Hotline: 0917111899 - 0914140366 hoặc kinhdoanh@itw.vn

Icon heart
0
Icon cart 0

Microsoft bắt giữ tin tặc Nga đang nhắm mục tiêu vào các đại sứ quán nước ngoài.

Tác giả tanthanh 10/02/2026 12 phút đọc

Microsoft cảnh báo hôm thứ Năm rằng tin tặc nhà nước Nga đang nhắm mục tiêu vào các đại sứ quán nước ngoài ở Moscow bằng phần mềm độc hại tùy chỉnh được cài đặt bằng các cuộc tấn công trung gian của đối thủ hoạt động ở cấp ISP.

Chiến dịch đã được tiến hành từ năm ngoái. Nó thúc đẩy các ISP ở quốc gia đó, những tổ chức có nghĩa vụ làm việc thay mặt chính phủ Nga. Với khả năng kiểm soát mạng ISP, nhóm đe dọa— mà Microsoft theo dõi dưới tên Secret Blizzard— tự định vị giữa đại sứ quán mục tiêu và các điểm cuối mà họ kết nối, một hình thức tấn công được gọi là đối thủ ở giữa, hoặc AitM. Vị trí này cho phép Secret Blizzard gửi mục tiêu đến các trang web độc hại dường như đã được biết đến và đáng tin cậy.

Mục tiêu: Cài đặt ApolloShadow

“Mặc dù trước đây chúng tôi đánh giá với độ tin cậy thấp rằng tác nhân này tiến hành các hoạt động gián điệp mạng trong biên giới Nga chống lại các thực thể trong và ngoài nước, nhưng đây là lần đầu tiên chúng tôi có thể xác nhận rằng họ có khả năng làm như vậy ở cấp Nhà cung cấp dịch vụ Internet (ISP), các thành viên của ” của nhóm Tình báo mối đe dọa của Microsoft viết. “Điều này có nghĩa là các nhân viên ngoại giao sử dụng ISP địa phương hoặc các dịch vụ viễn thông ở Nga rất có thể là mục tiêu của vị trí AiTM của Secret Blizzard trong các dịch vụ đó.”

Secret Blizzard là một trong những nhóm hacking được nhà nước tài trợ tích cực và tinh vi nhất thế giới. Nó đã hoạt động ít nhất từ năm 1996 và, theo như cơ quan An ninh mạng và Cơ sở hạ tầng, là một đơn vị của Cơ quan An ninh Liên bang Nga. Nhóm này cũng được theo dõi dưới những cái tên bao gồm Turla Venomous Bear, Uroburos, Snake, Blue Python, Wraith, ATG26 và Waterbug.

Mục tiêu của chiến dịch là khiến các mục tiêu cài đặt phần mềm độc hại tùy chỉnh được theo dõi dưới dạng ApolloShadow. Ngược lại, ApolloShadow cài đặt chứng chỉ gốc TLS cho phép Secret Blizzard mạo danh bằng mật mã các trang web đáng tin cậy được hệ thống bị nhiễm bên trong đại sứ quán truy cập.

Một AitM mà Microsoft quan sát được vào tháng 2 đã bắt đầu bằng cách đặt các mục tiêu đằng sau một cổng thông tin bị giam cầm. Các cổng này được sử dụng rộng rãi trong các cài đặt hợp pháp để quản lý truy cập Internet tại khách sạn và sân bay bằng cách yêu cầu người dùng mới kết nối tự xác thực, cung cấp thông tin thẻ thanh toán hoặc chấp nhận các điều khoản dịch v.

Khi ở phía sau cổng thông tin bị giam cầm, trang khởi tạo Chỉ báo trạng thái kết nối thử nghiệm Windows, một dịch vụ hợp pháp xác định xem thiết bị có truy cập Internet hay không bằng cách gửi yêu cầu HTTP GET tới hxxp://www.msftconnecttest[.]com/redirect. Trang web đó, lần lượt, chuyển hướng trình duyệt đến msn[.]com. Như bài đăng hôm thứ Năm đã giải thích:

Sau khi hệ thống mở cửa sổ trình duyệt tới địa chỉ này, hệ thống sẽ được chuyển hướng đến một miền do tác nhân kiểm soát riêng biệt có khả năng hiển thị lỗi xác thực chứng chỉ khiến mục tiêu tải xuống và thực thi ApolloShadow. Sau khi thực thi, ApolloShadow kiểm tra mức đặc quyền của ProcessToken và nếu thiết bị không chạy trên cài đặt quản trị mặc định thì phần mềm độc hại sẽ hiển thị cửa sổ bật lên kiểm soát truy cập người dùng (UAC) để nhắc người dùng cài đặt chứng chỉ có tên tệp CertificateDB.exe, giả dạng trình cài đặt Kaspersky để cài đặt chứng chỉ gốc và cho phép tác nhân có được các đặc quyền nâng cao trong hệ thống.

Sơ đồ sau đây minh họa chuỗi lây nhiễm:

 

Secret-Blizzard-AiTM-infection-chain-1-1024x552
 
ApolloShadow gọi các GetTokenInformationType API để kiểm tra xem nó có đủ quyền hệ thống để cài đặt chứng chỉ gốc hay không. Nếu không, phần mềm độc hại sử dụng một quy trình tinh vi giả mạo một trang tại hxxp://timestamp.digicert[.]com/registered, lần lượt gửi cho hệ thống một tải trọng giai đoạn hai dưới dạng VBScript.

