🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                    🔥 Văn phòng Ủy ban nhân dân tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                   

Các công ty viễn thông và BPO đang bị các tin tặc hoán đổi SIM nhắm mục tiêu

07/12/2022

Một chiến dịch xâm nhập mới được phát hiện đã nhắm mục tiêu vào các công ty viễn thông và công ty cung cấp dịch vụ gia công quy trình kinh doanh (BPO) kể từ tháng 6 năm 2022.

Nhà nghiên cứu Tim Parisi của CrowdStrike cho biết “mục đích của chiến dịch này dường như là giành quyền truy cập vào mạng của các nhà cung cấp dịch vụ di động để thực hiện hoạt động hoán đổi SIM (SIM swapping)”.

Các cuộc tấn công có động cơ tài chính, được cho là do một đối tượng được theo dõi dưới cái tên Scattered Spider thực hiện.

Quyền truy cập ban đầu vào môi trường mục tiêu được cho là có được thông qua tấn công social engineering bằng cách sử dụng các cuộc gọi và tin nhắn lừa đảo được gửi qua Telegram để mạo danh nhân viên CNTT.

Kỹ thuật này được sử dụng để dẫn dụ nạn nhân đến trang thu thập thông tin xác thực hoặc lừa họ cài đặt các công cụ quản lý và giám sát từ xa (RMM) có tính thương mại như Zoho Assist và Getscreen.me.

Nếu các tài khoản mục tiêu được bảo vệ bằng xác thực hai yếu tố (2FA), kẻ tấn công sẽ tìm cách lừa nạn nhân chia sẻ mật khẩu một lần (OTP) hoặc sử dụng một kỹ thuật được gọi là prompt bombing, đã được sử dụng trong các vụ vi phạm gần đây của Cisco và Uber.

Trong một chiến dịch độc hại khác được CrowdStrike phát hiện, thông tin đăng nhập bị đánh cắp của người dùng trước đây [chưa rõ có được bằng cách nào] đã được kẻ tấn công sử dụng để xác thực đối tượng thuê Azure (Azure tenant) của tổ chức.

Một trường hợp khác được phát hiện liên quan đến việc khai thác lỗ hổng thực thi mã từ xa nghiêm trọng trong giải pháp quản lý truy cập ForgeRock OpenAM (CVE-2021-35464) đã bị tin tặc khai thác vào năm ngoái.

Nhiều cuộc tấn công cũng liên quan đến việc Scattered Spider giành quyền truy cập vào bảng điều khiển (console) xác thực đa yếu tố (MFA) của tổ chức bị xâm phạm để đăng ký các thiết bị của chúng, sau đó duy trì truy cập thông qua các công cụ truy cập từ xa hợp pháp để tránh bị các hệ thống bảo vệ phát hiện.

Sau các bước truy cập và duy trì truy cập, kẻ tấn công đã tiến hành thu thập thông tin về các môi trường Windows, Linux, Google Workspace, Azure Active Directory, Microsoft 365 và AWS cũng như mở rộng phạm vi truy cập, đồng thời tải/cài đặt thêm các công cụ độc hại để lấy cắp dữ liệu xác thực VPN và MFA trong một số trường hợp.

Parisi lưu ý rằng "những chiến dịch này cực kỳ dai dẳng". "Một khi kẻ tấn công bị ngăn chặn hoặc hoạt động bị gián đoạn, chúng sẽ ngay lập tức chuyển sang nhắm mục tiêu vào các tổ chức khác trong lĩnh vực viễn thông và BPO".

Nguồn: thehackernews.com.

scrolltop