Theo đó, chiến dịch này bắt đầu từ giữa tháng 11/2024, với các hoạt động bao gồm truy cập trái phép vào giao diện quản lý, thay đổi cấu hình, tạo tài khoản quản trị cấp cao và thu thập thông tin xác thực bằng kỹ thuật DCSync. Tin tặc đã lợi dụng giao diện jsconsole từ một số địa chỉ IP bất thường để thực hiện các hành vi này.
Các cuộc tấn công được thực hiện qua việc khai thác lỗ hổng zero-day trong các phiên bản firmware từ 7.0.14 đến 7.0.16, với các giai đoạn tấn công rõ ràng như: quét lỗ hổng, thu thập thông tin, thay đổi cấu hình và di chuyển ngang qua hệ thống. Tin tặc đã tạo tài khoản mới, chiếm quyền các tài khoản hiện có và thiết lập cổng SSL VPN để tiếp tục xâm nhập sâu hơn vào hệ thống.
Fortinet đã xác nhận lỗ hổng CVE-2024-55591 (điểm CVSS: 9.6) trong FortiOS và FortiProxy, cho phép kẻ tấn công chiếm quyền quản trị qua các yêu cầu tùy chỉnh đến module Node.js websocket. Lỗ hổng này đã bị khai thác để thực hiện các hành vi tấn công, bao gồm tạo tài khoản quản trị, thay đổi chính sách tường lửa và thêm tài khoản vào nhóm người dùng SSL VPN.
Để giảm thiểu rủi ro, các tổ chức nên tránh công khai giao diện quản lý tường lửa lên Internet và chỉ cho phép người dùng đáng tin cậy truy cập. Fortinet cũng khuyến cáo các tổ chức cập nhật phiên bản mới nhất của FortiOS từ 7.0.17 trở lên; FortiProxy từ 7.0.20 hoặc 7.2.13 trở lên
Nếu chưa thể cập nhật bản vá hoặc phát hiện các IOC đáng ngờ có thể sử dụng các giải pháp thay thế như: vô hiệu hóa giao diện quản trị HTTP/HTTPS; giới hạn địa chỉ IP có thể truy cập vào giao diện quản trị thông qua chính sách cục bộ.
Chiến dịch tấn công này mang tính cơ hội, không giới hạn vào một ngành hay quy mô tổ chức cụ thể, với mục tiêu chính là khai thác lỗ hổng để xâm nhập và chiếm quyền kiểm soát hệ thống mạng.
M.H
15:00 | 02/01/2025
16:00 | 31/08/2024
08:00 | 19/02/2025
10:00 | 20/05/2024
09:00 | 12/03/2025
Theo Downdetector, trang chuyên theo dõi hoạt động của các dịch vụ Internet, mạng xã hội X bắt đầu bị gián đoạn dịch vụ vào tối 10/3 kéo dài đến 3h ngày 11/3 (giờ Việt Nam). Trên toàn cầu, có hơn 41.000 lượt báo cáo không thể truy cập vào mạng xã hội của Elon Musk. Hiện dịch vụ đã được khôi phục.
10:00 | 24/02/2025
GitLab đã ban hành một khuyến cáo bảo mật kêu gọi người dùng cập nhật hệ thống ngay lập tức để khắc phục nhiều lỗ hổng, bao gồm một lỗ hổng Cross-Site Scripting (XSS) nghiêm trọng. Bản cập nhật này áp dụng cho GitLab Community Edition (CE) và Enterprise Edition (EE) với các phiên bản 17.8.2, 17.7.4 và 17.6.5.
17:00 | 28/01/2025
Nhóm tin tặc người Nga Star Blizzard được cho là có liên quan đến một chiến dịch lừa đảo trực tuyến mới nhắm vào tài khoản WhatsApp của nạn nhân, đánh dấu sự thay đổi so với phương thức tấn công lâu đời của nhóm này nhằm mục đích tránh bị phát hiện.
15:00 | 24/12/2024
Theo thông tin do đội ngũ chuyên gia của Kaspersky chia sẻ, trong nửa đầu năm 2024, số lượng người dùng bị tội phạm mạng nhắm đến, sử dụng mồi nhử là các trò chơi phổ biến dành cho trẻ em đã tăng 30% so với nửa cuối năm 2023. Sau khi phân tích rủi ro tiềm ẩn đến từ các đối tượng trẻ em có sở thích chơi trò chơi điện tử, các nhà nghiên cứu phát hiện hơn 132.000 trường hợp đã trở thành mục tiêu của tội phạm mạng. Bài viết dưới đây sẽ thông tin tới độc giả các nội dung trong báo cáo mới nhất của Kaspersky về thực trạng tội phạm mạng nêu trên.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Nhóm tin tặc UNC3886 được cho là có liên quan đến Trung Quốc đã tấn công các router MX đã hết vòng đời của Juniper Networks nhằm triển khai cửa hậu tuỳ chỉnh, cho thấy khả năng xâm nhập hạ tầng mạng nội bộ.
14:00 | 21/03/2025