Sau khi được giải mã, ApolloShadow sẽ tự khởi chạy lại và hiển thị cho người dùng cửa sổ Kiểm soát truy cập người dùng đang tìm cách nâng cao quyền truy cập hệ thống của nó. (Microsoft đã cung cấp thêm nhiều chi tiết kỹ thuật về kỹ thuật này trong bài đăng hôm thứ Năm.)

 

ApolloShadow-execution-flow-1024x722
 
Nếu ApolloShadow đã có đủ quyền hệ thống, phần mềm độc hại sẽ định cấu hình tất cả các mạng mà máy chủ kết nối là riêng tư.

“Điều này gây ra một số thay đổi bao gồm việc cho phép thiết bị chủ trở thành các quy tắc tường lửa có thể khám phá và thư giãn để cho phép chia sẻ tệp, ” Microsoft giải thích. “Mặc dù chúng tôi không thấy bất kỳ nỗ lực trực tiếp nào cho chuyển động ngang, lý do chính cho những sửa đổi này có khả năng làm giảm độ khó của chuyển động ngang trên mạng.” (Bài đăng của Microsoft cũng cung cấp chi tiết kỹ thuật về kỹ thuật này.)

Microsoft cho biết khả năng khiến các thiết bị bị nhiễm tin tưởng vào các trang web độc hại cho phép tác nhân đe dọa duy trì sự kiên trì, có khả năng được sử dụng trong việc thu thập thông tin tình báo.

Công ty đang tư vấn cho tất cả các khách hàng hoạt động tại Moscow, các tổ chức đặc biệt nhạy cảm, để đào hầm lưu lượng truy cập của họ thông qua các đường hầm được mã hóa kết nối với một ISP đáng tin cậy.

Tác giả tanthanh Admin
Bài viết trước Cloudflare cho biết trang web AI Perplexity sử dụng “chiến thuật tàng hình” để coi thường các sắc lệnh không thu thập thông tin

Cloudflare cho biết trang web AI Perplexity sử dụng “chiến thuật tàng hình” để coi thường các sắc lệnh không thu thập thông tin
Bài viết tiếp theo

Lỗ hổng bảo mật SharePoint với mức độ nghiêm trọng 9.8 đang bị khai thác trên toàn cầu.

Lỗ hổng bảo mật SharePoint với mức độ nghiêm trọng 9.8 đang bị khai thác trên toàn cầu.
Viết bình luận
Thêm bình luận

Bài viết liên quan

Cloudflare cho biết trang web AI Perplexity sử dụng “chiến thuật tàng hình” để coi thường các sắc lệnh không thu thập thông tin Phần mềm & Bảo mật
10/02/2026

Cloudflare cho biết trang web AI Perplexity sử dụng “chiến thuật tàng hình” để coi thường các sắc lệnh không thu thập thông tin

Công cụ tìm kiếm AI Perplexity đang sử dụng bot tàng hình và các chiến thuật khác để trốn tránh các ...

Tin tặc lừa đảo qua điện thoại lại ra tay, lần này nhắm vào Cisco. Phần mềm & Bảo mật
10/02/2026

Tin tặc lừa đảo qua điện thoại lại ra tay, lần này nhắm vào Cisco.

Cisco nói rằng một trong những đại diện của họ đã trở thành nạn nhân của một cuộc tấn công lừa đảo ...

Dưới đây là cách thức hoạt động của các cuộc tấn công lừa đảo qua điện thoại bằng deepfake và lý do tại sao chúng khó bị phát hiện. Phần mềm & Bảo mật
10/02/2026

Dưới đây là cách thức hoạt động của các cuộc tấn công lừa đảo qua điện thoại bằng deepfake và lý do tại sao chúng khó bị phát hiện.

Đến bây giờ, bạn có thể đã nghe nói về các cuộc gọi gian lận sử dụng AI để sao chép giọng nói của ...

Để tìm kiếm cơ hội làm giàu, tin tặc đã cài đặt Raspberry Pi hỗ trợ 4G vào mạng lưới ngân hàng. Phần mềm & Bảo mật
10/02/2026

Để tìm kiếm cơ hội làm giàu, tin tặc đã cài đặt Raspberry Pi hỗ trợ 4G vào mạng lưới ngân hàng.

Các tin tặc đã cài một Raspberry Pi được trang bị modem 4G vào mạng của một ngân hàng giấu tên trong ...

Lỗ hổng trong công cụ lập trình Gemini CLI có thể cho phép tin tặc thực thi các lệnh độc hại. Phần mềm & Bảo mật
10/02/2026

Lỗ hổng trong công cụ lập trình Gemini CLI có thể cho phép tin tặc thực thi các lệnh độc hại.

Các nhà nghiên cứu cần ít hơn 48 giờ với tác nhân mã hóa Gemini CLI mới của Google để đưa ra một ...

Các cuộc tấn công chuỗi cung ứng vào phần mềm mã nguồn mở đang trở nên mất kiểm soát. Phần mềm & Bảo mật
10/02/2026

Các cuộc tấn công chuỗi cung ứng vào phần mềm mã nguồn mở đang trở nên mất kiểm soát.

Đây là một tuần bận rộn đối với các cuộc tấn công chuỗi cung ứng nhắm vào phần mềm nguồn mở có sẵn ...

Thông báo

0917111899

Menu

Ngành hàng

Hotline

0917111899 - 0914140366

Email

kinhdoanh@itw.vn

Copyright 2025 © THẾ GIỚI TIN HỌC