Trace Id is missing
Bỏ qua để tới nội dung chính
Người dùng nội bộ bảo mật

Đánh giá cuối năm 2023 về thông tin về mối đe dọa: Thông tin chuyên sâu và diễn biến quan trọng

Chia sẻ
Vòng tròn đỏ trên bầu trời

Microsoft Threat Intelligence đã trải qua một năm tuyệt vời. Số lượng khổng lồ các mối đe dọa và cuộc tấn công được phát hiện từ hơn 65 nghìn tỷ tín hiệu mà chúng tôi giám sát hàng ngày đã mang đến nhiều bước ngoặt, đặc biệt là khi chúng tôi nhận thấy sự thay đổi trong cách các tác nhân đe dọa mở rộng quy mô và tận dụng sự hậu thuẫn của nhà nước. Năm ngoái đã chứng kiến nhiều cuộc tấn công hơn bao giờ hết và mỗi ngày, chuỗi tấn công lại càng phức tạp hơn. Thời gian kẻ tấn công hiện diện đã được rút ngắn. Chiến thuật, kỹ thuật và quy trình (TTP) đã phát triển để trở nên lanh lẹ và khéo lẩn tránh hơn. Khi nhìn lại thông tin chi tiết về những sự cố này, chúng tôi biết được mẫu hình để tìm cách ứng phó với các mối đe dọa mới và dự đoán hướng đi tiếp theo của các mối đe dọa đó. Chúng tôi đã đánh giá năm 2023 trên phương diện TPP để có được cái nhìn tổng quan toàn diện xoay quanh bối cảnh thông tin về mối đe dọa thông qua những điều chúng tôi quan sát được từ các sự cố trên khắp thế giới. Sau đây là một số điểm nổi bật mà cả Sherrod DeGrippo và tôi đều muốn chia sẻ với các bạn, cùng một số đoạn video lấy từ phiên thảo luận tại Ignite 2023.

John Lambert,
Phó Chủ tịch Tập đoàn Microsoft kiêm Thành viên Ban Bảo mật

Hệ thống phân loại đặt tên tác nhân đe dọa

Trong năm 2023, Microsoft đã chuyển sang một hệ thống phân loại đặt tên tác nhân đe dọa mới dựa trên chủ đề thời tiết: (1) phù hợp hơn với độ phức tạp, quy mô và số lượng ngày càng gia tăng của các mối đe dọa hiện đại và (2) cung cấp một cách tham chiếu dễ dàng, dễ nhớ và có tổ chức hơn về các nhóm tấn công.1

Microsoft phân loại tác nhân đe dọa thành năm nhóm chính:

Các hoạt động gây ảnh hưởng được nhà nước hậu thuẫn: Bão tuyết, dông bão, lũ lụt, sóng thần, bão, bão cát, mưa tuyết.

Trong hệ thống phân loại mới của chúng tôi, một sự kiện thời tiết, hay là họ, đại diện cho một trong các phân loại nêu trên. Các tác nhân đe dọa có cùng họ thời tiết sẽ được gắn thêm một tính từ để phân biệt giữa các nhóm khác nhau. Riêng các nhóm đang phát triển thì được gắn thêm một số gồm bốn chữ số.

Xu hướng về mối đe dọa trong năm 2023 trên phương diện chiến thuật, kỹ thuật và quy trình (TTP)

Tránh phần mềm xấu và công cụ tùy chỉnh

Các nhóm tác nhân đe dọa chú trọng đến khả năng tàng hình đã tránh sử dụng phần mềm gây hại tùy chỉnh một cách có chọn lọc. Thay vào đó, chúng sử dụng các công cụ và quy trình có trên thiết bị của nạn nhân để che giấu bản thân cùng với những tác nhân đe dọa khác cũng dùng phương pháp tương tự để bắt đầu tấn công. 2

Phó Chủ tịch Tập đoàn Microsoft kiêm Thành viên Ban Bảo mật John Lambert nhận xét ngắn gọn về cách các tác nhân đe dọa tránh các công cụ tùy chỉnh phô trương để có thể tàng hình. Xem video bên dưới:

