Cơ quan An ninh mạng và cơ sở hạ tầng (CISA), Cục Điều tra Liên bang (FBI), Cơ quan An ninh quốc gia (NSA) của Mỹ, Cơ quan Tình báo Điện tử Canada (CSE), Cảnh sát Liên bang (AFP) và Trung tâm An ninh mạng (ACSC) của Úc cho biết, kể từ tháng 10/2023, các nhóm tin tặc của Iran đã sử dụng phương pháp Password Spraying (một loại tấn công Brute Force liên quan đến việc kẻ tấn công cố gắng sử dụng nhiều mật khẩu chung để có quyền truy cập), MFA bombing và các kỹ thuật khác để xâm nhập vào tài khoản người dùng và hệ thống của các tổ chức.
Các cuộc tấn công nhắm vào các cơ quan trong lĩnh vực năng lượng, kỹ thuật, chính phủ, chăm sóc sức khỏe và y tế công cộng (HPH) và công nghệ thông tin để đánh cắp thông tin xác thực, sửa đổi đăng ký xác thực đa yếu tố (MFA) để truy cập liên tục và thực hiện dò quét mạng nhằm đánh cắp thêm thông tin xác thực và dữ liệu quan trọng khác.
Các cơ quan đánh giá, tác nhân đe dọa Iran rao bán những thông tin mà chúng thu thập được trên các diễn đàn tội phạm mạng. Trước khi có được quyền truy cập liên tục vào các mạng mục tiêu, các tin tặc có thể thu thập thông tin về nạn nhân. Sau khi xâm phạm ban đầu, chúng thực hiện thêm hoạt động do thám để thu thập thông tin xác thực, nâng cao đặc quyền, phát hiện các hệ thống trên mạng và di chuyển ngang hàng.
Bản khuyến cáo cho biết: “Những kẻ tấn công sử dụng tài khoản email nhóm và người dùng hợp lệ, thường lấy được bằng cách tấn công Brute Force như Password Spraying, mặc dù đôi khi bằng các phương pháp không xác định, để có được quyền truy cập ban đầu vào các hệ thống Microsoft 365, Azure và Citrix”.
Nếu MFA dựa trên thông báo được bật, kẻ tấn công sẽ tấn công người dùng bằng thông báo MFA cho đến khi họ chấp thuận yêu cầu. Sau khi truy cập tài khoản, chúng đăng ký thiết bị của mình bằng MFA để đảm bảo quyền truy cập lâu dài.
Bên cạnh đó, các tin tặc thường tiến hành hoạt động của chúng bằng dịch vụ mạng riêng ảo (VPN). Một số địa chỉ IP trong hoạt động độc hại của những kẻ tấn công bắt nguồn từ các "exit node" được liên kết với dịch vụ VPN Private Internet Access.
Các tin tặc bị phát hiện sử dụng Remote Desktop để di chuyển ngang hàng, sử dụng các công cụ mã nguồn mở để do thám và thu thập thông tin xác thực, đồng thời mạo danh Domain Controller, có khả năng là bằng cách khai thác lỗ hổng ZeroLogon (CVE-2020-1472).
Bản khuyến cáo nêu rõ: “Trong một số trường hợp, khi đăng nhập vào tài khoản của nạn nhân, kẻ tấn công đã tải xuống các tệp liên quan đến việc truy cập từ xa và kho dữ liệu của tổ chức, có khả năng đánh cắp các tệp để tiếp tục tồn tại trong mạng của nạn nhân hoặc để rao bán thông tin trực tuyến”.
Đây không phải là lần đầu tiên tin tặc Iran nhắm vào các cơ sở hạ tầng quan trọng. Vào tháng 8, các cuộc điều tra của FBI đã tiết lộ rằng các tác nhân đe dọa như Pioneer Kitten, có liên hệ với Chính phủ Iran và liên kết với một công ty công nghệ thông tin của Iran. Đánh giá được thực hiện với sự hợp tác của CISA, FBI và Trung tâm tội phạm mạng của Bộ Quốc phòng Mỹ, chỉ ra rằng những tin tặc này đang tham gia vào các hoạt động mạng độc hại.
