Theo các nhà nghiên cứu, nhóm tin tặc đã sử dụng dịch vụ proxy dân cư để làm xáo trộn địa chỉ IP nguồn của các cuộc tấn công nhằm vào chính phủ, nhà cung cấp dịch vụ CNTT, tổ chức phi chính phủ, quốc phòng và các lĩnh vực sản xuất quan trọng.
 |
Midnight Blizzard trước đây còn được gọi là Nobelium, APT29, Cozy Bear, Iron Hemlock… Nhóm này đã thu hút sự chú ý của toàn thế giới sau khi tấn công chuỗi cung ứng SolarWinds vào tháng 12 năm 2020, cũng như thực hiện các cuộc tấn công có chủ đích nhằm vào các bộ ngoại giao và tổ chức ngoại giao.
"Các cuộc tấn công thông tin xác thực này sử dụng nhiều kỹ thuật đánh cắp mật khẩu, brute-force và đánh cắp mã thông báo", Microsoft cho biết trong một loạt các tweet.
 |
Microsoft cảnh báo về cuộc tấn công đánh cắp thông tin xác thực. Ảnh: TIỂU MINH |
Microsoft cho biết: “Tác nhân đe dọa có thể đã sử dụng các địa chỉ IP này trong thời gian rất ngắn, điều này khiến việc xác định phạm vi và khắc phục trở nên khó khăn”.
Vừa qua, công ty an ninh mạng Recorded Future cũng đã tiết lộ về một chiến dịch lừa đảo trực tuyến mới do APT28 (còn gọi là BlueDelta, Forest Blizzard, FROZENLAKE, Iron Twilight và Fancy Bear) dàn dựng nhằm vào các tổ chức chính phủ và quân đội ở Ukraine kể từ tháng 11 năm 2021.
Các cuộc tấn công đã tận dụng các email có tệp đính kèm khai thác nhiều lỗ hổng trong phần mềm webmail Roundcube mã nguồn mở (CVE-2020-12641, CVE-2020-35730 và CVE-2021-44026) để tiến hành do thám và thu thập dữ liệu.
Công ty an ninh mạng cho biết: “Chiến dịch đã thể hiện mức độ chuẩn bị cao, nhanh chóng vũ khí hóa nội dung tin tức thành mồi nhử để khai thác người nhận”.
Quan trọng hơn, hoạt động này được cho là ăn khớp với một loạt các cuộc tấn công khai thác lỗ hổng zero-day trong Microsoft Outlook (CVE-2023-23397) nhằm chống lại các tổ chức châu Âu.
Lỗ hổng leo thang đặc quyền hiện được khắc phục trong bản vá Patch Tuesday vừa được tung ra vào tháng 3-2023.