Nhóm tin tặc của GRU
Nhóm tin tặc APT28 được xác định là một phần của Cơ quan Tình báo quân đội Nga (GRU), gần đây có liên quan đến việc khai thác lỗi CVE-2023-38831, lỗ hổng thực thi mã từ xa trong WinRAR và CVE-2023-23397, lỗ hổng nâng cao đặc quyền zero-day trong Microsoft Outlook.
APT28 cũng có liên quan đến một cuộc tấn công mạng nhằm vào nhà cung cấp thông tin vệ tinh Viasat của Mỹ và một cuộc tấn công nhằm vào cơ sở năng lượng quan trọng của Ukraine.
Các tin tặc Nga đã xâm phạm các thiết bị ngoại vi trên các hệ thống mạng quan trọng của các cơ quan, tổ chức, doanh nghiệp Pháp và không còn sử dụng các backdoor để tránh bị phát hiện.
Trinh sát mạng và điểm truy cập ban đầu
Để có quyền truy cập vào các hệ thống được nhắm mục tiêu, nhóm tin tặc APT28 đã gửi email lừa đảo từ các tài khoản email bị xâm nhập hoặc bị rò rỉ. Các nhà nghiên cứu đã tiết lộ công khai một số email bị xâm nhập, bao gồm email từ chuỗi các khách sạn, công ty quản lý vốn và công ty công nghệ.
Các nhà nghiên cứu đã phát hiện ra nhiều chiến thuật khác nhau được tin tặc triển khai trong các cuộc tấn công của chúng, bao gồm việc sử dụng các công cụ nguồn mở, xâm phạm bộ định tuyến Ubiquiti và tài khoản email cá nhân cũng như quét các hệ thống có thể bị nhắm tới bởi các lỗ hổng zero-day.
Cụ thể, trong khoảng thời gian từ tháng 3/2022 đến tháng 6/2023, APT28 đã khai thác một lỗi trong dịch vụ email Outlook của Microsoft. Được theo dõi là CVE-2023-23397, trước đây nó đã được các tin tặc ở Nga sử dụng để tấn công các cơ quan trong lĩnh vực chính phủ, giao thông, năng lượng và quân sự ở châu Âu.
Trong giai đoạn này, những kẻ tấn công cũng khai thác CVE-2022-30190 (hay còn gọi là Follina) trong Microsoft Windows Support Diagnostic Tool (công cụ có nhiệm vụ báo lỗi máy tính người dùng đến Microsoft để hãng chẩn đoán), cùng với các lỗi CVE-2020-12641, CVE-2020-35730, CVE-2021-44026 trong ứng dụng Roundcube.
Các công cụ được sử dụng trong giai đoạn đầu của cuộc tấn công bao gồm trình trích xuất mật khẩu Mimikatz và công cụ chuyển tiếp lưu lượng truy cập reGeorg, cũng như các dịch vụ nguồn mở Mockbin và Mocky.
ANSSI cũng báo cáo rằng APT28 sử dụng nhiều máy khách VPN, bao gồm SurfShark, ExpressVPN, ProtonVPN, PureVPN, NordVPN, CactusVPN, WorldVPN và VPNSecure.
Hình 1. Địa chỉ phát tán email khai thác CVE-2023-23397
Truy cập và lọc dữ liệu
Là một nhóm gián điệp mạng, việc truy cập và đánh cắp dữ liệu là mục tiêu hoạt động cốt lõi của APT28. ANSSI đã quan sát thấy các tác nhân đe dọa lấy thông tin xác thực bằng cách sử dụng các tiện ích gốc và đánh cắp các email chứa thông tin và thư từ nhạy cảm.
Cụ thể, những kẻ tấn công khai thác lỗi CVE-2023-23397 để kích hoạt kết nối SMB từ các tài khoản được nhắm mục tiêu đến một dịch vụ do chúng kiểm soát, cho phép truy xuất hàm băm xác thực NetNTLMv2, hàm băm này cũng có thể được sử dụng trên các dịch vụ khác.
Cơ sở hạ tầng máy chủ chỉ huy và kiểm soát (C2) của APT28 dựa trên các dịch vụ đám mây hợp pháp, chẳng hạn như Microsoft OneDrive và Google Drive. Cuối cùng, ANSSI đã thấy bằng chứng cho thấy những kẻ tấn công thu thập dữ liệu bằng cách sử dụng phần mềm độc hại CredoMap, nhắm mục tiêu vào thông tin được lưu trữ trong trình duyệt web của nạn nhân, chẳng hạn như cookie xác thực.