Kết hợp hoạt động trên mạng và hoạt động gây ảnh hưởng (IO)

Trong mùa hè, Microsoft đã quan sát được rằng một số đối tượng nhà nước kết hợp các phương pháp hoạt động trên mạng và hoạt động gây ảnh hưởng (IO) thành một phương thức kết hợp mới mà chúng tôi gọi là “hoạt động gây ảnh hưởng dựa trên mạng”. Chiến thuật mới này giúp các tác nhân tăng cường, phóng đại hoặc bù đắp cho những thiếu sót trong khả năng truy nhập mạng lưới hoặc tấn công qua mạng. 3 Phương pháp trên mạng bao gồm các chiến thuật như đánh cắp dữ liệu, phá hoại, DDoS và mã độc tống tiền kết hợp với các phương pháp gây ảnh hưởng như rò rỉ dữ liệu, con rối, mạo danh nạn nhân, liên lạc trên mạng xã hội và liên lạc qua SMS/email.
Mảng phương pháp gây ảnh hưởng và trên mạng phù hợp với web

Xâm phạm các thiết bị biên trong mạng SOHO

Tác nhân đe dọa đang tập hợp mạng bí mật từ các thiết bị biên mạng văn phòng nhỏ hoặc văn phòng tại gia (SOHO), thậm chí sử dụng các chương trình để hỗ trợ tìm điểm cuối dễ bị tấn công trên khắp thế giới. Kỹ thuật này làm phức tạp quá trình phân bổ, khiến các cuộc tấn công xuất hiện từ hầu hết mọi nơi.4

Trong video dài 35 giây này, John Lambert đến từ Microsoft giải thích lý do tác nhân đe dọa coi thiết bị biên trong mạng SOHO là mục tiêu hấp dẫn đến vậy. Xem video bên dưới:

Tác nhân đe dọa có được quyền truy nhập ban đầu thông qua nhiều phương tiện

Ở Ukraina và những nơi khác, các nhà nghiên cứu Microsoft Threat Intelligence quan sát được rằng tác nhân đe dọa chiếm quyền truy nhập ban đầu vào mục tiêu bằng cách sử dụng bộ công cụ đa dạng. Các chiến thuật và kỹ thuật phổ biến bao gồm khai thác ứng dụng có trên Internet, phần mềm vi phạm bản quyền chứa cửa sau và tấn công lừa đảo. 5 phản ứng, nhanh chóng tăng cường hoạt động trên mạng và hoạt động gây ảnh hưởng sau các cuộc tấn công của Hamas nhằm chống lại Israel.

Mạo danh nạn nhân để tăng độ uy tín

Một xu hướng đang ngày càng phổ biến trong hoạt động gây ảnh hưởng dựa trên mạng là cố ý mạo danh nạn nhân là tổ chức hoặc nhân vật hàng đầu trong các tổ chức đó để tăng độ uy tín cho tác động của cuộc tấn công hoặc xâm phạm qua mạng. 6

Nhanh chóng áp dụng các POC được tiết lộ công khai để truy nhập ban đầu và hiện diện liên tục

Microsoft quan sát được rằng ngày càng nhiều nhóm nhỏ do nhà nước hậu thuẫn đang áp dụng mã chứng minh khái niệm (POC) được tiết lộ công khai ngay sau khi bằng chứng này được phát hành để khai thác lỗ hổng bảo mật trong các ứng dụng có trên Internet. 7

 

Hình dưới đây minh họa hai chuỗi tấn công ưa thích của một nhóm nhỏ do nhà nước hậu thuẫn mà Microsoft quan sát được. Ở cả hai chuỗi, kẻ tấn công đều sử dụng Impacket để mở rộng địa bàn khai thác.

Hình minh họa chuỗi tấn công.

