Thông tin này dựa trên một báo cáo mới của Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA). Cơ quan này tuyên bố rằng tin tặc Nga đã can thiệp vào hệ thống liên lạc của 11 công ty viễn thông nước này, dẫn đến gián đoạn dịch vụ và có khả năng vi phạm dữ liệu.
Sandworm là một nhóm gián điệp mạng hoạt động rất tích cực và có liên kết với Cơ quan Tình báo quân đội Nga (GRU). Những kẻ tấn công đã tập trung vào Ukraine trong suốt năm 2023, sử dụng các mồi nhử lừa đảo, phần mềm độc hại trên Android và trình xóa dữ liệu Wiper.
Điểm bắt đầu của các cuộc tấn công là giai đoạn trinh sát mạng của một công ty viễn thông, bằng cách sử dụng công cụ “masscan” để thực hiện quét trên mạng của mục tiêu.
Ví dụ về tập lệnh masscan (CERT-UA)
Các tin tặc Sandworm tìm kiếm các cổng mở và giao diện RDP hoặc SSH không được bảo vệ mà chúng có thể tận dụng để xâm phạm mạng. Ngoài ra, những kẻ tấn công sử dụng các công cụ như “ffuf”, “dirbuster”, “gowitness” và “nmap” để tìm các lỗ hổng tiềm ẩn trong các dịch vụ web có thể bị khai thác để giành quyền truy cập.
Các tài khoản VPN bị xâm phạm không được bảo vệ bằng xác thực đa yếu tố cũng đã bị lợi dụng để có quyền truy cập mạng. CERT-UA cho biết: “Cần lưu ý rằng các hoạt động trinh sát và khai thác được thực hiện từ các máy chủ bị xâm nhập trước đó, đặc biệt là vùng mạng Internet của Ukraine”.
Để khiến cho hoạt động xâm nhập của mình trở nên lén lút hơn, Sandworm sử dụng “Dante”, “socks5” và các máy chủ proxy khác để định tuyến các hoạt động độc hại của chúng thông qua các máy chủ trong khu vực mạng Internet của Ukraine mà đã xâm phạm trước đó, khiến nó ít đáng ngờ hơn.
Báo cáo của CERT-UA cho thấy hai backdoor trong các hệ thống ISP bị vi phạm, đó là “Poemgate” và “Poseidon”. Poemgate nắm bắt thông tin đăng nhập của quản trị viên cố gắng xác thực ở điểm cuối bị xâm nhập, cung cấp cho kẻ tấn công quyền truy cập vào các tài khoản bổ sung mà chúng có thể sử dụng để di chuyển ngang hoặc xâm nhập mạng sâu hơn.
Trong khi đó, Poseidon là một backdoor Linux mà CERT-UA cho biết bao gồm đầy đủ các công cụ điều khiển máy tính từ xa. Sự bền bỉ của Poseidon đạt được bằng cách sửa đổi tác vụ Cron để bổ sung các hành vi độc hại.
Sửa đổi nhị phân Cron để thêm tính bền vững cho Poseidon (CERT-UA)
Sandworm sử dụng công cụ “Whitecat” để xóa dấu vết của cuộc tấn công và xóa nhật ký truy cập. Ở giai đoạn cuối của cuộc tấn công, tin tặc triển khai các tập lệnh có thể gây gián đoạn dịch vụ, đặc biệt là tập trung vào thiết bị Mikrotik và xóa sạch các bản sao lưu để khiến việc khôi phục trở nên khó khăn hơn.
Diễn biến này xảy ra khi CERT-UA cho biết họ đã quan sát thấy bốn chiến dịch tấn công lừa đảo được thực hiện bởi một nhóm tin tặc mà họ theo dõi là nhóm UAC-0006, sử dụng phần mềm độc hại “SmokeLoader” trong tuần đầu tiên của tháng 10/2023.
TÀI LIỆU THAM KHẢO https://thehackernews.com/2023/10/cert-ua-reports-11-ukrainian-telecom.html |
Phương Chi
14:00 | 04/08/2023
14:00 | 30/11/2023
08:00 | 24/11/2023
14:00 | 23/11/2023
14:00 | 08/11/2023
13:00 | 18/01/2024
09:00 | 05/01/2024
16:00 | 21/07/2023
16:00 | 18/12/2023
09:00 | 13/07/2023
13:00 | 26/02/2024
10:00 | 04/11/2024
Tại Hội nghị thượng đỉnh phân tích bảo mật 2024, nhóm nghiên cứu và phân tích toàn cầu của Kaspersky (GReAT) tiết lộ, các vụ tấn công do mã độc Grandoreiro gây ra nhắm tới hơn 1.700 ngân hàng, chiếm 5% tổng số vụ tấn công bằng trojan vào các ngân hàng trong năm nay.
10:00 | 18/10/2024
Công ty bảo mật Zimperium (Mỹ) đã xác định được 40 biến thể mới của trojan ngân hàng TrickMo trên Android. Các biến thể này được liên kết với 16 chương trình dropper (một loại trojan horse để cài đặt phần mềm độc hại) và 22 cơ sở hạ tầng của máy chủ điều khiển và ra lệnh (C2) riêng biệt, với các tính năng mới để đánh cắp mã PIN Android.
07:00 | 27/09/2024
Tổng cộng 6 triệu mã số định danh người nộp thuế Indonesia đã bị rò rỉ và rao bán công khai với giá 10.000 USD. Ngoài mã số định danh người nộp thuế, dữ liệu bị rò rỉ bao gồm mã số định danh quốc gia, email, địa chỉ, số điện thoại và thông tin cá nhân khác.
14:00 | 11/09/2024
Các nhà nghiên cứu bảo mật tại Rapid7 (Hoa Kỳ) phát hiện một lỗ hổng bảo mật mới trong hệ thống hoạch định nguồn lực doanh nghiệp (ERP) mã nguồn mở Apache OFBiz, có thể dẫn đến nguy cơ thực thi mã từ xa mà không cần xác thực trên các hệ điều hành như Linux và Windows.
Nhà cung cấp phần mềm an ninh mạng Gen Digital (Cộng hòa Séc) cho biết rằng, một phần mềm độc hại đánh cắp thông tin mới có thể vượt qua cơ chế mã hóa App-Bound trong các trình duyệt dựa trên Chromium.
10:00 | 28/11/2024