Microsoft cảnh báo về các chiến thuật trốn tránh và đánh cắp thông tin xác thực của nhóm tin tặc Cold River

16:00 | 18/12/2023 | TIN TỨC SẢN PHẨM

Nhóm tình báo mối đe dọa của Microsoft mới đây vừa cho biết nhóm tin tặc Cold River đã tiếp tục tham gia vào các hoạt động đánh cắp thông tin xác thực chống lại các mục tiêu có lợi ích chiến lược đối với Nga, đồng thời chỉ ra rằng nhóm này cũng cải thiện khả năng trốn tránh phát hiện của mình.

Microsoft cảnh báo về các chiến thuật trốn tránh và đánh cắp thông tin xác thực của nhóm tin tặc Cold River

Các nghiên cứu bảo mật của Microsoft cho biết: “Các tin tặc tiếp tục nhắm mục tiêu mạnh mẽ vào các cá nhân và tổ chức liên quan đến các vấn đề quốc tế, quốc phòng và hỗ trợ hậu cần cho Ukraine, cũng như các học viện, công ty bảo mật thông tin và các thực thể khác có liên quan đến lợi ích nhà nước của Nga”.

Cold River được biết đã hoạt động ít nhất từ năm 2017 và có mối liên hệ với Cơ quan An ninh Liên bang Nga (FSB). Vào tháng 8/2023, công ty an ninh mạng Recorded Future (Mỹ) đã tiết lộ 94 tên miền mới nằm trong cơ sở hạ tầng tấn công của Cold River, hầu hết trong số đó có từ khóa liên quan đến công nghệ thông tin và tiền điện tử.

Microsoft chia sẻ rằng họ đã quan sát thấy nhóm tin tặc này lợi dụng các tập lệnh phía máy chủ để ngăn chặn quá trình quét tự động cơ sở hạ tầng do chúng kiểm soát bắt đầu từ tháng 4/2023. Mã JavaScript phía máy chủ được thiết kế để kiểm tra xem trình duyệt có cài đặt bất kỳ plugin nào hay không, xem trang có đang được truy cập bằng công cụ tự động hóa như Selenium hoặc PhantomJS không và truyền kết quả đến máy chủ dưới dạng yêu cầu HTTP POST.

Microsoft cho biết: “Theo yêu cầu POST, máy chủ chuyển hướng sẽ đánh giá dữ liệu được thu thập từ trình duyệt và quyết định xem có cho phép tiếp tục chuyển hướng trình duyệt hay không”.

Nội dung của yêu cầu POST và phản hồi của máy chủ

Cold River cũng sử dụng các dịch vụ như HubSpot và MailerLite để tạo các chiến dịch đóng vai trò là điểm khởi đầu của chuỗi tấn công nhằm chuyển hướng đến máy chủ Evilginx lưu trữ trang thu thập thông tin xác thực.

Ngoài ra, các nhà nghiên cứu bảo mật còn quan sát thấy nhóm tin tặc Cold River sử dụng nhà cung cấp dịch vụ tên miền (DNS) để phân giải tên miền do nhóm tin tặc này đăng ký, gửi các tệp tin mồi nhử PDF được bảo vệ bằng mật khẩu và nhúng các liên kết để trốn tránh các quy trình bảo mật email cũng như lưu trữ các tệp trên Proton Drive.

Theo Microsoft, giờ đây các tin tặc Cold River đã nâng cấp thuật toán tạo tên miền (DGA) để tạo danh sách tên miền ngẫu nhiên hơn. Microsoft cho biết, các hoạt động của Cold River vẫn tập trung vào hành vi đánh cắp thông tin xác thực email, chủ yếu nhắm mục tiêu vào các nhà cung cấp email dựa trên đám mây lưu trữ tài khoản email tổ chức hoặc cá nhân.

Lê Thị Bích Hằng

(Tổng hợp)

‹ › ×

Tin liên quan

Tin tặc Nga khai thác lỗi Outlook để chiếm đoạt tài khoản Exchange

08:00 | 08/12/2023

Nhóm Tình báo mối đe dọa của Microsoft đưa ra cảnh báo về nhóm tin tặc APT28 (hay còn gọi là Fancybear hoặc Strontium) có liên hệ với Cơ quan Tình báo quân đội Nga (GRU), đã tiến hành khai thác lỗ hổng CVE-2023-23397 trên Outlook để chiếm đoạt tài khoản Microsoft Exchange và đánh cắp thông tin nhạy cảm.

Microsoft vô hiệu hóa trình xử lý giao thức của MSIX

08:00 | 12/01/2024

Mới đây, Microsoft cho biết sẽ tiếp tục vô hiệu hóa trình xử lý giao thức MSIX ms-appinstaller theo mặc định sau khi bị nhiều tác nhân đe dọa lạm dụng để phát tán phần mềm độc hại.

Microsoft cảnh báo về lỗ hổng nghiêm trọng mới trên Exchange Server đang bị khai thác

14:00 | 22/02/2024

Ngày 14/02/2024, Microsoft đã lên tiếng cảnh báo về một lỗ hổng bảo mật nghiêm trọng mới trong máy chủ Exchange Server đang bị khai thác rộng rãi, một ngày sau khi hãng phát hành các bản sửa lỗi cho lỗ hổng này như một phần của bản cập nhật Patch Tuesday.

