- Chiến dịch tấn công APT: Nhóm APT Void Banshee khai thác lỗ hổng Microsoft MHTML để phát tán mã độc Atlantida Stealer.
- Cảnh báo: Cisco cảnh báo về lỗ hổng nghiêm trọng ảnh hưởng đến phiên bản On-Prem của phần nềm Smart Software Manager.
- Thông tin: Cảnh báo rủi ro an toàn thông tin liên quan đến sản phẩm của CrowdStrike.
Chiến dịch tấn công APT: Nhóm APT Void Banshee khai thác lỗ hổng Microsoft MHTML để phát tán mã độc Atlantida Stealer
Nhóm APT Void Banshee đã bị phát hiện lợi dụng một lỗ hổng mới được công bố chi tiết trong động cơ trình duyệt Microsoft MHTML (khai thác lỗi zero-day) để phát tán mã độc đánh cắp thông tin có tên Atlantida.
Lỗ hổng này có mã CVE-2024-38112, được sử dụng trong chuỗi tấn công nhiều giai đoạn với các tệp đường dẫn internet (URL) làm trọng điểm. Microsoft đã đề cập đến lỗ hổng này trong bản vá Patch Tuesday gần đây. Theo Microsoft, đây là một lỗi giả mạo (spoofing) tồn tại trong động cơ trình duyệt MSHTML (hay Trident) được sử dụng trong trình duyệt Internet Explorer. Tuy nhiên, Zero Day Initiative (ZDI) lại cho rằng đây là một lỗ hổng thực thi mã từ xa.
Trong chiến dịch của nhóm APT, các email spear-phishing có chứa đường dẫn đến các tệp ZIP được lưu trên trang web của nhóm tấn công đã được sử dụng. Các tệp ZIP này chứa các tệp URL khai thác lỗ hổng CVE-2024-38112 để điều hướng người dùng đến một trang web lưu trữ tệp HTML Application (HTA) độc hại.
Không có nhiều thông tin về nhóm APT Void Banshee, ngoại trừ việc nhóm này có lịch sử nhằm mục tiêu vào khu vực Bắc Mỹ, Châu Âu và Đông Nam Á để thực hiện các chiến dịch đánh cắp dữ liệu và trục lợi tài chính.
Thông tin về nhóm và việc khai thác lỗ hổng này được công bố sau khi Cloudflare tiết lộ rằng nhiều nhóm tấn công đang nhanh chóng kết hợp các khai thác PoC (proof-of-concept) vào chiến dịch của mình. Trong trường hợp của lỗ hổng CVE-2024-27198, lỗ hổng đã bị khai thác chỉ sau 22 phút kể từ lúc thông tin được công bố.
Ngoài ra, thông tin trong bài viết này cũng tiếp nối sự phát hiện về một chiến dịch tấn công khác sử dụng quảng cáo trên Facebook để phát tán mã độc SYS01stealer thông qua các giao diện Windows giả, nhằm chiếm đoạt tài khoản doanh nghiệp trên Facebook và tiếp tục phát tán mã độc.
Danh sách một số IoC được ghi nhận
Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/
Cảnh báo: Palo Alto Networks phát hành bản vá cho lỗi nghiêm trọng trên công cụ di rời Expedition
Trong tuần qua, Cisco đã phát hành bản vá cho hai lỗ hổng an toàn thông tin nghiêm trọng ảnh hưởng đến Smart Software Manager On-Prem (Cisco SSM On-Prem), trong đó có một lỗ hổng nghiêm trọng cho phép đối tượng tấn công thay đổi mật khẩu của bất kỳ người dùng nào, bao gồm cả tài khoản quản trị viên.
Lỗ hổng có mã CVE-2024-20419 (Điểm CVSS: 10.0) xuất phát từ việc triển khai không đúng cách quy trình thay đổi mật khẩu trên Smart Software Manager On-Prem (Cisco SSM On-Prem). Lỗ hổng này cho phép đối tượng tấn công gửi các yêu cầu HTTP được tinh chỉnh đến thiết bị bị ảnh hưởng để khai thác lỗ hổng. Khi khai thác thành công, đối tượng tấn công có thể truy cập vào giao diện web UI hoặc API với quyền của người dùng bị xâm phạm.
