Các thực thể được nhắm mục tiêu bao gồm các cơ quan thuộc chính phủ, lĩnh vực năng lượng, giao thông vận tải và các tổ chức quan trọng khác ở Mỹ, châu Âu và Trung Đông. Gã khổng lồ công nghệ Microsoft cũng nhấn mạnh nhóm tin tặc APT28 đang khai thác các lỗ hổng khác trong các cuộc tấn công tương tự, bao gồm CVE-2023-38831 trong WinRAR và CVE-2021-40444 trong Windows MSHTML.
CVE-2023-23397 là một lỗ hổng nâng cao đặc quyền (EoP) nghiêm trọng trong Outlook trên Windows, đã được Microsoft cập nhật và vá lỗi là lỗ hổng zero-day trong bản cập nhật Patch Tuesday tháng 3/2023
Việc tiết lộ lỗ hổng đi kèm với nhóm tin tặc APT28 đã khai thác trong thực tế kể từ tháng 4/2022 thông qua các ghi chú Outlook được thiết kế đặc biệt để đánh cắp mã băm NTLM, dẫn đến các thiết bị mục tiêu phải xác thực với các chia sẻ SMB, do kẻ tấn công kiểm soát mà không yêu cầu tương tác của người dùng.
Bằng cách nâng cao các đặc quyền của người dùng trên hệ thống, APT28 đã thực hiện hành vi di chuyển ngang trong hệ thống mạng của nạn nhân và thay đổi quyền của hộp thư Outlook nhằm thực hiện hành vi đánh cắp thông tin email có mục tiêu.
Mặc dù, lỗ hổng CVE-2023-23397 đã có sẵn các bản cập nhật bảo mật và các đề xuất giảm thiểu rủi ro, nhưng bề mặt tấn công vẫn còn đáng kể và việc bỏ qua bản sửa lỗi trong tháng 5 đã khiến tình hình trở nên tồi tệ hơn.
Trong tháng 6/2023, công ty an ninh mạng Recorded Future (Mỹ) đã cảnh báo nhóm tin tặc APT28 có thể lợi dụng lỗ hổng Outlook để tấn công các tổ chức quan trọng của Ukraine.
Sau đó vào tháng 10/2023, Cơ quan an ninh mạng quốc gia Pháp (ANSSI) tiết lộ rằng tin tặc Nga đã sử dụng cuộc Zero-Click vào các tổ chức chính phủ, doanh nghiệp, các trường đại học, viện nghiên cứu và tổ chức nghiên cứu ở Pháp.
Mặt khác, trong cảnh báo mới nhất của Microsoft nhấn mạnh rằng, các tin tặc đang tiếp tục khai thác CVE-2023-38831 trong các cuộc tấn công, đồng thời ghi nhận những nỗ lực của Bộ chỉ huy không gian mạng Ba Lan (DKWOC) trong việc giúp phát hiện và ngăn chặn các cuộc tấn công khai thác lỗ hổng này. DKWOC cũng đã công bố một bài đăng mô tả hoạt động APT28 tận dụng lỗ hổng CVE-2023-38831.
Để giảm thiểu và chủ động bảo vệ trước những mối đe dọa khai thác lỗ hổng CVE-2023-23397 và CVE-2023-38831, các chuyên gia khuyến nghị thực hiện một số hành động được ưu tiên như sau:
- Áp dụng các bản cập nhật bảo mật có sẵn cho CVE-2023-23397 và CVE-2023-29324.
- Đặt lại mật khẩu của người dùng bị xâm phạm và bật xác thực đa yếu tố (MFA) cho tất cả người dùng.
- Giới hạn lưu lượng SMB bằng cách chặn kết nối tới cổng 135 và 445 từ tất cả các địa chỉ IP gửi đến.
- Vô hiệu hóa NTLM trên môi trường của người dùng.
Vì APT28 là nhóm tin tặc hoạt động tinh vi và có kiến thức chuyên sâu về kiến trúc cũng như cơ chế của Micrsoft Exchange, nên chiến lược phòng thủ hiệu quả nhất là giảm bề mặt tấn công trên tất cả các giao diện và đảm bảo tất cả các sản phẩm phần mềm đều được cập nhật thường xuyên với các bản vá bảo mật mới nhất.
Hữu Tài
(Tổng hợp)
14:00 | 23/11/2023
13:00 | 26/02/2024
16:00 | 18/12/2023
14:00 | 22/02/2024
13:00 | 26/02/2024
08:00 | 06/11/2023
10:00 | 04/07/2019
08:00 | 15/05/2024
14:00 | 10/05/2024
23:00 | 06/10/2024
Ngày 5/10, vòng sơ khảo cuộc thi Sinh viên với An toàn thông tin ASEAN 2024 đã được tổ chức với hình thức trực tuyến, quy tụ gần 1.000 sinh viên đến từ các nước ASEAN.
10:00 | 02/10/2024
Sự kiện Security Bootcamp 2024 với chủ đề nhân tính (Humanity) nhằm thực hiện sứ mệnh truyền thông về việc cần thiết phải thường xuyên nâng cao trách nhiệm xã hội, cộng đồng trong bảo vệ an toàn thông tin, an ninh mạng.
14:00 | 17/09/2024
Việc xử lý các đơn vị quảng cáo sử dụng tên định danh được cấp để phát tán tin nhắn, cuộc gọi rác là biện pháp đang được Bộ Thông tin và Truyền thông (TT&TT) thực hiện để bảo vệ người dùng dịch vụ viễn thông.
08:00 | 06/09/2024
Ngày 05/9, tại Hà Nội, Cục An toàn thông tin (ATTT) thuộc Bộ TT&TT tổ chức Lễ kỷ niệm 10 năm thành lập (9/9/2014 - 9/9/2024). Tại buổi lễ, Bộ trưởng Bộ TT&TT Nguyễn Mạnh Hùng nhấn mạnh, ngoài vũ khí số, yêu cầu Cục ATTT phải có binh pháp số. Cục ATTT cần xây dựng cho mình một binh pháp trên không gian mạng.
Sau những trận lũ lụt, lở đất ở miền Bắc gần đây, đã có nhiều báo cáo về những kẻ lừa đảo đóng giả là các tổ chức từ thiện hoặc cơ quan chính phủ.
16:00 | 04/10/2024
Ngày 19/9/2024, tại Hà Nội, Chi hội Nhà báo Tạp chí An toàn thông tin đã tổ chức thành công Đại hội Chi hội nhiệm kỳ 2024 - 2027.
07:00 | 20/09/2024
Ngày 30/9, Adobe chính thức ra mắt tính năng hỗ trợ tiếng Việt dành cho phần mềm Photoshop trên máy tính, giúp người dùng Việt thỏa sức sáng tạo mà không gặp trở ngại về ngôn ngữ.
12:00 | 03/10/2024