SektorCERT của Đan Mạch cho biết, 22 cuộc tấn công mạng nhằm vào cơ sở hạ tầng quan trọng của Đan Mạch không phải là chuyện bình thường, những kẻ tấn công biết trước chúng sẽ nhắm mục tiêu vào ai và lần nào cũng trúng. Không một lần nào chúng trượt mục tiêu".
Cơ quan này cho biết, họ đã tìm thấy bằng chứng cho thấy có nhiều cuộc tấn công có liên quan với cơ quan tình báo quân sự GRU của Nga, điều cũng bị theo dõi dưới cái tên Sandworm và có hồ sơ theo dõi về việc dàn dựng các cuộc tấn công mạng gây rối vào các hệ thống kiểm soát công nghiệp. Đánh giá này dựa trên các tạo phẩm có giao tiếp với các địa chỉ IP đã được truy vết đến nhóm tấn công.
Cuộc tấn công mạng phối hợp chưa từng có diễn ra vào ngày 11/5 bằng cách khai thác CVE-2023-28771 (điểm CVSS: 9,8), một lỗ hổng tiêm lệnh nghiêm trọng ảnh hưởng đến tường lửa Zyxel đã được tiết lộ vào cuối tháng 4/2023.
Trên 11 công ty đã bị xâm nhập thành công, các tác nhân đe dọa đã thực thi mã độc để tiến hành trinh sát cấu hình tường lửa và xác định hành động tiếp theo.
SektorCERT cho biết, trong dòng thời gian chi tiết về các sự kiện: “Loại phối hợp này đòi hỏi phải lập kế hoạch và nguồn lực”. "Ưu điểm của việc tấn công đồng thời là thông tin về một cuộc tấn công không thể truyền sang các mục tiêu khác trước khi quá muộn". "Điều này khiến sức mạnh của việc chia sẻ thông tin trở nên vô dụng vì không ai có thể được cảnh báo trước về cuộc tấn công đang diễn ra vì mọi người đều bị tấn công cùng lúc. Điều này thật bất thường và cực kỳ hiệu quả".
Làn sóng tấn công thứ hai nhắm vào nhiều tổ chức hơn sau đó đã được ghi lại từ ngày 22 đến ngày 25/5 bởi một nhóm tấn công bằng vũ khí mạng chưa từng thấy trước đó, làm tăng khả năng có hai tác nhân đe dọa khác nhau đã tham gia vào chiến dịch.
Điều đó nói rằng, hiện tại vẫn chưa rõ liệu các nhóm có hợp tác với nhau, làm việc cho cùng một chủ nhân hay hoạt động độc lập hay không.
Các cuộc tấn công này bị nghi ngờ đã vũ khí hóa thêm hai lỗi nghiêm trọng trong thiết bị Zyxel (CVE-2023-33009 và CVE-2023-33010, điểm CVSS: 9,8) dưới dạng zero-day để đưa tường lửa vào mạng botnet Mirai và MooBot, do các bản vá lỗi cho chúng được công ty phát hành vào ngày 24/5/2023.
Trong một số trường hợp, các thiết bị bị xâm nhập được sử dụng để tiến hành các cuộc tấn công từ chối dịch vụ (DDoS) phân tán nhằm vào các công ty giấu tên ở Hoa Kỳ và Hồng Kông.
SektorCERT giải thích: “Sau khi mã khai thác của một số lỗ hổng được công khai vào khoảng ngày 30/5, các nỗ lực tấn công nhằm vào cơ sở hạ tầng quan trọng của Đan Mạch đã bùng nổ, đặc biệt là từ các địa chỉ IP ở Ba Lan và Ukraine”.
Cơ quan này cho biết thêm, sự tấn công dữ dội của các cuộc tấn công đã khiến các thực thể bị ảnh hưởng ngắt kết nối Internet và chuyển sang chế độ cô lập.
Nhưng đó không chỉ là các tác nhân quốc gia. Theo một báo cáo mới đây của Resecurity, ngành năng lượng cũng ngày càng trở thành tâm điểm của các nhóm ransomware, với các nhà môi giới truy cập ban đầu (IAB) tích cực thúc đẩy việc truy cập trái phép vào các công ty năng lượng hạt nhân.
Sự tiến triển này diễn ra khi công ty Censys phát hiện ra sáu máy chủ thuộc về NTC Vulkan, một nhà thầu CNTT có trụ sở tại Moscow bị cáo buộc đã cung cấp các công cụ mạng tấn công cho các cơ quan tình báo Nga, bao gồm cả Sandworm. Hơn nữa, nghiên cứu đã phát hiện ra mối liên hệ với một nhóm có tên Raccoon Security thông qua chứng thư số NTC Vulkan.
Matt Lembright, giám đốc Federal Applications tại Censys cho biết: “Racoon Security là một thương hiệu của NTC Vulkan và có thể các hoạt động của Raccoon Security bao gồm sự tham gia trước đây hoặc hiện tại vào các sáng kiến bị đã đề cập trước đó và do GRU ký hợp đồng”.
Nguyễn Anh Tuấn
(theo The Hacker News)
08:00 | 08/12/2023
14:00 | 23/11/2023
14:00 | 08/11/2023
09:00 | 25/10/2023
08:00 | 06/11/2023
19:00 | 30/04/2024
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
10:00 | 29/03/2024
Một dịch vụ lừa đảo mới có tên là Darcula sử dụng 20.000 tên miền để giả mạo thương hiệu và đánh cắp thông tin xác thực từ người dùng Android và iPhone tại hơn 100 quốc gia thông qua iMessage.
10:00 | 28/03/2024
Các nhà nghiên cứu phát hiện nhóm ransomware ShadowSyndicate đang quét các máy chủ tồn tại lỗ hổng directory traversal định danh CVE-2024-23334, hay còn gọi là lỗ hổng path traversal trong thư viện Aiohttp của Python.
14:00 | 19/02/2024
Tin tặc có thể giành quyền truy cập root trên nhiều bản phân phối chính của Linux trong cấu hình mặc định bằng cách khai thác lỗ hổng leo thang đặc quyền cục bộ mới được tiết lộ trong Thư viện GNU C (glibc).
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024