Cơ quan An ninh mạng và cơ sở hạ tầng (CISA), Cục Điều tra Liên bang (FBI), Cơ quan An ninh quốc gia (NSA) của Mỹ, Cơ quan Tình báo Điện tử Canada (CSE), Cảnh sát Liên bang (AFP) và Trung tâm An ninh mạng (ACSC) của Úc cho biết, kể từ tháng 10/2023, các nhóm tin tặc của Iran đã sử dụng phương pháp Password Spraying (một loại tấn công Brute Force liên quan đến việc kẻ tấn công cố gắng sử dụng nhiều mật khẩu chung để có quyền truy cập), MFA bombing và các kỹ thuật khác để xâm nhập vào tài khoản người dùng và hệ thống của các tổ chức.
Các cuộc tấn công nhắm vào các cơ quan trong lĩnh vực năng lượng, kỹ thuật, chính phủ, chăm sóc sức khỏe và y tế công cộng (HPH) và công nghệ thông tin để đánh cắp thông tin xác thực, sửa đổi đăng ký xác thực đa yếu tố (MFA) để truy cập liên tục và thực hiện dò quét mạng nhằm đánh cắp thêm thông tin xác thực và dữ liệu quan trọng khác.
Các cơ quan đánh giá, tác nhân đe dọa Iran rao bán những thông tin mà chúng thu thập được trên các diễn đàn tội phạm mạng. Trước khi có được quyền truy cập liên tục vào các mạng mục tiêu, các tin tặc có thể thu thập thông tin về nạn nhân. Sau khi xâm phạm ban đầu, chúng thực hiện thêm hoạt động do thám để thu thập thông tin xác thực, nâng cao đặc quyền, phát hiện các hệ thống trên mạng và di chuyển ngang hàng.
Bản khuyến cáo cho biết: “Những kẻ tấn công sử dụng tài khoản email nhóm và người dùng hợp lệ, thường lấy được bằng cách tấn công Brute Force như Password Spraying, mặc dù đôi khi bằng các phương pháp không xác định, để có được quyền truy cập ban đầu vào các hệ thống Microsoft 365, Azure và Citrix”.
Nếu MFA dựa trên thông báo được bật, kẻ tấn công sẽ tấn công người dùng bằng thông báo MFA cho đến khi họ chấp thuận yêu cầu. Sau khi truy cập tài khoản, chúng đăng ký thiết bị của mình bằng MFA để đảm bảo quyền truy cập lâu dài.
Bên cạnh đó, các tin tặc thường tiến hành hoạt động của chúng bằng dịch vụ mạng riêng ảo (VPN). Một số địa chỉ IP trong hoạt động độc hại của những kẻ tấn công bắt nguồn từ các "exit node" được liên kết với dịch vụ VPN Private Internet Access.
Các tin tặc bị phát hiện sử dụng Remote Desktop để di chuyển ngang hàng, sử dụng các công cụ mã nguồn mở để do thám và thu thập thông tin xác thực, đồng thời mạo danh Domain Controller, có khả năng là bằng cách khai thác lỗ hổng ZeroLogon (CVE-2020-1472).
Bản khuyến cáo nêu rõ: “Trong một số trường hợp, khi đăng nhập vào tài khoản của nạn nhân, kẻ tấn công đã tải xuống các tệp liên quan đến việc truy cập từ xa và kho dữ liệu của tổ chức, có khả năng đánh cắp các tệp để tiếp tục tồn tại trong mạng của nạn nhân hoặc để rao bán thông tin trực tuyến”.
Đây không phải là lần đầu tiên tin tặc Iran nhắm vào các cơ sở hạ tầng quan trọng. Vào tháng 8, các cuộc điều tra của FBI đã tiết lộ rằng các tác nhân đe dọa như Pioneer Kitten, có liên hệ với Chính phủ Iran và liên kết với một công ty công nghệ thông tin của Iran. Đánh giá được thực hiện với sự hợp tác của CISA, FBI và Trung tâm tội phạm mạng của Bộ Quốc phòng Mỹ, chỉ ra rằng những tin tặc này đang tham gia vào các hoạt động mạng độc hại.
Các tổ chức được khuyến cáo nên xem lại nhật ký xác thực để xác định nhiều lần xác thực không thành công, cho thấy hoạt động tấn công bằng Brute Force, thông tin đăng nhập đáng ngờ, IP được sử dụng cho nhiều tài khoản, thông tin đăng nhập từ nhiều IP có khoảng cách địa lý đáng kể, đăng ký MFA và sử dụng tài khoản có đặc quyền đáng ngờ, hoạt động bất thường trong tài khoản không hoạt động, chuỗi tác nhân người dùng bất thường và các nỗ lực ghi đè thông tin đăng nhập.
Để ngăn ngừa các cuộc tấn công, các tổ chức nên cập nhật chính sách quản lý mật khẩu như: tránh sử dụng những mật khẩu phổ biến, thiết lập mật khẩu đủ mạnh (có cả chữ thường, in hoa, số và ký tự đặc biệt); vô hiệu hóa tài khoản của nhân viên cũ hoặc những người dùng từ lâu không hoạt động; triển khai xác thực MFA; tổ chức các khóa đào tạo về an ninh mạng cho người dùng.
Dương Ngân
(Tổng hợp)
21:00 | 16/11/2023
10:00 | 07/11/2023
14:00 | 26/10/2021
08:00 | 02/01/2025
Mới đây, hãng bảo mật McAfee đã phát hiện một ứng dụng độc hại có chứa mã gián điệp trên Amazon Appstore. Theo thông tin được công bố, ứng dụng độc hại dùng để tính chỉ số khối cơ thể (BMI) nhưng lại được cài cắm phần mềm gián điệp, có khả năng ghi lại màn hình và truy cập danh sách các ứng dụng của người dùng.
09:00 | 30/12/2024
Năm 2024, các cuộc tấn công mạng diễn ra trên mọi lĩnh vực, từ y tế đến tài chính, ngân hàng.... Tin tặc không chỉ đánh cắp dữ liệu cá nhân, mà còn thực hiện các cuộc tấn công ransomware tinh vi, đe dọa trực tiếp đến sự hoạt động của các cơ sở y tế. Nguy hiểm hơn là sự tinh vi và quy mô ngày càng tăng của các cuộc tấn công gián điệp của tin tặc Trung Quốc nhằm vào Hoa Kỳ và các đồng minh. Các chuyên gia tin rằng đây là một động thái chiến lược của Bắc Kinh nhằm có khả năng phá vỡ hoặc phá hủy các dịch vụ quan trọng trong trường hợp căng thẳng địa chính trị leo thang hoặc xung đột quân sự.
11:00 | 05/12/2024
Hãng viễn thông Hoa Kỳ T-Mobile đã xác nhận rằng công ty cũng nằm trong số các công ty bị các tác nhân đe dọa từ Trung Quốc nhắm tới để truy cập vào thông tin có giá trị.
13:00 | 03/12/2024
Chuyên gia bảo mật Jan Michael Alcantara của nhà cung cấp giải pháp an ninh mạng Netskope (Mỹ) cho biết, họ đã phát hiện ra một biến thể mới của mã độc NodeStealer đang tấn công các tài khoản Facebook Ads Manager.
Một lỗ hổng bảo mật mới được vá trong công cụ lưu trữ 7-Zip đã bị khai thác để phát tán phần mềm độc hại SmokeLoader.
09:00 | 10/02/2025