OilRig còn được biết đến với các tên gọi khác như Cobalt Gypsy, Earth Simnavaz và Helix Kitten, nhóm tin tặc này đã hoạt động ít nhất từ năm 2014, nhắm vào các thực thể trong lĩnh vực năng lượng và cơ sở hạ tầng quan trọng khác, theo đuổi các mục tiêu phù hợp với mục tiêu của Chính phủ Iran.
Trend Micro cho biết: “Trong những tháng gần đây, đã có sự gia tăng đáng kể các cuộc tấn công mạng được cho là do nhóm tin tặc OilRig thực hiện, nhắm vào các khu vực chính phủ tại Các Tiểu vương quốc Ả Rập Thống nhất (UAE) và khu vực Vùng Vịnh rộng lớn”.
Là một phần trong các hoạt động mới được phát hiện, OilRig đã triển khai một backdoor mới tinh vi để đánh cắp thông tin đăng nhập thông qua các máy chủ Microsoft Exchange Server on-premises.
Ngoài ra, các tin tặc OilRig còn bị phát hiện lạm dụng chính sách lọc mật khẩu để trích xuất mật khẩu dạng rõ, lợi dụng công cụ giám sát và quản lý từ xa (RMM) Ngrok để tạo đường hầm (tunnel) lưu lượng truy cập và duy trì tính bền bỉ, đồng thời khai thác lỗ hổng CVE-2024-30088.
Được biết, CVE-2024-30088 là lỗ hổng leo thang đặc quyền trong Windows kernel, ảnh hưởng đến các hệ điều hành Microsoft. Lỗ hổng này có điểm CVSS cao là 8,8, cho thấy tác động nghiêm trọng của nó.
Kẻ tấn công có thể khai thác lỗ hổng này để nâng cao quyền của chúng trên các mục tiêu bị ảnh hưởng, có khả năng giành toàn quyền kiểm soát hệ thống. Microsoft đã vá lỗ hổng này vào tháng 6/2024, tuy nhiên gã khổng lồ công nghệ không đề cập đến việc khai thác trong thực tế tại thời điểm hiện tại.
Trend Micro cho biết, các tin tặc đã tải một web shell lên một máy chủ web dễ bị tấn công. Web shell này không chỉ cho phép thực thi mã PowerShell mà còn cho phép kẻ tấn công tải xuống và tải lên (upload) các tệp từ máy chủ.
Sau khi truy cập được vào hệ thống mạng, các tin tặc triển khai Ngrok và tận dụng nó để di chuyển ngang hàng, cuối cùng xâm phạm Domain Controller và khai thác CVE-2024-30088 để leo thang đặc quyền. Các tin tặc cũng đã cấu hình một DLL lọc mật khẩu và triển khai backdoor nhằm thu thập thông tin xác thực.
Các nhà nghiên cứu cho biết kẻ tấn công cũng đã sử dụng thông tin đăng nhập tên miền bị xâm phạm để truy cập vào Exchange Server và đánh cắp dữ liệu.
“Mục tiêu chính của giai đoạn này là thu thập mật khẩu bị đánh cắp và gửi những thông tin này cho kẻ tấn công dưới dạng tệp đính kèm email. Ngoài ra, chúng tôi quan sát thấy rằng kẻ tấn công lợi dụng các tài khoản hợp pháp có mật khẩu bị rò rỉ để định tuyến các email này qua máy chủ Exchange Server của một số chính phủ”, Trend Micro giải thích.
Backdoor được triển khai trong các cuộc tấn công này có điểm tương đồng với phần mềm độc hại khác được OilRig sử dụng, đó là lấy tên người dùng và mật khẩu từ một tệp cụ thể, cũng như dữ liệu cấu hình từ máy chủ Exchange Mail Server và gửi email đến một địa chỉ mục tiêu đã chỉ định.
Nguyễn Hữu Hưng
(Tổng hợp)
10:00 | 16/08/2024
08:00 | 22/05/2024
11:00 | 26/04/2024
10:00 | 26/11/2024
Các tài liệu được công bố trong cuộc chiến pháp lý đang diễn ra giữa WhatsApp của Meta và NSO Group đã tiết lộ rằng, nhà cung cấp phần mềm gián điệp của Israel đã sử dụng nhiều lỗ hổng nhắm vào ứng dụng nhắn tin để phân phối phần mềm gián điệp Pegasus.
09:00 | 08/11/2024
Các chuyên gia phát hiện ra 02 lỗ hổng Zero-day trong camera PTZOptics định danh CVE-2024-8956 và CVE-2024-8957 sau khi Sift - công cụ chuyên phát hiện rủi ro an ninh mạng sử dụng AI tìm ra hoạt động bất thường chưa từng được ghi nhận trước đó trên mạng honeypot của công ty này.
13:00 | 13/09/2024
Cisco đã phát hành bản cập nhật bảo mật để giải quyết hai lỗ hổng nghiêm trọng ảnh hưởng đến tiện ích cấp phép thông minh (Smart Licensing Utility), có thể cho phép kẻ tấn công từ xa chưa được xác thực leo thang đặc quyền hoặc truy cập thông tin nhạy cảm.
10:00 | 28/08/2024
Theo cảnh báo mới nhất từ Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) và Cục Điều tra Liên bang Mỹ (FBI) các cuộc tấn công bằng mã độc tống tiền BlackSuit đã lan rộng trên nhiều lĩnh vực, cơ sở hạ tầng quan trọng bao gồm các cơ sở thương mại, chăm sóc sức khỏe và y tế công cộng, cơ sở hạ tầng của chính phủ và một số cơ sở sản xuất trọng yếu.
Nhà cung cấp phần mềm an ninh mạng Gen Digital (Cộng hòa Séc) cho biết rằng, một phần mềm độc hại đánh cắp thông tin mới có thể vượt qua cơ chế mã hóa App-Bound trong các trình duyệt dựa trên Chromium.
10:00 | 28/11/2024