Cảnh báo an toàn thông tin tuần 16/2024 - An toàn trên không gian mạng

1. TIN TỨC AN TOÀN THÔNG TIN

Cảnh báo: Khai thác lỗ hổng an toàn thông tin nghiêm trọng trên Atlassian để phát tán mã độc Ransomware Cerber.

Chiến dịch tấn công APT: Nhóm tấn công FIN7 sử dụng mã độc backdoor Carbanak để tấn công ngành công nghiệp ô tô tại Mỹ.

Chiến dịch tấn công APT: Nhóm tấn công FIN7 sử dụng mã độc backdoor Carbanak để tấn công ngành công nghiệp ô tô tại Mỹ

Nhóm tấn công FIN7, nổi tiếng với các chiến dịch spear-phishing, đã nhằm vào ngành công nghiệp ô tô ở Mỹ để phát tán mã độc Carbanak (hay Anunak). Để thực hiện điều này, FIN7 xác định tập trung vào các nhân viên trong đơn vị IT có quyền hạn cao rồi sử dụng một công cụ quét IP miễn phí như một chiêu trò để lừa đảo và triển khai mã độc Anunak.Qua đó, FIN7 có thể phát tán mã độc vào các thiết bị sử dụng các tệp thực thi, script và thư viện đã được chuẩn bị trước.

Nhóm FIN7 còn được biết đến với các cái tên như Carbon Spider, Elbrus, Gold Niagara, ITG14, và Sangria Tempest. Từ năm 2012, nhóm này đã liên tục tấn công với động cơ tài chính vào nhiều lĩnh vực và ngành nghề khác nhau, đặc biệt là hệ thống thanh toán PoS để phát tán mã độc và đánh cắp dữ liệu.

Trong những năm gần đây, nhóm đối tượng đã chuyển sang thực hiện các chiến dịch tấn công ransomware để lây nhiễm Black Basta, Cl0p, DarkSide, và REvil. Hai thành viên người Ukraine của nhóm hiện đã bị kết án tại Mỹ.

Hiện vẫn chưa rõ liệu chiến dịch này đã sử dụng mã độc ransomware hay không, do các hệ thống bị tác động đã được phát hiện và loại bỏ kịp thời. Dù chỉ có một số lượng hạn chế trong ngành công nghiệp ô tô ở Mỹ bị ảnh hưởng, các cơ quan bảo mật đã nhận diện một số tên miền độc hại giống với tên miền trong chiến dịch này. Đây là dấu hiệu cho thấy có khả năng nhóm APT FIN7 đang chuẩn bị một chiến dịch quy mô lớn hơn.

Cảnh báo: Khai thác lỗ hổng an toàn thông tin nghiêm trọng trên Atlassian để phát tán mã độc Ransomware Cerber

Các nhóm tấn công đang khai thác máy chủ Atlassian không đủ bảo mật để triển khai biến thể Linux của mã độc Ransomware Cerber (C3RB3R). Việc khai thác lỗ hổng CVE-2023- 22518 (điểm CVSS: 9.1) có mức độ ảnh hưởng nghiêm trọng trên “Atlassian Confluence Data Center and Server”. Lỗ hổng này cho phép đối tượng tấn công đặt lại cấu hình Confluence và tạo tài khoản quản trị. Kết quả là, đối tượng tấn công chiếm quyền kiểm soát hệ thống bị lây nhiễm, gây ảnh hưởng tới tính bí mật, toàn vẹn và sẵn có của dịch vụ.

Đã có thông tin cho biết rằng các nhóm tấn công có động cơ tài chính đã khai thác lỗ hổng này để cài đặt plugin webshell Effulence. Plugin này cho phép thực thi câu lệnh tùy ý và tải xuống payload Cerber. Do ứng dụng Confluence mặc định thực thi dưới tài khoản “confluence” (có quyền hạn thấp) nên đối tượng chỉ có thể mã hóa các file sở hữu bởi tài khoản này.

