Theo Neowin, Microsoft đã lên tiếng cảnh báo về mối đe dọa mới đến từ tin tặc được cho là từ Nga. Theo thông báo mới nhất từ Microsoft, một nhóm tin tặc có tên Forest Blizzard được cho là được chính phủ Nga hậu thuẫn đã sử dụng lỗ hổng cũ trong dịch vụ Windows Print Spooler (dịch vụ hệ thống về in ấn) để xâm nhập vào các mạng lưới trên toàn thế giới và đánh cắp dữ liệu.
Phần mềm độc hại đang được phát tán qua lỗ hổng trên Windows
Lỗ hổng này, được xác định là CVE-2022-38028, đã được Microsoft vá vào tháng 10.2022. Tuy nhiên, vẫn còn nhiều doanh nghiệp chưa cập nhật hệ thống, tạo cơ hội cho Forest Blizzard khai thác. Nhóm này đã sử dụng lỗ hổng để triển khai phần mềm độc hại GooseEgg, cho phép chúng thực thi mã từ xa, cài đặt backdoor (cửa hậu) và di chuyển ngang qua các mạng bị xâm nhập.
Theo Microsoft, Forest Blizzard đã hoạt động từ ít nhất năm 2010 và nhắm mục tiêu vào các mạng lưới chính phủ và phi chính phủ ở Mỹ, châu Âu và Trung Đông. Hoạt động đánh cắp dữ liệu sử dụng GooseEgg diễn ra trong khoảng 4 năm.
Vào đầu năm nay, Microsoft cũng từng tiết lộ bị một nhóm tin tặc Nga xâm nhập tài khoản email của một số giám đốc điều hành cấp cao của công ty để khai thác thông tin.
Microsoft khuyến cáo các tổ chức doanh nghiệp và cá nhân đang sử dụng dịch vụ Windows Print Spooler nên cập nhật hệ thống ngay lập tức để vá lỗ hổng CVE-2022-38028. Ngoài ra, các tổ chức cũng nên vô hiệu hóa dịch vụ bằng máy chủ quản trị tên miền nội bộ (Domain Controller) và sử dụng Microsoft Defender Antivirus để phát hiện phần mềm độc hại GooseEgg.
