Ngày 18 tháng 7 năm 2023Tin tức về tin tặcAn ninh mạng / Tấn công mạng
Khám phá các câu chuyện về chiến thuật, kỹ thuật và quy trình mới nhất của các tác nhân đe dọa từ các chuyên gia về mối đe dọa của Cybersixgill mỗi tháng. Mỗi câu chuyện mang đến cho bạn thông tin chi tiết về các mối đe dọa ngầm mới nổi, các tác nhân đe dọa có liên quan và cách bạn có thể hành động để giảm thiểu rủi ro. Tìm hiểu về các lỗ hổng bảo mật hàng đầu và xem xét các xu hướng phần mềm độc hại và mã độc tống tiền mới nhất từ web sâu và web tối.
Thông tin đăng nhập ChatGPT bị đánh cắp tràn ngập thị trường dark web
Trong năm qua, 100.000 thông tin đăng nhập ChatGPT bị đánh cắp đã được quảng cáo trên các trang web ngầm, được bán với giá chỉ 5 đô la trên các chợ đen ngoài việc được cung cấp miễn phí.
Thông tin đăng nhập ChatGPT bị đánh cắp bao gồm tên người dùng, mật khẩu và thông tin cá nhân khác được liên kết với tài khoản. Điều này có vấn đề vì tài khoản ChatGPT có thể lưu trữ thông tin nhạy cảm từ các truy vấn, bao gồm cả dữ liệu bí mật và tài sản trí tuệ. Cụ thể, các công ty ngày càng kết hợp ChatGPT vào quy trình làm việc hàng ngày, điều đó có nghĩa là nhân viên có thể tiết lộ nội dung được phân loại, bao gồm cả mã độc quyền. Các nhà phân tích mối đe dọa của Cybersixgill đã phát hiện các quảng cáo về thông tin xác thực ChatGPT bị đánh cắp trên các thị trường dark web phổ biến, bên cạnh một quảng cáo cho một chatbot AI được cho là có khả năng tạo ra nội dung độc hại.
Các công ty nên làm gì để bảo vệ nhân viên và tài sản quan trọng khỏi những rủi ro ngoài ý muốn do ChatGPT gây ra?
Nhấn vào đây để đọc thêm
tin tặc thân Nga tấn công nền tảng Microsoft, đe dọa hệ thống ngân hàng châu Âu
Một nhóm tin tặc thân Nga rất tích cực đã đánh sập nhiều nền tảng của Microsoft, yêu cầu 1 triệu đô la Mỹ để ngăn chặn các cuộc tấn công, lặp lại chiến lược của nhóm trong một sự cố Từ chối dịch vụ phân tán (DDoS) gần đây nhắm vào Hãng hàng không Scandinavian. Mặc dù ban đầu Microsoft đưa ra những lời giải thích lảng tránh về sự cố ngừng hoạt động, nhưng sau đó, họ đã xác nhận rằng các cổng web Azure, Outlook và OneDrive không thể truy cập được do các cuộc tấn công DDoS Lớp 72 do nhóm hacktivist thực hiện. Các chuyên gia về mối đe dọa của chúng tôi đã quan sát thấy nhóm khoe khoang về cuộc tấn công ngầm của Microsoft, bên cạnh việc một đồng minh công bố một liên minh thân Nga mới có kế hoạch tấn công hệ thống ngân hàng châu Âu.
Mặc dù các cuộc tấn công DDoS đã gia tăng kể từ khi Nga xâm chiếm Ukraine vào tháng 2 năm 2022, nhưng việc những kẻ ủng hộ tin tặc chuyển hướng sang tống tiền gần đây cho thấy khía cạnh tài chính mới nổi của các vụ việc có động cơ chính trị. Với những rủi ro này, các tổ chức nên làm gì để chuẩn bị cho nhiều chiến dịch DDoS do các băng đảng thân Nga khởi xướng và khả năng kèm theo các yêu cầu tống tiền?
Nhấn vào đây để đọc thêm
Phần mềm độc hại mới đánh cắp dữ liệu từ trình duyệt và trình quản lý mật khẩu
Các quảng cáo về một loại phần mềm đánh cắp thông tin mới đang xuất hiện trên các diễn đàn tội phạm mạng bằng tiếng Nga. Mặc dù kẻ đánh cắp đã ra mắt vào tháng 4 năm 2023, nhưng doanh số bán hàng được báo cáo là tăng vọt vào tháng 6, điều này có thể cho thấy sự gia tăng các cuộc tấn công bằng phần mềm độc hại này. Phần mềm độc hại được cho là nhắm mục tiêu gần 200 trình duyệt, tiện ích mở rộng và trình quản lý mật khẩu, trong số các ứng dụng khác. Nhóm nghiên cứu mối đe dọa của chúng tôi đã quan sát thấy các nhà phát triển phần mềm độc hại giới thiệu các tính năng của phần mềm ngầm, bên cạnh các tác nhân đe dọa đặt câu hỏi về khả năng của kẻ đánh cắp.
