Skip to main content
HashnodeFPT IS SecurityFPT IS Security

Command Palette

Search for a command to run...

"Fancy Bear: Phương Thức Xâm Nhập Mạng Qua Wi-Fi - Vector Tấn Công Gián Điệp Mới"

Updated
3 min read
"Fancy Bear: Phương Thức Xâm Nhập Mạng Qua Wi-Fi - Vector Tấn Công Gián Điệp Mới"
N
Nguyễn Văn Trung

Fancy Bear (APT28), một nhóm tấn công mạng thuộc GRU của Nga, đã sử dụng phương pháp tấn công Wi-Fi mới gọi là "Nearest Neighbor". Phương thức này cho phép nhóm tin tặc xâm nhập từ xa vào mạng của một tổ chức mục tiêu bằng cách lợi dụng các mạng Wi-Fi ở gần.

Thông tin chi tiết

Vào tháng 11 vừa rồi nhóm tấn công mạng “Fancy Bear” (còn gọi là APT28 hoặc Forest Blizzard) đã xâm nhập vào mạng lưới của một tổ chức Mỹ bằng cách này, mà các nhà nghiên cứu tại Volexity đang gọi là cuộc tấn công "Nearest Neighbor".Kỹ thuật này cho phép tin tặc xâm nhập vào mạng Wi-Fi mục tiêu bằng cách xâu chuỗi, khai thác lỗ hổng của các mạng lân cận.

Chi tiết về kỹ thuật tấn công

Fancy Bear sử dụng chuỗi tấn công qua nhiều mạng Wi-Fi lân cận, từ các tổ chức khác, trước khi tiếp cận mục tiêu chính (Organization A).Kỹ thuật này cho phép chúng di chuyển qua từng mạng trung gian mà không bị phát hiện, ngay cả khi ở cách xa hàng ngàn km.

Sau đó tin tặc sử dụng credential stuffing để tấn công các mạng Wi-Fi không được bảo vệ bằng MFA. Sau khi chiếm quyền truy cập vào một mạng, chúng khai thác thiết bị trong mạng đó để làm bàn đạp xâm nhập các mục tiêu khác.

Tiếp đó tin tặc sử dụng thông tin đăng nhập bị đánh cắp để kết nối tới Organization A thông qua RDP từ một thiết bị thuộc mạng của Organization B. Thiết bị này có cấu hình "dual-homed", vừa kết nối Ethernet vừa có khả năng truy cập Wi-Fi, tạo điều kiện cho việc kết nối giữa các mạng.

Công cụ và chiến thuật sử dụng

  • Living-off-the-land:

    • Fancy Bear tận dụng các công cụ mặc định của Windows (như Cipher.exe) để che giấu hoạt động và tránh bị phát hiện.

    • Sử dụng PowerShell để dò tìm và kết nối vào các mạng Wi-Fi lân cận.

  • Khai thác yếu điểm của VPN và MFA:

    • Một số mạng VPN không được bảo vệ bằng MFA, tạo cơ hội để tin tặc dễ dàng kết nối và thực hiện các bước tấn công tiếp theo.

Cuộc tấn công gián điệp mạng tinh vi được sử dụng bởi mối đe dọa liên tục tiên tiến vào đầu cuộc chiến Nga-Ukraine hiện tại cho thấy một vector tấn công mới mà một tác nhân đe dọa có thể sử dụng để xâm nhập từ xa vào mạng lưới của một tổ chức ở xa.

Khuyến nghị

  • Áp dụng xác thực đa yếu tố (MFA): Đảm bảo rằng mạng Wi-Fi của tổ chức yêu cầu xác thực nhiều lớp trước khi cho phép truy cập.

  • Sử dụng chứng chỉ bảo mật: Cân nhắc áp dụng các giải pháp xác thực dựa trên chứng chỉ thay vì chỉ dựa vào mật khẩu.

  • Tách biệt mạng Wi-Fi và mạng Ethernet: Tạo các môi trường mạng độc lập để giảm thiểu nguy cơ lây lan khi một mạng bị xâm nhập.

  • Giám sát tiến trình hệ thống: Đặt cảnh báo cho việc sử dụng bất thường các tiện ích như netshCipher.exe, theo dõi các file thực thi từ các vị trí không chuẩn, ví dụ: C:\ProgramData\.

  • Giới hạn quyền truy cập: Cấp quyền theo nguyên tắc tối thiểu (Least Privilege) để hạn chế tác động khi một tài khoản bị xâm nhập.

  • Kiểm tra và cập nhật cấu hình thiết bị mạng thường xuyên: Đảm bảo các thiết bị mạng như router, access point được cấu hình đúng cách và sử dụng firmware mới nhất.

Tham khảo

Fancy Bear 'Nearest Neighbor' Attack Uses Nearby Wi-Fi Network https://www.darkreading.com/cyberattacks-data-breaches/fancy-bear-nearest-neighbor-attack-wi-fi

#threat-intelligence

Comments

Join the discussion

No comments yet. Be the first to comment.

More from this blog

F

FPT IS Security

761 posts

Dedicated to providing insightful articles on cybersecurity threat intelligence, aimed at empowering individuals and organizations to navigate the digital landscape safely.