Công ty an ninh mạng Symantec (thuộc Broadcom - Hoa Kỳ), cho biết trong một báo cáo: “Điều này được thực hiện để tạo điều kiện thuận lợi cho việc liên lạc với cơ sở hạ tầng chỉ huy và kiểm soát (C&C) được lưu trữ trên các dịch vụ đám mây của Microsoft”.
Kể từ tháng 1/2022, nhiều nhóm tin tặc liên kết với từng quốc gia đã bị phát hiện sử dụng API Microsoft Graph cho C&C, có thể kể đến: APT28, REF2924, Red Stinger, Flea, APT29 và OilRig.
Trường hợp lạm dụng API Microsoft Graph đầu tiên được biết đến bắt đầu từ tháng 6 năm 2021 liên quan đến một loạt hoạt động có tên là Harvester, được phát hiện bằng cách sử dụng một bộ cấy tùy chỉnh có tên là Graphon, sử dụng API để giao tiếp với cơ sở hạ tầng của Microsoft.
Symantec cho biết gần đây họ đã phát hiện việc sử dụng kỹ thuật tương tự nhằm vào một tổ chức giấu tên ở Ukraine, liên quan đến việc triển khai một phần mềm độc hại có tên BirdyClient (còn gọi là OneDriveBirdyClient).
Tệp DLL có tên "vxdiff[.]dll", giống như một tệp DLL hợp pháp được liên kết với ứng dụng có tên Apoint ("apoint[.]exe"), tệp này được thiết kế để kết nối với Microsoft Graph API và sử dụng OneDrive làm máy chủ C&C để tải lên và tải xuống các tập tin.
Hiện chưa có thông tin về phương pháp phân phối và yêu cầu tải DLL, cũng như thông tin về tác nhân đe dọa cùng mục tiêu cuối cùng của nhóm tin tặc.
Symantec cho biết: “Thông tin liên lạc của kẻ tấn công với máy chủ C&C thường có thể gây ra cảnh báo đỏ đối với các tổ chức mục tiêu. Ngoài việc có vẻ kín đáo, đây còn là nguồn cơ sở hạ tầng an toàn và rẻ tiền cho những kẻ tấn công vì các tài khoản cơ bản cho các dịch vụ như OneDrive đều miễn phí”.
Sự phát triển này diễn ra khi Permiso tiết lộ cách các lệnh quản trị đám mây có thể bị tin tặc khai thác với quyền truy cập đặc quyền để thực thi các lệnh trên máy ảo.
Công ty bảo mật đám mây này cho biết: “Hầu hết, tin tặc tận dụng các mối quan hệ đáng tin cậy để thực thi các lệnh trong các phiên bản tính toán được kết nối hoặc môi trường kết hợp bằng cách xâm phạm các nhà cung cấp bên ngoài hoặc nhà thầu bên thứ ba có quyền truy cập đặc quyền để quản lý môi trường dựa trên đám mây nội bộ. Bằng cách xâm phạm các thực thể bên ngoài này, tin tặc có thể có được quyền truy cập nâng cao, cho phép chúng thực thi các lệnh trong các phiên bản điện toán hoặc môi trường kết hợp”.
Quốc An
07:00 | 08/04/2024
09:00 | 05/09/2024
10:00 | 23/07/2024
15:00 | 13/12/2024
15:00 | 26/05/2023
10:00 | 09/12/2024
12:00 | 06/05/2024
16:00 | 20/01/2025
Ngày 06/01, nhóm tin tặc Silent Crow được cho là liên quan đến Ukraine tuyên bố đã xâm nhập vào hệ thống của Cơ quan địa chính và bản đồ Quốc gia Nga (Rosreestr) và công bố một phần dữ liệu được cho là trích xuất từ cơ sở dữ liệu của cơ quan này.
09:00 | 27/12/2024
Các tên miền mới như ".shop", ".xyz" đang ngày càng trở nên phổ biến với tội phạm mạng do giá rẻ và quy trình đăng ký đơn giản là cảnh báo được đưa ra trong báo cáo Cybercrime Supply Chain 2024 của Interisle Consulting Group (Mỹ).
10:00 | 24/12/2024
Mới đây, các nhà nghiên cứu an ninh mạng đã phát hiện một rootkit mới có tên là Pumakit trên hệ điều hành Linux, được thiết kế với nhiều lớp để ẩn mình và leo thang đặc quyền một cách tinh vi.
07:00 | 17/10/2024
Các tin tặc Triều Tiên mới đây đã bị phát hiện đang phân phối một Trojan truy cập từ xa (RAT) và backdoor chưa từng được ghi nhận trước đây có tên là VeilShell, như một phần của chiến dịch tấn công mạng nhắm vào các cơ quan, tổ chức tại Campuchia và các quốc gia Đông Nam Á khác.
Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch tấn công mới nhắm vào các thiết bị tường lửa Fortinet FortiGate có giao diện quản lý công khai trên Internet.
14:00 | 04/02/2025