Cảnh báo an toàn thông tin Tuần 41/2024
16/10/2024
1. TIN TỨC AN TOÀN THÔNG TIN
– Chiến dịch tấn công APT: Nhóm tấn công Triều Tiên dùng chiêu trò phỏng vấn giả để phát tán mã độc đa nền tảng nhằm vào các lập trình viên.
– Cảnh báo: Palo Alto Networks cảnh báo về lỗ hổng chiếm dụng tường lửa đã có mã khai thác trên không gian mạng.
Chiến dịch tấn công APT: Nhóm tấn công Triều Tiên dùng chiêu trò phỏng vấn giả để phát tán mã độc đa nền tảng nhằm vào các lập trình viên
Một nhóm tấn công Triều Tiên đã bị phát hiện lợi dụng các nhà phát triển phần mềm đang tìm việc để phát tán các phiên bản mới của mã độc BeaverTail và InvisibleFerret. Nhóm tin tặc này, được theo dõi dưới mã CL-STA-0240, hoạt động trong khuôn khổ chiến dịch Contagious Interview, lần đầu tiên được Palo Alto Networks Unit 42 công bố vào tháng 11 năm 2023.
Theo báo cáo, đối tượng tấn công giả danh nhà tuyển dụng, liên hệ với các lập trình viên qua các nền tảng tìm việc. Sau đó, chúng mời nạn nhân tham gia một cuộc phỏng vấn trực tuyến, trong quá trình đó, chúng dụ dỗ nạn nhân tải và cài đặt mã độc dưới dạng phần mềm cần thiết cho “bài kiểm tra lập trình.”
Quá trình tấn công bắt đầu với mã độc BeaverTail, vừa đóng vai trò là công cụ tải mã độc, vừa có khả năng thu thập thông tin trên cả Windows và macOS. Sau đó, mã độc này còn mở đường cho InvisibleFerret, một backdoor được viết bằng Python để xâm nhập sâu hơn vào hệ thống.
Theo phân tích của một số chuyên gia bảo mật, các đối tượng tấn công đã sử dụng các ứng dụng hội nghị trực tuyến giả mạo như MiroTalk và FreeConference.com trên cả hai nền tảng Windows và macOS để phát tán mã độc BeaverTail và InvisibleFerret.
Mã độc BeaverTail không chỉ lấy cắp dữ liệu mà còn tải xuống và cài đặt backdoor InvisibleFerret, gồm hai phần chính:
• Payload chính cho phép đối tượng tấn công điều khiển từ xa, ghi lại hoạt động bàn phím (keylogging), thu thập dữ liệu và tải xuống các công cụ hỗ trợ như AnyDesk.
• Trình đánh cắp dữ liệu trình duyệt chuyên thu thập thông tin đăng nhập và dữ liệu thẻ tín dụng.
Các chuyên gia bảo mật nhận định rằng, các nhóm APT Triều Tiên thường tiến hành tấn công với mục tiêu tài chính. Chiến dịch lần này có thể cũng vì mục đích đó, bởi mã độc BeaverTail được thiết kế để đánh cắp dữ liệu từ 13 loại ví tiền điện tử khác nhau.
Danh sách một số IoC được ghi nhận
Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/
Cảnh báo: Cảnh báo về các cuộc tấn công khai thác lỗ hổng Nghiêm trọng trong Zimbra Postjournal
Palo Alto Networks đã cảnh báo người dùng về các lỗ hổng an toàn thông tin đã có mã khai thác, cho phép các đối tượng tấn công chiếm dụng tường lửa PAN-OS. Những lỗ hổng này có thể bị khai thác để truy cập trái phép vào hệ thống, tiếp cận thông tin nhạy cảm như thông tin xác thực của người dùng, từ đó dẫn tới việc chiếm quyền tài khoản quản trị tường lửa.
Cụ thể, đối tượng tấn công có thể đọc nội dung trong cơ sở dữ liệu Expedition, truy cập các file tùy ý và ghi file tùy ý vào bộ nhớ tạm trên hệ thống Expedition. Điều này giúp đối tượng tấn công thu thập thông tin như tên người dùng, mật khẩu dưới dạng văn bản không mã hóa, cấu hình thiết bị và các khóa API của tường lửa PAN-OS.
