần sử dụng tài khoản này, hãy khởi động lại hệ thống nơi tài khoản này được dùng.
- Triển khai chính sách mật khẩu mạnh và yêu cầu thường xuyên thay đổi.
- Nếu có nghi ngờ một vài thành phần của hệ thống bị lây nhiễm: hãy xóa bỏ tất cả các công cụ quản trị từ xa của bên thứ ba, dò quét các hệ thống này với phần mềm diệt virus và thực hiện bắt buộc thay đổi mật khẩu đối với tất cả các tài khoản đã đăng nhập vào hệ thống bị lây nhiễm.
- Giám sát các kết nối mạng để tìm các dấu vết của phần mềm điều khiển từ xa được cài đặt bất hợp pháp, nhấn mạnh với Teamviewer.
- Không sử dụng các phiên bản cũ của Teamviewer (từ phiên bản 6.0 trở về trước).
- Sử dụng trình giám sát, thống kê các ứng dụng và phiên bản của chúng đang hoạt động trên máy tính của người dùng. Điều này giúp chủ động giám sát các ứng dụng đang xuất hiện trong hệ thống. Trình giám sát này có thể là một tính năng của các phần mềm diệt virus.
Lưu ý rằng, vì tấn công này sử dụng các phần mềm điều khiển từ xa hợp pháp, phần mềm điều khiển có thể tồn tại trên máy tính của nạn nhân và vẫn tiếp tục hoạt động dù trình tải mã độc đã bị xóa.
Trọng Huấn
16:00 | 21/08/2020
17:00 | 26/08/2020
09:25 | 14/09/2017
07:00 | 11/03/2024
Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.
10:00 | 04/03/2024
Mới đây, công ty sản xuất camera Wyze đã chia sẻ thông tin chi tiết về sự cố bảo mật đã ảnh hưởng đến hàng nghìn người dùng vào hôm 16/02 và cho biết ít nhất 13.000 khách hàng có thể xem clip từ camera nhà của những người dùng khác.
08:00 | 06/02/2024
GitLab vừa phát hành các bản vá lỗi để giải quyết một lỗ hổng bảo mật nghiêm trọng trong phiên bản dành cho cộng đồng (CE) và phiên bản dành cho doanh nghiệp (EE). Lỗ hổng có thể bị khai thác để ghi các tệp tùy ý trong khi tạo workspace.
10:00 | 31/01/2024
Các nhà nghiên cứu tại công ty an ninh mạng CloudSEK (Ấn Độ) cho biết: tin tặc đang phân phối phần mềm đánh cắp thông tin bằng cách lợi dụng điểm cuối Google OAuth có tên MultiLogin để chiếm quyền điều khiển phiên của người dùng và cho phép truy cập liên tục vào các dịch vụ của Google ngay cả sau khi đặt lại mật khẩu.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024