Phân tích LitterDrifter: Worm độc hại được tin tặc Nga sử dụng trong các cuộc tấn công gián điệp mạng nhắm vào Ukraine

14:00 | 23/11/2023

Mới đây, các nhà nghiên cứu của hãng bảo mật Check Point đã phát hiện chiến dịch gián điệp mạng được thực hiện bởi nhóm tin tặc Gamaredon có liên hệ với Cơ quan An ninh Liên bang Nga (FSB), bằng cách sử dụng một loại Worm lây lan qua thiết bị USB có tên là LitterDrifter trong các cuộc tấn công nhắm vào các thực thể tại Ukraine. Bài viết này tập trung vào phân tích LitterDrifter cũng như cơ sở hạ tầng của máy chủ điều khiển và kiểm soát (C2) của phần mềm độc hại này.

Tin tặc Nga xâm phạm các hệ thống mạng thông tin quan trọng của Pháp

14:00 | 08/11/2023

Theo báo cáo mới được công bố từ Cơ quan An ninh hệ thống thông tin quốc gia Pháp (Agence Nationale de la sécurité des systèmes d'information-ANSSI) điều tra về các hoạt động của nhóm gián điệp mạng cho biết, nhóm tin tặc APT28 của Nga (còn được gọi là Strontium hoặc Fancy Bear) đã nhắm mục tiêu vào các tổ chức chính phủ, doanh nghiệp, trường đại học, viện nghiên cứu và tổ chức nghiên cứu ở Pháp kể từ nửa cuối năm 2021.

Nhìn lại 10 điểm nhấn bảo mật năm 2023 theo Microsoft

16:00 | 15/03/2024

Hàng năm, Microsoft phát hành Báo cáo phòng thủ kỹ thuật số. Đây là một bản đánh giá toàn diện về bối cảnh các mối đe dọa toàn cầu và các xu hướng lớn nhất trong lĩnh vực an ninh mạng. Năm 2023 tiếp tục ghi nhận sự gia tăng các mối đe dọa mạng cả về độ tinh vi cũng như tốc độ và quy mô, gây tổn hại đến các nhóm dịch vụ, thiết bị và người dùng. Các chuyên gia của Microsoft tin rằng trí tuệ nhân tạo (AI) có thể giúp tạo ra một sân chơi bình đẳng nhưng các nhóm bảo mật cần phải có hiểu biết sâu sắc và nguồn lực cần thiết để tận dụng tối đa tiềm năng của công nghệ này.

Tin tặc Nga tấn công mạng các nhà cung cấp dịch vụ viễn thông Ukraine

09:00 | 25/10/2023

Nhóm tin tặc Nga do nhà nước bảo trợ với tên gọi là “Sandworm” đã xâm phạm 11 nhà cung cấp dịch vụ viễn thông ở Ukraine trong khoảng thời gian từ tháng 5 đến tháng 9/2023.

Tin tặc Nga khai thác lỗ hổng WinRAR trong chiến dịch lừa đảo mới

08:00 | 06/11/2023

Nhóm tin tặc đến từ Nga đã khai thác lỗ hổng bảo mật được phát hiện gần đây trong phần mềm WinRAR như một phần của chiến dịch lừa đảo được thiết kế để thu thập thông tin của người dùng từ các hệ thống bị xâm nhập.

Tin cùng chuyên mục

Google dự kiến tính phí dịch vụ tìm kiếm AI

09:00 | 19/04/2024

Theo báo cáo của Financial Times, Google đang phát triển các tính năng nâng cao hỗ trợ bởi trí tuệ nhân tạo (AI) trong dịch vụ tìm kiếm của hãng. Tuy nhiên, để trải nghiệm tính năng này, người dùng sẽ phải trả thêm một khoản phí.

Qualcomm vá lỗ hổng nghiêm trọng trong các dòng chip phổ biến

07:00 | 14/03/2024

Nhà sản xuất chip lớn nhất của Mỹ Qualcomm vừa phát hành bản bản vá tháng 3 cho 16 lỗ hổng bảo mật. Đáng chú ý, 2 lỗ nghiêm trọng định danh CVE-2023-28578 và CVE-2023-28582 khiến hàng tỷ thiết bị đối mặt với nguy cơ bị tấn công.

GitLab phát hành bản vá cho hai lỗ hổng nghiêm trọng

07:00 | 17/01/2024

GitLab đã phát hành các bản cập nhật bảo mật để giải quyết hai lỗ hổng nghiêm trọng. Đáng lưu ý, một trong hai lỗ hổng được vá có thể bị khai thác để chiếm đoạt tài khoản mà không yêu cầu bất kỳ tương tác nào của người dùng.

Meta bị cáo buộc thu thập dữ liệu trẻ em và gây nghiện

08:00 | 29/11/2023

Theo tờ The New York Times, 33 tiểu bang của Mỹ đã đệ đơn kiện chống lại Meta, cáo buộc công ty này thu thập dữ liệu cá nhân của trẻ em và vi phạm chính sách độ tuổi sử dụng.