Mã độc này sử dụng payload viết bằng C++ để rà soát thư mục gốc và mã hóa dữ liệu thành định dạng .LOCK3D. Đồng thời, nó tạo một note trên mỗi thư mục bị mã hóa. Điều đặc biệt là trong chiến dịch này, phần lớn mã độc đã chuyển sang sử dụng ngôn ngữ lập trình đa nền tảng như Golang và Rust, nhưng mã độc này vẫn duy trì việc sử dụng C++.

2. ĐIỂM YẾU, LỖ HỔNG

Trong tuần hệ thống kỹ thuật của NCSC đã ghi nhận TOP 10 lỗ hổng đáng chú ý, là những lỗ hổng có mức độ nghiêm trọng cao hoặc đang bị khai thác trong môi trường thực tế bởi các nhóm tấn công.

Trong đó, đáng chú ý có 03 lỗ hổng ảnh hưởng tới các sản phẩm của NorthStar C2, Microsoft, giao thức UDP, cụ thể như sau:

CVE-2024-28741 (Điểm CVSS – Chưa xác định): Là lỗ hổng XSS tồn tại trên EginDemirbilek NorthStar C2 v1 cho phép đối tượng tấn công thực thi câu lệnh tùy ý trên thành phần “login.php” của sản phẩm. Hiện lỗ hổng vẫn đang trong giai đoạn phân tích và có điểm SVRS (SOCRadar Vulnerability Risk Score) là 30, cho thấy nó có mối đe dọa mức độ trung bình. Hiện lỗ hổng đã có mã khai thác và đang được khai thác trong thực tế.

CVE-2024-21412 (Điểm CVSS: 8.1 – Cao): Lỗ hổng tồn tại trên Internet Shortcut Files của Microsoft cho phép đối tượng tấn công vượt qua biện pháp bảo mật, qua đó thực thi mã tùy ý trên thiết bị người dùng. Hiện lỗ hổng đã có mã khai thác và đang bị khai thác trong thực tế bởi các nhóm APT như Evilnum, TA428, lockbit,…

CVE-2024-2169 (Điểm CVSS – Chưa xác định): Lỗ hổng gây ảnh hưởng tới giao thức UDP trên các dịch vụ tầng ứng dụng, khiến cho sản phẩm bị chịu ảnh hưởng của tấn công Network Loops. Đối tượng tấn công có thể khai thác lỗ hổng để thực hiện tấn công từ chối dịch vụ hoặc gây ảnh hưởng tới tài nguyên máy chủ. Hiện lỗ hổng đã có mã khai thác và đang bị khai thác trong thực tế.

Danh sách TOP 10 lỗ hổng đáng chú ý trong tuần

3. SỐ LIỆU, THỐNG KÊ

Tấn công DRDoS: Trong tuần có 40.763 (giảm so với tuần trước 44.886) thiết bị có khả năng bị huy động và trở thành nguồn tấn công DRDoS.
Tấn công Web: Trong tuần, có 83 trường hợp tấn công vào trang/cổng thông tin điện tử của Việt Nam: 50 trường hợp tấn công lừa đảo (Phishing), 33 trường hợp tấn công cài cắm mã độc.

Danh sách IP/tên miền độc hại có nhiều kết nối từ Việt Nam

4. TẤN CÔNG LỪA ĐẢO NGƯỜI DÙNG VIỆT NAM

Trong tuần đã có 286 phản ánh trường hợp lừa đảo do người dùng Internet Việt Nam thông báo về Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) qua hệ thống tại địa chỉ https://jetkingncsc.online/ Qua kiểm tra, phân tích có nhiều trường hợp lừa đảo giả mạo website của ngân hàng, các trang thương mại điện tử…

Dưới đây là một số trường hợp người dùng cần nâng cao cảnh giác.

Bộ Thông tin và Truyền thông – Chương trình Chuyển đổi số Quốc gia