Lỗ hổng này ảnh hưởng đến tất cả các phiên bản Cisco SSM On-Prem từ 8-202206 trở xuống và đã được vá trong phiên bản 8-202212. Riêng phiên bản 9 của giải pháp này không bị ảnh hưởng.
Cisco thông báo rằng không có biện pháp khắc phục nào ngoài việc cập nhật bản vá, và hiện chưa có ghi nhận về việc lỗ hổng này bị khai thác trong môi trường thực tế. Ngoài ra, Cisco cũng đã khắc phục một lỗ hổng nghiêm trọng khác trong Secure Email Gateway (SEG), mã CVE-2024-20401 (Điểm CVSS: 9.8). Lỗ hổng này liên quan đến việc ghi file cho phép đối tượng tấn công tạo thêm người dùng với quyền root và gây ra sự cố nghiêm trọng cho thiết bị bằng cách gửi các email có file đính kèm độc hại. Để lỗ hổng này phát huy tác dụng, thiết bị SEG phải đang chạy phiên bản Cisco AsyncOS bị ảnh hưởng và đáp ứng các điều kiện sau:
- Chức năng phân tích file (thuộc Cisco Advanced Malware Protection) hoặc chức năng lọc nội dung phải được bật và áp dụng cho chính sách email gửi tới.
- Phiên bản của công cụ Content Scanner Tools cũ hơn 23.3.0.4823.
Bản vá cho lỗ hổng CVE-2024-20401 đã có sẵn trong các phiên bản Content Scanner Tools từ 23.3.0.4823 trở lên và được tích hợp mặc định trong Cisco AsyncOS cho Cisco Secure Email Software các phiên bản từ 15.5.1-055 trở lên.
Thông tin: Cảnh báo rủi ro an toàn thông tin liên quan đến sản phẩm của CrowdStrike
Trong quá trình giám sát an toàn thông tin trên không gian mạng, Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), thuộc Cục An toàn thông tin, Bộ Thông tin và Truyền thông, đã phát hiện rủi ro an toàn thông tin liên quan đến sản phẩm của CrowdStrike. Sự cố trên đã gây ảnh hưởng tới nhiều cơ quan, tổ chức trên thế giới, trong đó bao gồm Đức, Singapore, Tây Ban Nha, Ấn Độ, Israel, Nam Phi,….
Cụ thể, các máy tính chạy hệ điều hành Windows 10 và cài đặt phần mềm Falcon Sensor của hãng CrowdStrike đều gặp lỗi màn hình xanh (Blue Screen Of Death – BSOD và không thể khởi động lại để hoạt động bình thường. Điều này gây ảnh hưởng tới hệ thống thông tin và hoạt động của cá nhân, cơ quan, tổ chức. Nhà phát triển CrowdStrike đã đưa ra thông báo xác nhận rủi ro và thực hiện khôi phục phần mềm Falcon Sensor để tránh gây thêm ảnh hưởng tới thiết bị của người dùng.
Hướng dẫn khắc phục đối với các thiết bị đã bị ảnh hưởng:
Bước 1: Khởi động lại máy tính và vào chế độ Safe Mode hoặc Windows Recovery Environment.
Bước 2: Truy cập thư mục “C:\Windows\System32\drivers\CrowdStrike”
Bước 3: Xóa bỏ các tập tin có định dạng “C-00000291*.sys” (tập tin có định dạng .sys và tên bắt đầu bẵng chuỗi C-00000291)
Bước 4: Khởi động lại máy tính và sử dụng như bình thường.
Nhằm đảm bảo an toàn thông tin cho hệ thống thông tin của Quý Đơn vị, góp phần bảo đảm an toàn cho không gian mạng Việt Nam, Cục An toàn thông tin khuyến nghị Quý Đơn vị thực hiện:
1. Kiểm tra, rà soát hệ thống thông tin đang sử dụng có khả năng bị ảnh hưởng bởi rủi ro an toàn thông tin trên. Chủ động theo dõi các thông tin liên quan nhằm thực hiện khắc phục rủi ro trong trường hợp bị ảnh hưởng.
