Cảnh báo chiến dịch tấn công có chủ đích của nhóm APT Earth Estries

Thông tin chi tiết các chiến dịch tấn công

Nhóm Earth Estries thực hiện các chiến dịch tấn công tinh vi bằng cách khai thác lỗ hổng trên các hệ thống như Microsoft Exchange và công cụ quản lý adapter mạng. Nhóm sử dụng các mã độc như Cobalt Strike, Crowdoor, Zingdoor, và SnappyBee để lây lan, duy trì kết nối, thu thập dữ liệu và che giấu lưu lượng mạng thông qua proxy nội bộ, đồng thời liên tục cập nhật công cụ để né tránh phát hiện. Các dữ liệu đánh cắp được trích xuất tới các dịch vụ chia sẻ file ẩn danh hoặc máy chủ C&C.

Ngoài các mã độc kể trên, hệ thống mục tiêu còn chứa mã độc Cryptmerlin có chức năng thực thi lệnh gửi tới từ máy chủ C&C và FuxosDoor mã độc cài vào IIS trên máy chủ Exchange, thực thi lệnh sử dụng cmd.exe.

Một số IoC liên quan đến các tấn công gần đây:

Mã băm SHA256 của file mã độc
Địa chỉ máy chủ C&C  
Nhằm đảm bảo an toàn thông tin cho hệ thống thông tin của Quý Đơn vị, góp phần bảo đảm an toàn cho không gian mạng Việt Nam, Cục An toàn thông tin đề nghị Quý Đơn vị thực hiện:

1. Kiểm tra, rà soát hệ thống thông tin đang sử dụng có khả năng bị ảnh hưởng bởi các chiến dịch tấn công trên. Chủ động theo dõi các thông tin liên quan đến đến các chiến dịch tấn công mạng nhằm thực hiện ngăn chặn sớm, tránh nguy cơ bị tấn công.

2. Tăng cường giám sát và sẵn sàng phương án xử lý khi phát hiện có dấu hiệu bị khai thác, tấn công mạng; đồng thời thường xuyên theo dõi kênh cảnh báo của các cơ quan chức năng và các tổ chức lớn về an toàn thông tin để phát hiện kịp thời các nguy cơ tấn công mạng.

3. Gửi báo cáo kết quả rà soát hệ thống về Cục An toàn thông tin chậm nhất trước ngày 18/9/2024. Trong trường hợp cần thiết có thể liên hệ đầu mối hỗ trợ của Cục An toàn thông tin: Trung tâm Giám sát an toàn không gian mạng quốc gia, điện thoại 02432091616, thư điện tử: ncsc@ais.gov.vn.

Báo cáo chi tiết xem tại: 1.20241120_CV_APT_EARTHESTRIES.PDF