Ngoài ra, Mockbin và dịch vụ Pipedream cũng tham gia vào quá trình lọc dữ liệu.
Hình 2. Chuỗi tấn công APT28
Khuyến nghị phòng tránh
ANSSI nhấn mạnh cách tiếp cận toàn diện về bảo mật, đòi hỏi phải thực hiện đánh giá rủi ro. Trong trường hợp với mối đe dọa APT28, việc tập trung vào bảo mật email là rất quan trọng. Các khuyến nghị chính của cơ quan này về bảo mật email bao gồm:
- Đảm bảo tính an toàn và bảo mật của việc trao đổi email.
- Sử dụng nền tảng trao đổi an toàn để ngăn chặn việc chuyển hướng hoặc chiếm đoạt email.
- Giảm thiểu bề mặt tấn công của giao diện webmail và giảm rủi ro từ các máy chủ như Microsoft Exchange.
- Triển khai khả năng phát hiện email độc hại.
Dương Ngân
09:00 | 25/10/2023
14:00 | 04/08/2023
10:00 | 22/11/2023
08:00 | 28/11/2023
16:00 | 18/12/2023
13:00 | 02/08/2022
13:00 | 26/02/2024
16:00 | 25/09/2024
Sáng 25/9, Trung tâm Công nghệ thông tin và Giám sát an ninh mạng (Ban Cơ yếu Chính phủ) phối hợp cùng một số cơ quan, đơn vị trong và ngoài Ban Cơ yếu Chính phủ tổ chức khai mạc diễn tập thực chiến đảm bảo an toàn thông tin mạng cho hệ thống công nghệ thông tin tại Ban Cơ yếu Chính phủ năm 2024.
08:00 | 14/09/2024
Sau đây là một số dấu mốc quan trọng tiêu biểu của ngành Cơ yếu Việt Nam liên quan đến ngày 14 tháng 9 mà Tạp chí An toàn thông tin điện tử tổng hợp. Xin kính mời quý vị và các bạn lắng nghe.
22:00 | 02/09/2024
Chuyên gia cảnh báo về một hình thức tấn công mạng mới, sử dụng công nghệ giả mạo GPS để can thiệp vào hệ thống định vị và liên lạc của máy bay, gây nguy hiểm cho an toàn hàng không.
17:00 | 28/08/2024
Tháng Chín - tháng của cờ hoa rực rỡ cùng âm hưởng hào hùng, sâu lắng luôn gợi nhắc mỗi người dân Việt Nam nhớ về những ngày mùa Thu lịch sử, về Tổng khởi nghĩa tháng Tám năm 1945 và ngày Quốc khánh 2/9. Ngày 2/9 được xem là cột mốc chói lọi trong hàng nghìn năm dựng nước và giữ nước của dân tộc ta. Trong không khí tưng bừng đó, những người làm công tác Cơ yếu dành nhiều hơn một chút hoài niệm cho tháng Chín năm xưa bởi chính trong những năm tháng hào hùng đó ngành Cơ yếu Việt Nam được thành lập.
Trong 02 ngày 09 và 10/10, tại Hà Nội, Cục Cơ yếu Bộ Tổng Tham mưu tổ chức Hội nghị tập huấn nghiệp vụ công tác quản lý xây dựng lực lượng Cơ yếu Quân đội năm 2024. Thiếu tướng Hoàng Văn Quân, Cục trưởng Cục Cơ yếu Bộ Tổng tham mưu dự và chỉ đạo Hội nghị.
08:00 | 11/10/2024
Ngày 19/9/2024, tại Hà Nội, Chi hội Nhà báo Tạp chí An toàn thông tin đã tổ chức thành công Đại hội Chi hội nhiệm kỳ 2024 - 2027.
07:00 | 20/09/2024
Một vụ lừa đảo gây chấn động thị trường âm nhạc Mỹ và thế giới vừa bị phá vỡ. Cục Điều tra liên bang Mỹ (FBI) thông báo đã bắt giữ Michael Smith, 52 tuổi, một nhà sản xuất âm nhạc có tiếng tăm trên các nền tảng như Spotify, Amazon và Apple Music, với cáo buộc lừa dối và thu lợi bất chính hàng triệu USD tiền bản quyền bằng các bài hát do trí tuệ nhân tạo (AI) tạo ra.
13:00 | 09/10/2024