Cảnh báo mạng quan trọng: Tác nhân đe dọa nước ngoài nhắm vào các tổ chức có tệp đính kèm RDP độc hại

Cơ quan An ninh Mạng và An ninh Cơ sở hạ tầng (CISA) hôm nay đã phát đi cảnh báo quan trọng về một chiến dịch spear-phishing tinh vi tấn công các tổ chức trong nhiều lĩnh vực, đặc biệt là chính phủ và công nghệ thông tin. CISA cho biết trong một cảnh báo rằng cơ quan này đã nhận được một số báo cáo về một tác nhân đe dọa nước ngoài sử dụng một lớp vỏ đáng tin cậy để phân phối email chứa các tệp cấu hình RDP độc hại.

Điều này cho phép kẻ tấn công truy cập trái phép vào các tệp nhạy cảm trên mạng để chuẩn bị các cuộc tấn công tiếp theo, chẳng hạn như triển khai phần mềm độc hại để duy trì quyền kiểm soát lâu dài.

Các Tổ chức An ninh Mạng Hợp tác

Cảnh báo mức độ cao từ CISA này đi kèm với các cảnh báo từ một số nhóm an ninh mạng lớn, bao gồm:

• Microsoft: Xác định một chiến dịch lừa đảo quy mô lớn của một nhóm đe dọa được biết đến với tên gọi “Midnight Blizzard,” sử dụng các tệp RDP để truy cập vào các mạng.
• AWS Security: Các miền internet được trích dẫn được nhóm APT29 khét tiếng sử dụng cho một cuộc tấn công spear-phishing.
• Trung tâm An ninh mạng Bỉ: Báo cáo các chiến dịch lừa đảo tấn công chính phủ sử dụng tệp cấu hình RDP.
• Nhóm Ứng phó Sự cố Máy tính của Ukraine (CERT-UA): Cảnh báo về các tệp cấu hình RDP được sử dụng để truy cập từ xa trái phép.

Các tổ chức này đang hợp tác với CISA để giám sát, kiềm chế và điều tra tác động của chiến dịch spear-phishing này. Các biện pháp chủ động của CISA nhằm bảo vệ các tổ chức khỏi mối đe dọa loại mới này và đảm bảo không có sự cố nào khác xảy ra.