Sau khi thực thi, kẻ đánh cắp thu thập dữ liệu liên quan đến hệ điều hành và phần cứng, gửi ảnh chụp màn hình đến máy chủ command-and-control3 (C2) của kẻ tấn công. Kẻ đánh cắp sau đó nhắm mục tiêu thông tin cụ thể được lưu trữ trong các ứng dụng khác nhau, bao gồm cả trình duyệt web. Phần mềm độc hại có thể được thuê với giá 150 USD/tháng hoặc 390 USD trong 4 tháng, với các quảng cáo được đăng trên các diễn đàn tội phạm mạng phổ biến mà Cybersixgill thu thập.
Khi sự xuất hiện của phần mềm độc hại đánh cắp mới minh họa, các công cụ đánh cắp dữ liệu vẫn phổ biến trên thế giới ngầm. Những công cụ như vậy trích xuất thông tin nhạy cảm, bao gồm thông tin đăng nhập và dữ liệu có giá trị khác. Với những kẻ đánh cắp mạnh mẽ, thân thiện với người dùng luôn sẵn sàng hoạt động ngầm, các tổ chức nên làm gì để bảo vệ chống lại các mối đe dọa như vậy?
Nhấn vào đây để đọc thêm
Lỗ hổng nghiêm trọng mới của VMware bị khai thác tràn lan
VMware gần đây đã đưa ra một lời khuyên liên quan đến lỗ hổng thực thi mã từ xa (RCE) quan trọng (CVE-2023-20877), cảnh báo rằng các tác nhân đe dọa đã và đang khai thác lỗ hổng trong các cuộc tấn công. Mặc dù bản cập nhật đã được phát hành để giải quyết lỗ hổng chèn lệnh, nhưng hai phiên bản chưa được vá của Aria Operations cho Networks3 của VMware vẫn rất dễ bị tấn công. Cuối cùng, các tác nhân đe dọa có thể tận dụng CVE-2023-20887 để truy cập mạng và đưa các lệnh độc hại vào Aria Operations for Networks, điều này có thể dẫn đến hành vi trộm cắp dữ liệu, hỏng dữ liệu hoặc thậm chí là xâm phạm toàn bộ hệ thống.
Kể từ ngày 3 tháng 7 năm 2023, mô-đun DVE của Cybersixgill đã gán cho CVE-2023-20887 điểm số nghiêm trọng (9,23), cho thấy mối đe dọa do lỗ hổng gây ra đối với các hệ thống chưa được vá. Điểm số này là động và có thể tiếp tục tăng – đặc biệt là khi có bằng chứng khái niệm (PoC) công khai cho CVE do một thợ săn mối đe dọa xuất bản trên GitHub. Theo dữ liệu do Cổng thông tin điều tra Cybersixgill thu thập, CVE-2023-20887 có liên quan đến ít nhất một mối đe dọa dai dẳng nâng cao (APT). Điều này có nghĩa là lỗ hổng có khả năng bị khai thác tích cực bởi các tác nhân đe dọa tinh vi, những người có thể vượt qua các biện pháp bảo mật truyền thống.
Các chuyên gia về mối đe dọa của chúng tôi đã quan sát thấy một PoC cho lỗ hổng này lưu hành ngầm và các nhóm mã độc tống tiền có thể coi lỗ hổng này là cơ hội tuyệt vời để khởi động các cuộc tấn công và yêu cầu thanh toán trong các kế hoạch tống tiền kép. Trước vấn đề này, các tập đoàn sử dụng VMWare nên làm gì để ngăn chặn hành động của tội phạm mạng?
Nhấn vào đây để đọc thêm
Đăng ký tạp chí hàng tháng Beyond the Headlines của Cybersixgill và nhận thông tin chi tiết mỗi tháng từ nhóm nghiên cứu mối đe dọa của chúng tôi về các mối đe dọa mới nhất và TTP của các tác nhân đe dọa trên web sâu, tối. Để có được các bản cập nhật mới nhất, bấm vào đây.
