.PNG)
Công ty an ninh mạng Symantec (thuộc Broadcom - Hoa Kỳ), cho biết trong một báo cáo: “Điều này được thực hiện để tạo điều kiện thuận lợi cho việc liên lạc với cơ sở hạ tầng chỉ huy và kiểm soát (C&C) được lưu trữ trên các dịch vụ đám mây của Microsoft”.
Kể từ tháng 1/2022, nhiều nhóm tin tặc liên kết với từng quốc gia đã bị phát hiện sử dụng API Microsoft Graph cho C&C, có thể kể đến: APT28, REF2924, Red Stinger, Flea, APT29 và OilRig.
Trường hợp lạm dụng API Microsoft Graph đầu tiên được biết đến bắt đầu từ tháng 6 năm 2021 liên quan đến một loạt hoạt động có tên là Harvester, được phát hiện bằng cách sử dụng một bộ cấy tùy chỉnh có tên là Graphon, sử dụng API để giao tiếp với cơ sở hạ tầng của Microsoft.
Symantec cho biết gần đây họ đã phát hiện việc sử dụng kỹ thuật tương tự nhằm vào một tổ chức giấu tên ở Ukraine, liên quan đến việc triển khai một phần mềm độc hại có tên BirdyClient (còn gọi là OneDriveBirdyClient).
Tệp DLL có tên "vxdiff[.]dll", giống như một tệp DLL hợp pháp được liên kết với ứng dụng có tên Apoint ("apoint[.]exe"), tệp này được thiết kế để kết nối với Microsoft Graph API và sử dụng OneDrive làm máy chủ C&C để tải lên và tải xuống các tập tin.
Hiện chưa có thông tin về phương pháp phân phối và yêu cầu tải DLL, cũng như thông tin về tác nhân đe dọa cùng mục tiêu cuối cùng của nhóm tin tặc.
Symantec cho biết: “Thông tin liên lạc của kẻ tấn công với máy chủ C&C thường có thể gây ra cảnh báo đỏ đối với các tổ chức mục tiêu. Ngoài việc có vẻ kín đáo, đây còn là nguồn cơ sở hạ tầng an toàn và rẻ tiền cho những kẻ tấn công vì các tài khoản cơ bản cho các dịch vụ như OneDrive đều miễn phí”.
Sự phát triển này diễn ra khi Permiso tiết lộ cách các lệnh quản trị đám mây có thể bị tin tặc khai thác với quyền truy cập đặc quyền để thực thi các lệnh trên máy ảo.
Công ty bảo mật đám mây này cho biết: “Hầu hết, tin tặc tận dụng các mối quan hệ đáng tin cậy để thực thi các lệnh trong các phiên bản tính toán được kết nối hoặc môi trường kết hợp bằng cách xâm phạm các nhà cung cấp bên ngoài hoặc nhà thầu bên thứ ba có quyền truy cập đặc quyền để quản lý môi trường dựa trên đám mây nội bộ. Bằng cách xâm phạm các thực thể bên ngoài này, tin tặc có thể có được quyền truy cập nâng cao, cho phép chúng thực thi các lệnh trong các phiên bản điện toán hoặc môi trường kết hợp”.
Quốc An
07:00 | 08/04/2024
09:00 | 05/09/2024
10:00 | 23/07/2024
15:00 | 13/12/2024
15:00 | 26/05/2023
10:00 | 09/12/2024
12:00 | 06/05/2024
09:00 | 10/02/2025
Một lỗ hổng bảo mật mới được vá trong công cụ lưu trữ 7-Zip đã bị khai thác để phát tán phần mềm độc hại SmokeLoader.
09:00 | 03/02/2025
Mã độc tống tiền (Ransomware) là một loại mã độc mã hóa, được xem là mối đe dọa mạng nguy hiểm nhất. Nó được phát triển với mục đích mã hóa dữ liệu và nạn nhân phải trả một số tiền nhất định để lấy lại dữ liệu hoặc ngăn dữ liệu của mình không bị rao bán trên mạng. Trong bài báo này sẽ giới thiệu lịch sử phát triển của ransomware cũng như thực trạng hiện tại của ransomware và các kỹ thuật được sử dụng để từ đó đưa ra các biện pháp giảm thiểu nguy cơ.
09:00 | 24/01/2025
Các nhà nghiên cứu bảo mật đã phát hiện một mã khai thác (Proof of Concept - PoC) lừa đảo đối với lỗ hổng CVE-2024-49113 (hay còn gọi là LDAPNightmare) trên GitHub lây nhiễm phần mềm độc hại đánh cắp thông tin cho người dùng, từ đó đánh cắp dữ liệu nhạy cảm sang máy chủ FTP bên ngoài.
09:00 | 13/12/2024
Các nhà nghiên cứu an ninh mạng đang cảnh báo về các chiến dịch tấn công email độc hại lợi dụng bộ công cụ lừa đảo dưới dạng dịch vụ (PhaaS) có tên là Rockstar 2FA, nhằm mục đích đánh cắp thông tin đăng nhập tài khoản Microsoft 365.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Juniper Networks đã phát hành bản vá khẩn cấp để giải quyết một lỗ hổng bảo mật đang bị khai thác tích cực trong hệ điều hành Junos OS định danh CVE-2025-21590. Lỗ hổng này cho phép kẻ tấn công cục bộ có thể thực thi mã tùy ý, ảnh hưởng đến nhiều phiên bản của Junos OS. Kẻ tấn công có quyền truy cập cao có thể tiêm mã tùy ý và làm tổn hại đến thiết bị bị ảnh hưởng.
10:00 | 21/03/2025
