Các nghiên cứu bảo mật của Microsoft cho biết: “Các tin tặc tiếp tục nhắm mục tiêu mạnh mẽ vào các cá nhân và tổ chức liên quan đến các vấn đề quốc tế, quốc phòng và hỗ trợ hậu cần cho Ukraine, cũng như các học viện, công ty bảo mật thông tin và các thực thể khác có liên quan đến lợi ích nhà nước của Nga”.
Cold River được biết đã hoạt động ít nhất từ năm 2017 và có mối liên hệ với Cơ quan An ninh Liên bang Nga (FSB). Vào tháng 8/2023, công ty an ninh mạng Recorded Future (Mỹ) đã tiết lộ 94 tên miền mới nằm trong cơ sở hạ tầng tấn công của Cold River, hầu hết trong số đó có từ khóa liên quan đến công nghệ thông tin và tiền điện tử.
Microsoft chia sẻ rằng họ đã quan sát thấy nhóm tin tặc này lợi dụng các tập lệnh phía máy chủ để ngăn chặn quá trình quét tự động cơ sở hạ tầng do chúng kiểm soát bắt đầu từ tháng 4/2023. Mã JavaScript phía máy chủ được thiết kế để kiểm tra xem trình duyệt có cài đặt bất kỳ plugin nào hay không, xem trang có đang được truy cập bằng công cụ tự động hóa như Selenium hoặc PhantomJS không và truyền kết quả đến máy chủ dưới dạng yêu cầu HTTP POST.
Microsoft cho biết: “Theo yêu cầu POST, máy chủ chuyển hướng sẽ đánh giá dữ liệu được thu thập từ trình duyệt và quyết định xem có cho phép tiếp tục chuyển hướng trình duyệt hay không”.
Nội dung của yêu cầu POST và phản hồi của máy chủ
Cold River cũng sử dụng các dịch vụ như HubSpot và MailerLite để tạo các chiến dịch đóng vai trò là điểm khởi đầu của chuỗi tấn công nhằm chuyển hướng đến máy chủ Evilginx lưu trữ trang thu thập thông tin xác thực.
Ngoài ra, các nhà nghiên cứu bảo mật còn quan sát thấy nhóm tin tặc Cold River sử dụng nhà cung cấp dịch vụ tên miền (DNS) để phân giải tên miền do nhóm tin tặc này đăng ký, gửi các tệp tin mồi nhử PDF được bảo vệ bằng mật khẩu và nhúng các liên kết để trốn tránh các quy trình bảo mật email cũng như lưu trữ các tệp trên Proton Drive.
Theo Microsoft, giờ đây các tin tặc Cold River đã nâng cấp thuật toán tạo tên miền (DGA) để tạo danh sách tên miền ngẫu nhiên hơn. Microsoft cho biết, các hoạt động của Cold River vẫn tập trung vào hành vi đánh cắp thông tin xác thực email, chủ yếu nhắm mục tiêu vào các nhà cung cấp email dựa trên đám mây lưu trữ tài khoản email tổ chức hoặc cá nhân.
Lê Thị Bích Hằng
(Tổng hợp)
08:00 | 08/12/2023
08:00 | 12/01/2024
14:00 | 23/11/2023
14:00 | 22/02/2024
14:00 | 08/11/2023
16:00 | 27/09/2024
16:00 | 15/03/2024
09:00 | 25/10/2023
08:00 | 06/11/2023
13:00 | 25/07/2024
Trong thời đại công nghệ hiện nay, dịch vụ marketing, truyền thông online đang trở nên "hot" hơn bao giờ hết. Tuy nhiên để chọn được một nhà cung cấp các dịch vụ này là một vấn đề khá khó khăn. Nắm bắt được nhu cầu và định hướng của người dùng, Yofatik - website cung cấp đa dạng các dịch vụ mạng xã hội, dịch vụ marketing, truyền thông online và các dịch vụ tương tác trên tất cả các nền tảng mạng xã hội như like, sub, comment, follow, share… đã hỗ trợ tối ưu cho khách hàng, tiết kiệm thời gian cũng như chi phí và đưa khách hàng nhanh chóng tới gần với việc kiếm tiền online.
10:00 | 28/06/2024
Microsoft, Adobe và SAP lần lượt phát hành bản vá cho 229 sản phẩm của mình trong tháng 6. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.
10:00 | 07/06/2024
Tại sự kiện Build 2024, Microsoft đã giới thiệu tính năng trí tuệ nhân tạo (AI) mới mang tên Recall trên hệ điều hành Windows 11, cho phép người dùng có thể xem lại các tác vụ đã thực hiện trên máy.
10:00 | 05/06/2024
Mới đây, hãng bảo mật Kaspersky đã phát hành một công cụ phòng chống virus mới có tên Kaspersky Virus Removal Tool (KVRT) dành cho nền tảng Linux, cho phép người dùng quét hệ thống của họ và loại bỏ phần mềm độc hại cũng như các mối đe dọa đã biết.
Trong cuộc gặp với Tổng Bí thư, Chủ tịch nước Tô Lâm tại New York vào ngày 25/9, Tim Hughes, Phó Chủ tịch cấp cao của SpaceX, tập đoàn hàng đầu thế giới cung cấp dịch vụ tàu vũ trụ, phóng vệ tinh và truyền thông vệ tinh đã đánh giá cao tiềm năng phát triển dịch vụ Internet vệ tinh tại Việt Nam và cho biết dự định đầu tư 1,5 tỷ USD vào Việt Nam trong thời gian tới.
10:00 | 01/10/2024