Tin tặc Nga nhắm mục tiêu vào lỗi cấu hình trong các cuộc tấn công vào cơ sở hạ tầng trọng yếu

16:22 | 19/12/2025

Sau nhiều năm khai thác các lỗ hổng bảo mật zero-day và n-day, các nhóm tin tặc Nga đang chuyển hướng mục tiêu sang tấn công các thiết bị cấu hình lỗi để nhắm vào các cơ sở hạ tầng trọng yếu. Đây chính là cảnh báo mới nhất đến từ Nhóm tình báo về mối đe dọa của Amazon.

Hoạt động độc hại này có liên quan đến nhóm tin tặc Sandworm nổi tiếng, khiến các chuyên gia của Amazon nhận định các cuộc tấn công có khả năng được thực hiện bởi các tác nhân đe dọa có liên hệ với Cơ quan tình báo của Nga (GRU).

Amazon cũng phát hiện một số điểm trùng lặp về cơ sở hạ tầng với nhóm tin tặc bị Bitdefender theo dõi với tên gọi Curly COMrades, những người có thể chịu trách nhiệm cho các hoạt động sau khi khai thác lỗ hổng.

Trong 5 năm qua, Amazon chứng kiến các cuộc tấn công nhắm vào các tổ chức năng lượng ở các nước phương Tây, cơ sở hạ tầng trọng yếu ở Bắc Mỹ và châu Âu, cũng như nhiều tổ chức khác nhau có cơ sở hạ tầng mạng được lưu trữ trên đám mây.

Ông lớn công nghệ này đã theo dõi các cuộc tấn công của các tin tặc từ năm 2021 đến năm 2025 và cho đến năm nay, chúng thường giành được quyền truy cập ban đầu thông qua việc khai thác các lỗ hổng bảo mật zero-day và n-day. Một số ví dụ về các lỗ hổng bảo mật bị khai thác trong khoảng thời gian này bao gồm lỗ hổng WatchGuard CVE-2022-26318, các lỗ hổng Confluence CVE-2021-26084 và CVE-2023-22518, cũng như lỗ hổng sản phẩm Veeam CVE-2023-27532.

Kể từ năm 2025, Nhóm tình báo về mối đe dọa của Amazon ghi nhận sự suy giảm trong việc khai thác các lỗ hổng và sự tập trung ngày càng tăng vào việc nhắm mục tiêu vào các thiết bị mạng biên cấu hình lỗi.

Amazon cho biết: “Sự điều chỉnh chiến thuật này cho phép các tin tặc có thể thu thập thông tin đăng nhập, xâm nhập ngang vào các dịch vụ trực tuyến và cơ sở hạ tầng của các tổ chức nạn nhân, đồng thời giảm thiểu rủi ro và chi phí nguồn lực của chúng”.

Theo Amazon, tin tặc Nga được phát hiện nhắm mục tiêu vào các router enterprise, VPN và cổng truy cập từ xa, thiết bị quản lý mạng và hệ thống quản lý dự án. Amazon có thể giám sát các cuộc tấn công vì các thiết bị biên mạng mục tiêu được lưu trữ trên AWS - việc khách hàng không cấu hình bảo mật cho các thiết bị này đã biến chúng thành mục tiêu dễ bị tấn công và lạm dụng để truy cập ban đầu.

Ngoài ra, kẻ tấn công hiện đang lợi dụng khả năng thu thập gói dữ liệu gốc để chặn lưu lượng truy cập, từ đó đánh cắp thông tin đăng nhập. Những dữ liệu này cho phép các tác nhân đe dọa thực hiện các cuộc tấn công replay nhắm vào các dịch vụ trực tuyến và cơ sở hạ tầng của mục tiêu, tạo điều kiện cho sự di chuyển ngang hàng trong hệ thống mạng.