Các thực thể được nhắm mục tiêu bao gồm các cơ quan thuộc chính phủ, lĩnh vực năng lượng, giao thông vận tải và các tổ chức quan trọng khác ở Mỹ, châu Âu và Trung Đông. Gã khổng lồ công nghệ Microsoft cũng nhấn mạnh nhóm tin tặc APT28 đang khai thác các lỗ hổng khác trong các cuộc tấn công tương tự, bao gồm CVE-2023-38831 trong WinRAR và CVE-2021-40444 trong Windows MSHTML.
CVE-2023-23397 là một lỗ hổng nâng cao đặc quyền (EoP) nghiêm trọng trong Outlook trên Windows, đã được Microsoft cập nhật và vá lỗi là lỗ hổng zero-day trong bản cập nhật Patch Tuesday tháng 3/2023
Việc tiết lộ lỗ hổng đi kèm với nhóm tin tặc APT28 đã khai thác trong thực tế kể từ tháng 4/2022 thông qua các ghi chú Outlook được thiết kế đặc biệt để đánh cắp mã băm NTLM, dẫn đến các thiết bị mục tiêu phải xác thực với các chia sẻ SMB, do kẻ tấn công kiểm soát mà không yêu cầu tương tác của người dùng.
Bằng cách nâng cao các đặc quyền của người dùng trên hệ thống, APT28 đã thực hiện hành vi di chuyển ngang trong hệ thống mạng của nạn nhân và thay đổi quyền của hộp thư Outlook nhằm thực hiện hành vi đánh cắp thông tin email có mục tiêu.
Mặc dù, lỗ hổng CVE-2023-23397 đã có sẵn các bản cập nhật bảo mật và các đề xuất giảm thiểu rủi ro, nhưng bề mặt tấn công vẫn còn đáng kể và việc bỏ qua bản sửa lỗi trong tháng 5 đã khiến tình hình trở nên tồi tệ hơn.
Trong tháng 6/2023, công ty an ninh mạng Recorded Future (Mỹ) đã cảnh báo nhóm tin tặc APT28 có thể lợi dụng lỗ hổng Outlook để tấn công các tổ chức quan trọng của Ukraine.
Sau đó vào tháng 10/2023, Cơ quan an ninh mạng quốc gia Pháp (ANSSI) tiết lộ rằng tin tặc Nga đã sử dụng cuộc Zero-Click vào các tổ chức chính phủ, doanh nghiệp, các trường đại học, viện nghiên cứu và tổ chức nghiên cứu ở Pháp.
Mặt khác, trong cảnh báo mới nhất của Microsoft nhấn mạnh rằng, các tin tặc đang tiếp tục khai thác CVE-2023-38831 trong các cuộc tấn công, đồng thời ghi nhận những nỗ lực của Bộ chỉ huy không gian mạng Ba Lan (DKWOC) trong việc giúp phát hiện và ngăn chặn các cuộc tấn công khai thác lỗ hổng này. DKWOC cũng đã công bố một bài đăng mô tả hoạt động APT28 tận dụng lỗ hổng CVE-2023-38831.
Để giảm thiểu và chủ động bảo vệ trước những mối đe dọa khai thác lỗ hổng CVE-2023-23397 và CVE-2023-38831, các chuyên gia khuyến nghị thực hiện một số hành động được ưu tiên như sau:
- Áp dụng các bản cập nhật bảo mật có sẵn cho CVE-2023-23397 và CVE-2023-29324.
- Đặt lại mật khẩu của người dùng bị xâm phạm và bật xác thực đa yếu tố (MFA) cho tất cả người dùng.
- Giới hạn lưu lượng SMB bằng cách chặn kết nối tới cổng 135 và 445 từ tất cả các địa chỉ IP gửi đến.
- Vô hiệu hóa NTLM trên môi trường của người dùng.
Vì APT28 là nhóm tin tặc hoạt động tinh vi và có kiến thức chuyên sâu về kiến trúc cũng như cơ chế của Micrsoft Exchange, nên chiến lược phòng thủ hiệu quả nhất là giảm bề mặt tấn công trên tất cả các giao diện và đảm bảo tất cả các sản phẩm phần mềm đều được cập nhật thường xuyên với các bản vá bảo mật mới nhất.
Hữu Tài
(Tổng hợp)
13:00 | 26/02/2024
16:00 | 18/12/2023
14:00 | 22/02/2024
14:00 | 23/11/2023
13:00 | 26/02/2024
08:00 | 06/11/2023
10:00 | 04/07/2019
13:00 | 17/04/2024
Vào ngày 24/4 tới đây tại Hà Nội, Hiệp hội Blockchain Việt Nam phối hợp Viện công nghệ Blockchain và trí tuệ nhân tạo tổ chức Hội thảo Blockchain & AI: cuộc cách mạng tương lai. Hội thảo được tổ chức với mục tiêu tạo dựng diễn đàn đa phương để các cơ quan quản lý nhà nước, tổ chức xã hội nghề nghiệp, cá nhân, doanh nghiệp công nghệ pháp lý tài chính ngành Blockchain và trí tuệ nhân tạo (AI), Nhà cung cấp dịch vụ tài sản ảo (VASP) trong và ngoài nước có cơ hội đối thoại trực tiếp,
08:00 | 12/03/2024
Dữ liệu nhạy cảm của Chính phủ Thụy Sĩ, bao gồm các tài liệu mật và thông tin đăng nhập cá nhân đã bị nhóm mã độc tống tiền Play tiết lộ sau một cuộc tấn công vào nhà cung cấp dịch vụ công nghệ thông tin Xplain vào năm 2023.
14:00 | 22/02/2024
Ngày 15/02/2024, Chính phủ Mỹ cho biết đã phá vỡ và vô hiệu hóa một mạng lưới botnet bao gồm hàng trăm bộ định tuyến văn phòng nhỏ/văn phòng tại nhà (SOHO) tại quốc gia này, đang được các tin tặc APT28 sử dụng trong các chiến dịch phân phối phần mềm độc hại và hoạt động gián điệp mạng.
08:00 | 19/01/2024
Các chuyên gia đã phát hiện một chiến dịch phân phối phần mềm độc hại AsyncRAT nhắm mục tiêu vào các hệ thống thông tin cơ sở hạ tầng của Mỹ đã hoạt động trong ít nhất 11 tháng qua, sử dụng hàng trăm mẫu trình tải duy nhất và hơn 100 tên miền độc hại.
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Apple đang đàm phán để sử dụng công cụ Gemini AI của Google trên iPhone, tạo tiền đề cho một thỏa thuận mang tính đột phá trong ngành công nghiệp AI.
11:00 | 26/04/2024