Cảnh báo an toàn thông tin Tuần 43/2024
1. TIN TỨC AN TOÀN THÔNG TIN
– Chiến dịch tấn công APT: Phát hiện nhóm APT Lazarus Group khai thác lỗ hổng trên Google Chrome để kiểm soát thiết bị.
– Cảnh báo: CISA cảnh báo lỗ hổng nghiêm trọng trên Microsoft SharePoint đang bị khai thác
Chiến dịch tấn công APT: Phát hiện nhóm APT Lazarus Group khai thác lỗ hổng trên Google Chrome để kiểm soát thiết bị
Nhóm APT Lazarus Group đến từ Triều Tiên vừa bị phát hiện lợi dụng lỗ hổng zero-day (hiện đã được vá) trong Google Chrome để chiếm quyền kiểm soát thiết bị đang bị lây nhiễm mã độc.
Vào tháng 05/2024, chiến dịch tấn công của nhóm Lazarus Group bị phát hiện nhắm vào máy tính cá nhân của một người dùng tại Nga bằng mã độc Manuscrypt, một dạng mã độc backdoor. Để kích hoạt chuỗi tấn công, người dùng chỉ cần truy cập vào trang web game giả mạo, vốn nhắm đến những ai quan tâm tới lĩnh vực tiền mã hóa. Chiến dịch này được cho là đã bắt đầu sớm nhất từ tháng 02/2024.
Lỗ hổng zero-day mà nhóm Lazarus khai thác là CVE-2024-4947, một lỗi thuộc loại type confusion trên engine V8 JavaScript và WebAssembly của Chrome, đã được Google vá vào giữa tháng 05/2024.
Một điểm đáng chú ý là nhóm này đã sử dụng trò chơi giả mạo với các tên như DeTankWar, DeFiTankWar, DeTankZone hoặc TankWarsZone để phát tán mã độc. Trước đó, chiến thuật đã được sử dụng bởi nhóm Moonstone Sleet, cũng là một nhóm tấn công đến từ Triều Tiên, nhằm dụ dỗ người dùng tải trò chơi thông qua email hoặc tin nhắn giả danh là công ty blockchain hoặc nhà phát triển game cần huy động đầu tư.
Trong phát hiện mới nhất của Kaspersky, chuỗi tấn công này sử dụng hai lỗ hổng:
• Lỗ hổng CVE-2024-4947 cho phép đối tượng tấn công quyền đọc và ghi toàn bộ không gian địa chỉ của tiến trình Chrome thông qua JavaScript;
• Lỗ hổng thứ hai cho phép đối tượng tấn công vượt qua lớp bảo mật sandbox của V8. Nguyên nhân là máy ảo có số register cố định và vùng lưu trữ riêng, nhưng không kiểm tra giới hạn khi truy cập, nên kẻ tấn công có thể truy cập vào bộ nhớ ngoài phạm vi. Google đã vá lỗi này vào tháng 03/2024.
Sau khi khai thác thành công, đối tượng tấn công triển khai một shellcode để thu thập thông tin hệ thống, đánh giá giá trị của thiết bị trước khi quyết định tiến hành các bước hậu khai thác. Tuy nhiên, payload cụ thể được phát tán sau đó hiện vẫn chưa được xác định rõ.
Danh sách một số IoC được ghi nhận
Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/
Cảnh báo: CISA cảnh báo lỗ hổng nghiêm trọng trên Microsoft SharePoint đang bị khai thác
Cơ quan An ninh mạng và cơ sở hạ tầng của Hòa Kỳ (CISA) vừa đưa ra cảnh báo về một lỗ hổng an toàn thông tin mức Cao trên Microsoft SharePoint, lỗ hổng này đã được bổ sung vào danh sách các lỗ hổng bị khai thác (KEV) sau khi có bằng chứng cho thấy nó đang bị khai thác.
Lỗ hổng có mã CVE-2024-38094 (Điểm CVSS: 7.2), là một lỗ hổng giải tuần tự ảnh hưởng đến SharePoint, khi bị khai thác cho phép đối tượng tấn công thực thi mã từ xa. Đặc biệt, khi được xác thực với quyền quản trị viên trang (Site Owner), đối tượng tấn công có thể chèn và thực thi bất kỳ đoạn mã nào trên SharePoint Server.
Microsoft đã phát hành bản vá cho lỗ hổng này trong bản cập nhật Patch Tuesday vào tháng 07/2024. Tuy nhiên, nguy cơ khai thác vẫn cao do các khai thác Proof-of-Concept (PoC) đã có sẵn trên mạng.