Các tổ chức được khuyến cáo nên xem lại nhật ký xác thực để xác định nhiều lần xác thực không thành công, cho thấy hoạt động tấn công bằng Brute Force, thông tin đăng nhập đáng ngờ, IP được sử dụng cho nhiều tài khoản, thông tin đăng nhập từ nhiều IP có khoảng cách địa lý đáng kể, đăng ký MFA và sử dụng tài khoản có đặc quyền đáng ngờ, hoạt động bất thường trong tài khoản không hoạt động, chuỗi tác nhân người dùng bất thường và các nỗ lực ghi đè thông tin đăng nhập.
Để ngăn ngừa các cuộc tấn công, các tổ chức nên cập nhật chính sách quản lý mật khẩu như: tránh sử dụng những mật khẩu phổ biến, thiết lập mật khẩu đủ mạnh (có cả chữ thường, in hoa, số và ký tự đặc biệt); vô hiệu hóa tài khoản của nhân viên cũ hoặc những người dùng từ lâu không hoạt động; triển khai xác thực MFA; tổ chức các khóa đào tạo về an ninh mạng cho người dùng.
Dương Ngân
(Tổng hợp)
21:00 | 16/11/2023
10:00 | 07/11/2023
14:00 | 26/10/2021
09:00 | 24/01/2025
Nhiều người dùng macOS cho rằng kiến trúc dựa trên Unix của nền tảng này và thị phần sử dụng thấp hơn so với Windows, khiến nó trở thành mục tiêu kém hấp dẫn đối với tội phạm mạng và do đó có khả năng ít bị lây nhiễm phần mềm độc hại. Mặc dù macOS có bao gồm các tính năng bảo mật mạnh mẽ như Gatekeeper, XProtect và sandbox, nhưng sự gia tăng hoạt động gần đây của phần mềm đánh cắp thông tin Banshee đóng vai trò như một lời nhắc nhở rằng không có hệ điều hành nào miễn nhiễm với các mối đe dọa.
15:00 | 19/12/2024
Các nhà nghiên cứu an ninh mạng đã cảnh báo về một chiến dịch lừa đảo mới sử dụng các ứng dụng hội nghị truyền hình giả mạo để phát tán phần mềm đánh cắp thông tin có tên Realst, nhắm vào những người làm việc tại Web3 dưới hình thức các cuộc họp kinh doanh giả mạo.
10:00 | 30/10/2024
Vụ việc hàng nghìn máy nhắn tin và các thiết bị liên lạc khác phát nổ ở Liban hồi tháng 9 đã gióng lên hồi chuông cảnh báo về phương thức tấn công chuỗi cung ứng mới vô cùng nguy hiểm, đánh dấu sự leo thang mới trong việc sử dụng chuỗi cung ứng chống lại các đối thủ. Điều này đã đặt ra yêu cầu cấp bách cho các nhà lãnh đạo toàn cầu về việc giảm phụ thuộc vào công nghệ từ các đối thủ.
07:00 | 22/10/2024
Một chiến dịch phần mềm độc hại mới nhắm vào lĩnh vực bảo hiểm và tài chính đã được phát hiện bằng cách sử dụng các liên kết GitHub trong các email lừa đảo như một cách để vượt qua các biện pháp bảo mật và phát tán Remcos RAT. Chiến dịch cho thấy phương pháp này đang được các tác nhân đe dọa ưa chuộng.
Một lỗ hổng mới trong cơ chế UEFI Secure Boot, được theo dõi với mã CVE-2024-7344, đã được phát hiện, cho phép kẻ tấn công triển khai bootkit ngay cả khi Secure Boot đang được kích hoạt.
14:00 | 24/01/2025