Ngày 26 tháng 6 năm 2023Ravie Lakshmanan Đe dọa mạng / Bảo mật mật khẩu
Microsoft đã tiết lộ rằng họ đã phát hiện thấy sự gia tăng đột biến trong các cuộc tấn công đánh cắp thông tin xác thực do nhóm tin tặc liên kết với nhà nước Nga có tên là Midnight Blizzard thực hiện.
Nhóm tình báo mối đe dọa của gã khổng lồ công nghệ cho biết, các cuộc xâm nhập sử dụng dịch vụ proxy dân cư để làm xáo trộn địa chỉ IP nguồn của các cuộc tấn công, nhằm vào các chính phủ, nhà cung cấp dịch vụ CNTT, tổ chức phi chính phủ, quốc phòng và các lĩnh vực sản xuất quan trọng.
Midnight Blizzard, trước đây được gọi là Nobelium, cũng được theo dõi dưới các biệt danh APT29, Cozy Bear, Iron Hemlock và The Dukes.
Nhóm đã thu hút sự chú ý trên toàn thế giới vì thỏa hiệp chuỗi cung ứng SolarWinds vào tháng 12 năm 2020, đã tiếp tục dựa vào công cụ vô hình trong các cuộc tấn công có chủ đích nhằm vào các bộ ngoại giao và tổ chức ngoại giao.
Đó là dấu hiệu cho thấy họ quyết tâm duy trì hoạt động của mình như thế nào mặc dù bị lộ, điều này khiến họ trở thành một diễn viên đặc biệt đáng gờm trong lĩnh vực gián điệp.
“Các cuộc tấn công thông tin xác thực này sử dụng nhiều kỹ thuật đánh cắp mật khẩu, brute-force và đánh cắp mã thông báo”, Microsoft cho biết trong một loạt các tweet, đồng thời cho biết thêm rằng kẻ tấn công “cũng đã tiến hành các cuộc tấn công phát lại phiên để có quyền truy cập ban đầu vào tài nguyên đám mây, tận dụng các phiên bị đánh cắp có khả năng có được thông qua bán hàng bất hợp pháp.”
Gã khổng lồ công nghệ này còn chỉ trích APT29 về việc sử dụng các dịch vụ proxy dân cư để định tuyến lưu lượng truy cập độc hại nhằm cố gắng làm xáo trộn các kết nối được thực hiện bằng thông tin xác thực bị xâm phạm.
Các nhà sản xuất Windows cho biết: “Tác nhân đe dọa có thể đã sử dụng các địa chỉ IP này trong thời gian rất ngắn, điều này có thể khiến việc xác định phạm vi và khắc phục trở nên khó khăn”.
Diễn biến này diễn ra khi Recorded Future trình bày chi tiết về một chiến dịch lừa đảo trực tuyến mới do APT28 (còn gọi là BlueDelta, Forest Blizzard, FROZENLAKE, Iron Twilight và Fancy Bear) dàn dựng nhằm vào các tổ chức chính phủ và quân đội ở Ukraine kể từ tháng 11 năm 2021.
Các cuộc tấn công đã tận dụng các email có tệp đính kèm khai thác nhiều lỗ hổng trong phần mềm webmail Roundcube mã nguồn mở (CVE-2020-12641, CVE-2020-35730 và CVE-2021-44026) để tiến hành trinh sát và thu thập dữ liệu.
Một vi phạm thành công đã cho phép tin tặc tình báo quân sự Nga triển khai phần mềm độc hại JavaScript giả mạo chuyển hướng email đến của các cá nhân được nhắm mục tiêu đến địa chỉ email dưới sự kiểm soát của kẻ tấn công cũng như đánh cắp danh sách liên hệ của họ.
Công ty an ninh mạng cho biết: “Chiến dịch đã thể hiện mức độ chuẩn bị cao, nhanh chóng vũ khí hóa nội dung tin tức thành mồi nhử để khai thác người nhận”. “Các email lừa đảo có chủ đề tin tức liên quan đến Ukraine, với dòng chủ đề và nội dung phản ánh các nguồn truyền thông hợp pháp.”
Quan trọng hơn, hoạt động này được cho là ăn khớp với một loạt các cuộc tấn công khác vũ khí hóa lỗ hổng zero-day trong Microsoft Outlook (CVE-2023-23397) mà Microsoft tiết lộ là được sử dụng trong “các cuộc tấn công có mục tiêu hạn chế” chống lại các tổ chức châu Âu.
Lỗ hổng leo thang đặc quyền đã được xử lý như một phần của bản cập nhật Bản vá Thứ Ba được tung ra vào tháng 3 năm 2023.
Phát hiện này cho thấy những nỗ lực bền bỉ của các tác nhân đe dọa Nga trong việc thu thập thông tin tình báo có giá trị về các thực thể khác nhau ở Ukraine và khắp châu Âu, đặc biệt là sau cuộc xâm lược toàn diện vào quốc gia này vào tháng 2 năm 2022.
Các hoạt động chiến tranh mạng nhằm vào các mục tiêu Ukraine đã được đánh dấu đáng chú ý bằng việc triển khai rộng rãi phần mềm độc hại wiper được thiết kế để xóa và hủy dữ liệu, biến nó thành một trong những trường hợp sớm nhất của xung đột hỗn hợp quy mô lớn.
“BlueDelta gần như chắc chắn sẽ tiếp tục ưu tiên nhắm mục tiêu vào các tổ chức chính phủ và khu vực tư nhân Ukraine để hỗ trợ các nỗ lực quân sự rộng lớn hơn của Nga,” Recorded Future kết luận.
