Chiến dịch tấn công APT: Nhóm APT Turla tấn công Bộ Ngoại giao Châu Âu bằng mã độc backdoor LunarWeb và LunarMail.
Cảnh báo: VMware phát hành bản vá cho các lỗ hổng an toàn thông tin nghiêm trọng trên phần mềm Workstation và Fusion.
Chiến dịch tấn công APT: Nhóm APT Turla tấn công Bộ Ngoại giao Châu Âu bằng mã độc backdoor LunarWeb và LunarMail.
Bộ Ngoại giao tại Châu Âu cùng ba cơ quan đại diện của họ tại Trung Đông đã bị tấn công bởi hai mã độc backdoor LunarWeb và LunarMail. ổ chức bảo mật ESET đã phát hiện ra chiến dịch này có liên quan đến nhóm APT Turla. Đây là một nhóm tấn công được hậu thuẫn bởi Nga và còn có các tên gọi khác như: Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos, và Venomous Bear.
Phân tích cho thấy LunarWeb được triển khai trên máy chủ, sử dụng HTTP/HTTPS làm giao thức liên lạc với máy chủ C&C và giả mạo các gói tin yêu cầu hợp pháp. Trong khi đó, LunarMail được triển khai trên các máy trạm của nhân viên và duy trì kết nối dưới dạng tiện ích mở rộng trên Outlook, sử dụng email làm phương thức liên lạc với máy chủ C&C. Các bằng chứng cũng cho thấy hai mã độc Lunar này đã được sử dụng trong các chiến dịch từ năm 2020, hoặc thậm chí sớm hơn.
Mã độc LunarMail được phát tán qua file Microsoft Word độc hại gửi qua email spear-phishing, bao gồm cả LunarLoader và mã độc này. Về chức năng, LunarWeb có khả năng thu thập thông tin hệ thống máy chủ và duyệt câu lệnh ẩn trong các file .JPG, .GIF được gửi từ máy chủ C&C, sau đó trích xuất dữ liệu gửi về cho máy chủ dưới dạng nén và mã hóa. Ngoài ra, mã độc còn giả mạo lưu lượng để tránh phát hiện.
Mã độc LunarMail có một số điểm chung với mã độc LightNeuron, cũng là một backdoor được Turla sử dụng, dùng email làm phương thức kết nối tới máy chủ C&C.
Một số IoC được ghi nhận
Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/
Cảnh báo: VMware phát hành bản vá cho các lỗ hổng an toàn thông tin nghiêm trọng trên phần mềm Workstation và Fusion
Nhiều lỗ hổng an toàn thông tin đã được công bố chi tiết trên Vmware Workstation và Fusion, cho phép đối tượng tấn công khi khai thác thành công có thể truy cập và thực hiện các hành vi trái phép, thực hiện tấn công từ chối dịch vụ và thực thi mã từ xa. Bốn lỗ hổng an toàn thông tin này gây ảnh hưởng tới Workstation phiên bản 17.x và Fusion phiên bản 13.x sẽ được vá trong phiên bản 17.5.2 và 13.5.2.
Thông tin về bốn lỗ hổng cụ thể như sau:
2. ĐIỂM YẾU, LỖ HỔNG
Trong tuần, các tổ chức quốc tế đã công bố và cập nhật ít nhất 446 lỗ hổng, trong đó có 69 lỗ hổng mức Cao, 134 lỗ hổng mức Trung bình, 32 lỗ hổng mức Thấp và 211 lỗ hổng chưa đánh giá. Trong đó có ít nhất 117 lỗ hổng cho phép chèn và thực thi mã lệnh.
Ngoài ra, tuần hệ thống kỹ thuật của NCSC cũng đã ghi nhận TOP 10 lỗ hổng đáng chú ý, là những lỗ hổng có mức độ nghiêm trọng cao hoặc đang bị khai thác trong môi trường thực tế bởi các nhóm tấn công.
Trong đó, đáng chú ý có 03 lỗ hổng ảnh hưởng tới giao thức DHCP, các sản phẩm của Google, Ivanti, cụ thể là như sau:
CVE-2024-4761 (Điểm CVSS: Chưa xác định): Lỗi ghi ngoài bộ nhớ tồn tại trên Google Chrome các phiên bản cũ hơn 124.0.6367.207. Lỗ hổng cho phép đối tượng tấn công khai thác lỗi này thông qua trang HTML độc hại. Hiện lỗ hổng đã có mã khai thác và đang bị khai thác trong thực tế.
CVE-2024-3661 (Điểm CVSS: 7.6 – Trung bình): Lỗ hổng tồn tịa trên giao thức DHCP cho phép đối tượng tấn công nằm trong cùng mạng với người dùng có thể đọc, gây gián đoạn, chỉnh sửa lưu lượng mạng mặc cho hệ thống mạng được bảo vệ bởi VPN. Quá trình khai thác diễn ra thành công do DCHP có thể thêm luồng điều hướng (route) vào bảng routing table của client thông qua lựa chọn classless static route (121). Các biện pháp bảo mất VPN dựa vào route để điều hướng lưu lượng mạng sẽ bị lộ lọt dữ liệu thông qua interface vật lý. Hiện lỗ hổng này đang bị khai thác trong thực tế.
CVE-2023-46805 (Điểm CVSS: 8.2 - Cao): Lỗ hổng tồn tại trên Ivanti ICS cho phép đối tượng tấn công truy cập vào tài nguyên hạn chế một cách trái phép bằng cách bỏ qua xác thực kiểm soát. Hiện lỗ hổng đã có mã khai thác và đang bị khai thác trong thực tế bởi các nhóm tấn công UTA0178, cactus, Storm-1567, akira, RAZOR TIGER, SideWinder, và SideCopy.
Danh sách TOP 10 lỗ hổng đáng chú ý trong tuần
3. SỐ LIỆU, THỐNG KÊ
Tấn công DRDoS: Trong tuần có 40.030 (giảm so với tuần trước 40.375) thiết bị có khả năng bị huy động và trở thành nguồn tấn công DRDoS.
Tấn công Web: Trong tuần, có 244 trường hợp tấn công vào trang/cổng thông tin điện tử của Việt Nam: 225 trường hợp tấn công lừa đảo (Phishing), 19 trường hợp tấn công cài cắm mã độc.
Danh sách địa chỉ được sử dụng trong các mạng botnet
4. TẤN CÔNG LỪA ĐẢO NGƯỜI DÙNG VIỆT NAM
Trong tuần đã có 271 phản ánh trường hợp lừa đảo do người dùng Internet Việt Nam thông báo về Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) qua hệ thống tại địa chỉ https://canhbao.khonggianmang.vn. Qua kiểm tra, phân tích có nhiều trường hợp lừa đảo giả mạo website của ngân hàng, các trang thương mại điện tử…
Dưới đây là một số trường hợp người dùng cần nâng cao cảnh giác.
Chi tiết báo cáo xem tại:
2024_CBT20.pdf