Tác nhân đe dọa tìm cách nhắn tin SMS hàng loạt để liên hệ với đối tượng mục tiêu

Microsoft đã quan sát được rằng nhiều tác nhân tìm cách nhắn tin SMS hàng loạt để nâng cao mức độ tuyên truyền và tác động tâm lý của các hoạt động gây ảnh hưởng dựa trên mạng. 8

Hình bên dưới thể hiện hai tin nhắn SMS đặt cạnh nhau đến từ các tác nhân đe dọa giả danh một mạng lưới thể thao của Israel. Tin nhắn bên trái chứa liên kết đến trang web Sport5 đã bị phá hoại. Tin nhắn bên phải viết: “Nếu bạn đang yêu đời thì đừng đến đất nước của chúng tôi”.

Telegram của Atlas Group: Ảnh chụp màn hình SMS mạo danh kênh thể thao của Israel.

Hoạt động trên mạng xã hội tăng cường sự tương tác hiệu quả với đối tượng

Các hoạt động gây ảnh hưởng bí mật hiện đã bắt đầu tương tác thành công với đối tượng mục tiêu trên mạng xã hội ở mức độ lớn hơn so với quan sát trước đây, thể hiện mức độ tinh vị và việc khai thác nội dung IO trực tuyến ở mức độ cao hơn.9

 

Bên dưới là đồ họa về phong trào Black Lives Matter (Mạng sống của người da đen cũng đáng giá), ban đầu là do tài khoản tự động của một nhóm được nhà nước hậu thuẫn tải lên. Bảy giờ sau, một tài khoản mạo danh cử tri đảng bảo thủ của Hoa Kỳ tải lên lại đồ họa đó.

Tuyên bố ủng hộ phong trào Mạng sống của người da đen cũng đáng giá (Black Lives Matter), lên án sự phân biệt đối xử, hành vi bạo lực của cảnh sát, cổ vũ cho nhân phẩm và sự an toàn

Chuyên môn hóa trong hoạt động kinh doanh mã độc tống tiền

Những kẻ khai thác mã độc tống tiền trong năm 2023 có xu hướng chuyên môn hóa, chọn tập trung vào một phạm vi nhỏ các khả năng và dịch vụ. Lựa chọn chuyên môn hóa này có tác dụng phân mảnh, làm phân tán xuất xứ thành phần của cuộc tấn công mã độc tống tiền ra nhiều nhà cung cấp trong hoạt động kinh doanh ngầm phức tạp. Để ứng phó, Microsoft Threat Intelligence sẽ theo dõi từng nhà cung cấp, chú ý lưu lượng truy nhập trong lần truy nhập ban đầu và sau đó là các dịch vụ khác.10

 

Trong một đoạn video trích từ Ignite, Giám đốc Chiến lược Thông tin về mối đe dọa của Microsoft Threat Intelligence, Sherrod DeGrippo, mô tả trạng thái hiện tại của hoạt động kinh doanh dịch vụ mã độc tống tiền. Xem video bên dưới:

Sử dụng đều đặn các công cụ tùy chỉnh

Trong khi một số nhóm chủ động tránh phần mềm xấu tùy chỉnh nhằm mục đích tàng hình (xem phần “Tránh phần mềm xấu và công cụ tùy chỉnh” bên trên), các nhóm khác lại chuyển từ công cụ sẵn dùng công khai và tập lệnh đơn giản sang các phương pháp tiếp cận riêng biệt đòi hỏi kỹ thuật tinh vi hơn.11

Nhắm mục tiêu vào hạ tầng

Khác với loại dữ liệu có giá trị thường thu hút hầu hết các hoạt động gián điệp trên mạng, dữ liệu của các tổ chức hạ tầng – cơ sở xử lý nước, hoạt động hàng hải, tổ chức vận tải – thường ít có giá trị thông tin, song các tổ chức này lại ẩn chứa tiềm năng cho cuộc tấn công gây gián đoạn. 12

 

John Lambert đến từ Microsoft trình bày ngắn gọn nghịch lý gián điệp trên mạng: một mục tiêu có vẻ như không chứa dữ liệu. Xem video bên dưới:

Như bạn có thể thấy từ thông tin chi tiết về 11 mục trong năm 2023 mà chúng tôi vừa điểm qua, bối cảnh mối đe dọa đang phát triển không ngừng, cùng với đó là mức độ tinh vi và tần suất của các cuộc tấn công qua mạng tiếp tục gia tăng. Chắc chắn rằng hơn 300 tác nhân đe dọa mà chúng tôi theo dõi sẽ luôn thử chiêu trò mới và kết hợp với các TTP đã được kiểm chứng. Đó là điều chúng tôi thích ở các tác nhân đe dọa này bởi khi chúng tôi phân tích và hiểu rõ tính chất của chúng, chúng tôi có thể dự đoán các động thái tiếp theo. Giờ đây, với Generative AI, chúng tôi có thể thực hiện việc này nhanh hơn, giúp loại bỏ kẻ tấn công sớm hơn và hiệu quả hơn.

 

Tuy vậy, chúng ta đã bước sang năm 2024.

 

Để nghe tin tức và thông tin của Threat Intelligence trên xe, hãy khám phá  Podcast Microsoft Threat Intelligence do Sherrod DeGrippo dẫn.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]

    Một năm diễn ra cuộc chiến tranh kết hợp của Nga ở Ukraina. Trang 14

  6. [6]

    Iran chuyển sang các hoạt động gây ảnh hưởng dựa trên mạng nhằm đạt hiệu quả cao hơn. Trang 11.

  7. [7]
  8. [8]

    Iran chuyển sang các hoạt động gây ảnh hưởng dựa trên mạng nhằm đạt hiệu quả cao hơn. Trang 11.

  9. [9]

    Các mối đe dọa kỹ thuật số từ Đông Á ngày càng gia tăng về quy mô và mức độ hiệu quả. Trang 6

  10. [10]

    Một năm ở Intel: Điểm nổi bật từ quan điểm toàn cầu của Microsoft chống lại APT

  11. [11]

    Iran chuyển sang các hoạt động gây ảnh hưởng dựa trên mạng nhằm đạt hiệu quả cao hơn. Trang 12.

  12. [12]

    Một năm ở Intel: Điểm nổi bật từ quan điểm toàn cầu của Microsoft chống lại APT

Hoạt động gây ảnh hưởng trên mạng Cấp quốc gia Tác nhân đe dọa

Bài viết liên quan

Các tác nhân đe dọa của Nga chờ đợi, chuẩn bị tận dụng tình trạng mệt mỏi vì chiến tranh

Nga vẫn tiếp tục thực hiện các hoạt động trên mạng và hoạt động gây ảnh hưởng khi cuộc chiến ở Ukraina tiếp diễn. Microsoft Threat Intelligence trình bày chi tiết về các hoạt động gây ảnh hưởng và mối đe dọa trên mạng mới nhất trong sáu tháng qua.
Tìm hiểu thêm

Volt Typhoon dùng kỹ thuật xâm nhập tàng hình để nhắm vào hạ tầng quan trọng của Hoa Kỳ

Microsoft Threat Intelligence phát hiện ra các hoạt động gây ảnh hưởng được kích hoạt trên mạng ngày càng gia tăng ở bên ngoài Iran. Hiểu sâu hơn về các mối đe dọa với thông tin chi tiết về các kỹ thuật mới và nơi tiềm ẩn các mối đe dọa trong tương lai.
Tìm hiểu thêm

Mã độc tống tiền dưới dạng dịch vụ: Bộ mặt mới của tội phạm mạng công nghiệp hóa

Microsoft Threat Intelligence đánh giá các hoạt động trên mạng và hoạt động gây ảnh hưởng trong một năm ở Ukraina, khám phá các xu hướng mới về mối đe dọa trên mạng cũng như những gì dự kiến sẽ xảy ra khi cuộc chiến bước sang năm thứ hai tại nơi này.
Tìm hiểu thêm

Theo dõi Microsoft