2. Tăng cường giám sát và sẵn sàng phương án xử lý khi phát hiện có dấu hiệu bị khai thác, tấn công mạng; đồng thời thường xuyên theo dõi kênh cảnh báo của các cơ quan chức năng và các tổ chức lớn về an toàn thông tin để phát hiện kịp thời các nguy cơ tấn công mạng.
3. Trong trường hợp cần thiết có thể liên hệ đầu mối hỗ trợ của Cục An toàn thông tin: Trung tâm Giám sát an toàn không gian mạng quốc gia, điện thoại 02432091616, thư điện tử: ncsc@ais.gov.vn.
2. ĐIỂM YẾU, LỖ HỔNG
Trong tuần, các tổ chức quốc tế đã công bố và cập nhật ít nhất 989 lỗ hổng, trong đó có 406 lỗ hổng mức Cao, 277 lỗ hổng mức Trung bình, 18 lỗ hổng mức Thấp và 288 lỗ hổng chưa đánh giá. Trong đó có ít nhất 121 lỗ hổng cho phép chèn và thực thi mã lệnh.
Ngoài ra, tuần hệ thống kỹ thuật của NCSC cũng đã ghi nhận TOP 10 lỗ hổng đáng chú ý, là những lỗ hổng có mức độ nghiêm trọng cao hoặc đang bị khai thác trong môi trường thực tế bởi các nhóm tấn công.
Trong đó, đáng chú ý có 03 lỗ hổng ảnh hưởng các sản phẩm của OpenSSH, GeoServer và ngôn ngữ lập trình PHP, cụ thể là như sau:
- CVE-2024-36401 (Điểm CVSS: 9.8 – Nghiêm trọng): Lỗ hổng tồn tại trên GeoServer cho phép đối tượng tấn công thực thi mã từ xa thông qua việc truyền vào dữ liệu độc hại tới các phiên GeoServer cấu hình mặc định. Hiện lỗ hổng đã có mã khai thác và đang bị khai thác trong thực tế
- CVE-2024-6387 (Điểm CVSS: 8.1 – Cao): Lỗ hổng tồn tại trên máy chủ OpenSSH cho phép đối tượng tấn công khai thác lỗi Race Condition, cho phép đối tượng tấn công truy cập và thực hiện các hành vi trái phép. Hiện lỗ hổng đã có mã khai thác và đang bị khai thác trong thực tế.
- CVE-2024-4577 (Điểm CVSS: 9.8 – Nghiêm trọng): Lỗ hổng tồn tại trên ngôn ngữ lập trình PHP phiên bản 8.1.* (cũ hơn 8.1.29), 8.2.* (cũ hơn 8.2.20), 8.3.* (cũ hơn 8.3.8), khi được sử dụng trong Apache và PHP-CGI của Windows. Đối tượng tấn công có thể khai thác lỗ hổng bằng cách gửi đi các tham số độc hại cho PHP duyệt, qua đó có thể làm lộ mã nguồn của script, thực thi code PHP tùy ý trên máy chủ. Hiện lỗ hổng đã có mã khai thác và đang bị khai thác trong môi trường thực tế.
Danh sách TOP 10 lỗ hổng đáng chú ý trong tuần
Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/
3. SỐ LIỆU, THỐNG KÊ
Tấn công DRDoS: Trong tuần có 42.408 (tăng so với tuần trước 40.952) thiết bị có khả năng bị huy động và trở thành nguồn tấn công DRDoS.
Tấn công Web: Trong tuần, có 100 trường hợp tấn công vào trang/cổng thông tin điện tử của Việt Nam: 89 trường hợp tấn công lừa đảo (Phishing), 11 trường hợp tấn công cài cắm mã độc.
Danh sách địa chỉ được sử dụng trong các mạng botnet
4. TẤN CÔNG LỪA ĐẢO NGƯỜI DÙNG VIỆT NAM
Trong tuần đã có 1.353 phản ánh trường hợp lừa đảo do người dùng Internet Việt Nam thông báo về Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) qua hệ thống tại địa chỉ https://canhbao.khonggianmang.vn. Qua kiểm tra, phân tích có nhiều trường hợp lừa đảo giả mạo website của ngân hàng, các trang thương mại điện tử…
Dưới đây là một số trường hợp người dùng cần nâng cao cảnh giác.
Chi tiết báo cáo xem tại:
2024_CBT29.pdf