Microsoft đã đình chỉ 18 ứng dụng Azure Active Directory trên cơ sở hạ tầng đám mây của mình đang bị một công ty quốc gia của Trung Quốc sử dụng để thực hiện các cuộc tấn công của họ.

Những ứng dụng này là một phần của sự kiểm soát độc hại và kiểm soát hạ tầng của Gadolinium - nhóm hoạt động quốc gia có trụ sở tại Trung Quốc. Nhóm này đã tấn công các các ngành hàng hải và y tế trên toàn thế giới trong gần một thập kỷ qua.

Theo Trung tâm Phân tích rủi ro của Microsoft, cũng giống như nhóm các mối đe dọa khác, Gadolinium theo dõi các công cụ và kỹ thuật của các nhà bảo mật đang tìm kiếm các kỹ thuật mới mà họ có thể sử dụng hoặc sửa đổi để tạo ra các phương pháp khai thác mới.

Nhóm này sử dụng các dịch vụ đám mây và các công cụ mã nguồn mở để tăng cường vũ khí hóa khối lượng phần mềm độc hại của họ, cố gắng giành quyền kiểm soát và điều khiển tất cả các cách tới máy chủ và làm rối loạn hệ thống phát hiện.

Microsoft cho biết: “Các cuộc tấn công này được gửi qua các email lừa đảo trực tuyến với các tệp đính kèm độc hại và chúng được phát hiện cũng như ngăn chặn bởi Microsoft Defender, trước đây là Microsoft Threat Protection và sắp tới có thể bị phát hiện bởi Azure Sentinel”.

18 ứng dụng Azure Active Directory trên cơ sở hạ tầng đám mây của Microsoft

Gần đây, tập đoàn công nghệ này cũng đã quan sát thấy mục tiêu mới được mở rộng bên ngoài các khu vực khác bao gồm Châu Á - Thái Bình Dương và các mục tiêu khác trong lĩnh vực giáo dục đại học và các tổ chức chính phủ khu vực.

Trên một bài đăng trên blog của Microsoft cho biết: “Gadolinium đã thử nghiệm việc sử dụng các dịch vụ đám mây để thực hiện các cuộc tấn công nhằm tăng tốc độ và quy mô hoạt động trong nhiều năm”.

Và, hai trong số các chuỗi tấn công gần đây nhất của Gadolinium vào năm 2019 và 2020 được thực hiện bằng các chiến thuật và kỹ thuật tương tự.

Gadolinium đã sử dụng một số trọng tải khác nhau để đạt được các mục tiêu khai thác hoặc xâm nhập bao gồm một loạt các tập lệnh PowerShell để thực hiện các lệnh file đối với dữ liệu có khả năng tách lọc.

Vào khoảng giữa tháng tư vừa rồi, Gadolinium đã bị phát hiện gửi email lừa đảo có nội dung độc hại. Những tệp đính kèm trong nội dung email đã được họ đặt tên để thu hút sự quan tâm chú ý của mục tiêu đối với đại dịch COVID-19.

Gadolinium sử dụng ứng dụng Azure Active Directory chương trình phần mềm thiết lập cấu hình của nạn nhân với các quyền cần thiết để chuyển dữ liệu vào bộ nhớ lưu trữ Microsoft OneDrive của chính kẻ tấn công.

Microsoft cho rằng: “Chắc chắn Gadolinium sẽ phát triển các chiến thuật của họ để theo đuổi các mục tiêu của mình. Khi những mối đe dọa đó nhằm vào khách hàng của Microsoft và chúng tôi sẽ tiếp tục xây dựng các biện pháp phát hiện cũng như triển khai các biện pháp bảo vệ để chống lại chúng”.

4.1/5 (1,006 lượt)