Ngày 13 tháng 7 năm 2023THNCGián điệp mạng / Bảo mật email
Một cơ quan Chi nhánh Hành pháp Dân sự Liên bang (FCEB) giấu tên ở Hoa Kỳ đã phát hiện hoạt động email bất thường vào giữa tháng 6 năm 2023, dẫn đến việc microsoft phát hiện ra một chiến dịch gián điệp mới có liên kết với Trung Quốc nhắm mục tiêu vào hai chục tổ chức.
Thông tin chi tiết đến từ một tư vấn chung về an ninh mạng do Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) và Cục Điều tra Liên bang (FBI) công bố vào ngày 12 tháng 7 năm 2023.
“Vào tháng 6 năm 2023, một cơ quan của Chi nhánh Hành pháp Dân sự Liên bang (FCEB) đã xác định hoạt động đáng ngờ trong môi trường đám mây Microsoft 365 (M365) của họ,” nhà chức trách cho biết. “Microsoft đã xác định rằng các tác nhân đe dọa dai dẳng nâng cao (APT) đã truy cập và đánh cắp dữ liệu Exchange Online Outlook chưa được phân loại.”
Trong khi tên của cơ quan chính phủ không được tiết lộ, CNN và Washington Post đưa tin đó là Bộ Ngoại giao Hoa Kỳ, trích dẫn những người quen thuộc với vấn đề này. Cũng bị nhắm mục tiêu là Bộ Thương mại cũng như các tài khoản email thuộc về một nhân viên quốc hội, một người ủng hộ nhân quyền Hoa Kỳ và các tổ chức tư vấn của Hoa Kỳ. Số lượng các tổ chức bị ảnh hưởng ở Hoa Kỳ được ước tính ở mức một con số.
Tiết lộ được đưa ra một ngày sau khi gã khổng lồ công nghệ quy kết chiến dịch này cho một “tác nhân đe dọa ở Trung Quốc” mới nổi mà họ theo dõi có tên Storm-0558, chủ yếu nhắm vào các cơ quan chính phủ ở Tây Âu và tập trung vào hoạt động gián điệp và đánh cắp dữ liệu. Bằng chứng thu thập được cho đến nay cho thấy hoạt động độc hại đã bắt đầu một tháng trước khi nó được phát hiện.
Tuy nhiên, Trung Quốc đã bác bỏ cáo buộc đứng sau vụ tấn công mạng, gọi Mỹ là “đế chế tấn công mạng lớn nhất thế giới và là kẻ trộm mạng toàn cầu” và rằng “đã đến lúc Mỹ phải giải thích về các hoạt động tấn công mạng của mình và ngừng lan truyền thông tin sai lệch để đánh lạc hướng sự chú ý của công chúng”. .”
Chuỗi tấn công kéo theo việc gián điệp mạng tận dụng mã thông báo xác thực giả mạo để giành quyền truy cập vào tài khoản email của khách hàng bằng cách sử dụng Outlook Web Access trong Exchange Online (OWA) và Outlook.com. Các mã thông báo đã được giả mạo bằng cách sử dụng khóa ký của người tiêu dùng tài khoản Microsoft (MSA) đã mua. Phương pháp chính xác mà khóa được bảo mật vẫn chưa rõ ràng.
HỘI THẢO TRỰC TUYẾN SẮP TỚI
Lá chắn chống lại các mối đe dọa nội bộ: Quản lý tư thế bảo mật SaaS Master
Lo lắng về các mối đe dọa nội bộ? Chúng tôi đã có bạn bảo hiểm! Tham gia hội thảo trực tuyến này để khám phá các chiến lược thực tế và bí mật của bảo mật chủ động với Quản lý tư thế bảo mật SaaS.
tham gia ngay hôm nay
Cũng được Storm-0558 sử dụng để tạo điều kiện truy cập thông tin xác thực là hai công cụ phần mềm độc hại tùy chỉnh có tên Bling và Cigril, công cụ sau được đặc trưng là một trojan giải mã các tệp được mã hóa và chạy chúng trực tiếp từ bộ nhớ hệ thống để tránh bị phát hiện.
CISA cho biết cơ quan FCEB có thể xác định vi phạm bằng cách tận dụng tính năng ghi nhật ký nâng cao trong Microsoft Purview Audit, cụ thể là sử dụng hành động kiểm tra hộp thư MailItemsAccessed.
Cơ quan này cũng đề xuất thêm rằng các tổ chức nên kích hoạt ghi nhật ký Kiểm tra Purview (Premium), bật Ghi nhật ký kiểm tra hợp nhất của Microsoft 365 (UAL) và đảm bảo người vận hành có thể tìm kiếm nhật ký để cho phép tìm kiếm loại hoạt động này và phân biệt hoạt động đó với hành vi dự kiến trong môi trường .
“Các tổ chức được khuyến khích tìm kiếm các điểm ngoại lệ và làm quen với các mẫu cơ bản để hiểu rõ hơn về lưu lượng truy cập bất thường so với bình thường”, CISA và FBI cho biết thêm.