Mã PoC này tự động hóa quá trình xác thực trên một trang SharePoint sử dụng NTLM, tạo ra các thư mục và tệp cụ thể, đồng thời gửi payload XML để khai thác lỗ hổng trong API phía client của SharePoint. Thông tin về lỗ hổng được công bố trong bối cảnh Nhóm Phân tích Đe dọa (TAG) của Google vừa thông báo về một lỗ hổng zero-day (đã được vá) trên CPU của thiết bị di động Samsung. Lỗ hổng này có mã CVE-2024-44068 (Điểm CVSS: 8.1) đã bị khai thác trong một chuỗi tấn công để thực thi mã tùy ý, đã được vá vào ngày 7 tháng 10 năm 2024. Samsung cho biết đây là một lỗi “use-after-free” trong bộ xử lý di động, dẫn đến việc leo thang đặc quyền.
CISA đã đưa ra một đề xuất mới với các yêu cầu bảo mật nhằm ngăn chặn truy cập trái phép vào dữ liệu nhạy cảm của Mỹ. Theo đó, các tổ chức cần khắc phục các lỗ hổng đã khai thác trong vòng 14 ngày, các lỗ hổng Nghiêm trọng không bị khai thác trong 15 ngày, và các lỗ hổng mức Cao không bị khai thác trong 30 ngày. CISA cũng nhấn mạnh sự cần thiết duy trì nhật ký kiểm tra quyền truy cập và phát triển quy trình quản lý danh tính để xác định rõ ai có quyền truy cập vào các tập dữ liệu khác nhau.
2. ĐIỂM YẾU, LỖ HỔNG
Trong tuần, các tổ chức quốc tế đã công bố và cập nhật ít nhất 775 lỗ hổng, trong đó có 360 lỗ hổng mức Cao, 324 lỗ hổng mức Trung bình, 30 lỗ hổng mức Thấp và 61 lỗ hổng chưa đánh giá. Trong đó có ít nhất 127 lỗ hổng cho phép chèn và thực thi mã lệnh.
Ngoài ra, tuần hệ thống kỹ thuật của NCSC cũng đã ghi nhận TOP 10 lỗ hổng đáng chú ý, là những lỗ hổng có mức độ nghiêm trọng cao hoặc đang bị khai thác trong môi trường thực tế bởi các nhóm tấn công.
Trong đó, đáng chú ý có 03 lỗ hổng ảnh hưởng các sản phẩm của Microsoft, Roundcube và angular-base64-upload, cụ thể là như sau:
• CVE-2024-38178 (Điểm CVSS: 7.5 – Cao): Lỗ hổng tồn tại trên Microsoft Windows 10, Windows 11 là lỗi bộ nhớ trên phần scripting engine. Sau khi khai thác thành công lỗ hổng, đối tượng tấn công có thể thực thi mã tùy ý từ xa trên hệ thống. Hiện lỗ hổng đã có mã khai thác và đang bị khai thác trong thực tế bởi các nhóm tấn công.
• CVE-2024-37383 (Điểm CVSS: 6.1 – Trung bình): Lỗ hổng tồn tại trên Roundcube Webmail cho phép đối tượng tấn công khai thác lỗi XSS thông qua thành phần SVG animate. Hiện lỗ hổng đã có mã khai thác và đang bị khai thác trong thực tế bởi các nhóm tấn công.
• CVE-2024-42640 (Điểm CVSS: 9.8 – Nghiêm trọng): Lỗ hổng tồn tại trên angular-base64-upload cho phép đối tượng tấn công thực thi mã từ xa thông qua việc tải các file tùy ý lên “demo/uploads”. Hiện lỗ hổng chưa có mã khai thác và đang bị khai thác trong thực tế bởi các nhóm tấn công.
Danh sách TOP 10 lỗ hổng đáng chú ý trong tuần
Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/
3. SỐ LIỆU, THỐNG KÊ
Tấn công DRDoS: Trong tuần có 36.974 (giảm so với tuần trước 37.102) thiết bị có khả năng bị huy động và trở thành nguồn tấn công DRDoS.
Tấn công Web: Trong tuần, có 54 trường hợp tấn công vào trang/cổng thông tin điện tử của Việt Nam: 54 trường hợp tấn công lừa đảo (Phishing), 0 trường hợp tấn công cài cắm mã độc.
Danh sách địa chỉ được sử dụng trong các mạng botnet
4. TẤN CÔNG LỪA ĐẢO NGƯỜI DÙNG VIỆT NAM
Trong tuần, hệ thống của Cục An toàn thông tin đã ghi nhận 4.624 phản ánh trường hợp lừa đảo trực tuyến do người dùng Internet Việt Nam gửi về. Trong đó:
– 207 trường hợp phản ánh được tiếp nhận thông qua hệ thống Trang cảnh báo an toàn thông tin Việt Nam (canhbao.khonggianmang.vn).
– 4.417 trường hợp phản ánh cuộc gọi, tin nhắn lừa đảo thông qua tổng đài 156/5656
Dưới đây là một số trường hợp người dùng cần nâng cao cảnh giác.