Các lỗ hổng được ghi nhận bao gồm:
• CVE-2024-9463 (lỗ hổng Command Injection không cần xác thực)
• CVE-2024-9464 (lỗ hổng Command Injection khi đã được xác thực)
• CVE-2024-9465 (lỗ hổng SQL injection không cần xác thực)
• CVE-2024-9466 (lỗ hổng lưu trữ thông tin xác thực dạng văn bản không mã hóa trong logs)
• CVE-2024-9467 (lỗ hổng Reflected XSS không cần xác thực)
Ngoài ra, một chuyên gia bảo mật đã công bố mã khai thác proof-of-concept, nối chuỗi lỗ hổng CVE-2024-5910 (lỗi reset thông tin quản trị) với lỗ hổng CVE-2024-9464 (Command Injection), cho phép thực thi mã từ xa mà không cần xác thực trên máy chủ Expedition.
Người dùng được khuyến nghị thay đổi thông tin xác thực và khóa API trên Expedition cũng như các sản phẩm tường lửa sau khi cập nhật bản vá. Nếu chưa thể cập nhật, cần hạn chế quyền truy cập vào hệ thống mạng có Expedition chỉ dành cho những người dùng có quyền truy cập.
2. ĐIỂM YẾU, LỖ HỔNG
Trong tuần, các tổ chức quốc tế đã công bố và cập nhật ít nhất 579 lỗ hổng, trong đó có 198 lỗ hổng mức Cao, 265 lỗ hổng mức Trung bình, 09 lỗ hổng mức Thấp và 107 lỗ hổng chưa đánh giá. Trong đó có ít nhất 117 lỗ hổng cho phép chèn và thực thi mã lệnh.
Ngoài ra, tuần hệ thống kỹ thuật của NCSC cũng đã ghi nhận TOP 10 lỗ hổng đáng chú ý, là những lỗ hổng có mức độ nghiêm trọng cao hoặc đang bị khai thác trong môi trường thực tế bởi các nhóm tấn công.
Trong đó, đáng chú ý có 03 lỗ hổng ảnh hưởng các sản phẩm của ASUS, GitHub và LiteSpeed Technologies, cụ thể là như sau:
– CVE-2024-3080 (Điểm CVSS: 9.8 – Nghiêm trọng): Lỗ hổng tồn tại trên router ASUS cho phép đối tượng tấn công khả năng truy cập vào thiết bị dưới tài khoản người dùng bất kì, qua đó thực hiện các hành vi trái phép khác. Hiện lỗ hổng chưa có mã khai thác và đang bị khai thác trong thực tế.
– CVE-2021-4043 (Điểm CVSS: 5.5 – Trung bình): Lỗ hổng tồn tại trên GitHub cho phép đối tượng tấn công thực hiện tấn công từ chối dịch vụ sử dụng các gói tin yêu cầu độc hại. Hiện lỗ hổng đã có mã khai thác và đang bị khai thác trong thực tế.
– CVE-2024-28000 (Điểm CVSS: 9.8 – Nghiêm trọng): Lỗ hổng tại tại trên LiteSpeed Technologies LiteSpeed Cache cho phép đối tượng tấn công leo thang đặc quyền. Hiện lỗ hổng đã có mã khai thác và đang bị khai thác trong thực tế.
Danh sách TOP 10 lỗ hổng đáng chú ý trong tuần
Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/
3. SỐ LIỆU, THỐNG KÊ
Tấn công DRDoS: Trong tuần có 36.032 (giảm so với tuần trước 36.892) thiết bị có khả năng bị huy động và trở thành nguồn tấn công DRDoS.
Tấn công Web: Trong tuần, có 46 trường hợp tấn công vào trang/cổng thông tin điện tử của Việt Nam: 46 trường hợp tấn công lừa đảo (Phishing), 0 trường hợp tấn công cài cắm mã độc.
Danh sách địa chỉ được sử dụng trong các mạng botnet
4. TẤN CÔNG LỪA ĐẢO NGƯỜI DÙNG VIỆT NAM
Trong tuần đã có 414 phản ánh trường hợp lừa đảo do người dùng Internet Việt Nam thông báo về Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) qua hệ thống tại địa chỉ https://canhbao.khonggianmang.vn. Qua kiểm tra, phân tích có nhiều trường hợp lừa đảo giả mạo website của ngân hàng, các trang thương mại điện tử…
Dưới đây là một số trường hợp người dùng cần nâng cao cảnh giác.