1. TIN TỨC AN TOÀN THÔNG TIN
- Chiến dịch tấn công APT: 75 tổ chức tại Đài Loan bị ảnh hưởng bởi chiến dịch tấn công của nhóm APT RedJuliett.
- Cảnh báo: Phát hiện lỗ hổng an toàn thông tin nghiêm trọng trên công cụ Ollama AI.
Chiến dịch tấn công APT: 75 tổ chức tại Đài Loan bị ảnh hưởng bởi chiến dịch gián điệp mạng của nhóm APT RedJuliett

Gần đây, đã phát hiện một chiến dịch gián điệp mạng quy mô lớn, có khả năng được hậu thuẫn bởi chính phủ Trung Quốc. Chiến dịch này do nhóm tấn công RedJuliett thực hiện, còn được biết đến dưới các biệt danh Flax Typhoon và Ethereal Panda, nhằm vào các tổ chức giáo dục, công nghệ, chính phủ và ngoại giao tại Đài Loan từ tháng 11/2023 đến tháng 4/2024.
RedJuliett thường khai thác các thiết bị và ứng dụng kết nối Internet như tường lửa, bộ cân bằng tải và VPN doanh nghiệp để xâm nhập hệ thống, sử dụng các kỹ thuật tấn công như SQL Injection và Directory Traversal trên ứng dụng web và SQL. Sau khi xâm nhập, nhóm này dùng phần mềm SoftEther để điều hành lưu lượng độc hại và áp dụng kỹ thuật "living-off-the-land" để tránh bị phát hiện.
Nhóm UNC3886 đã sử dụng các rootkit như Reptile và Medusa để tránh bị phát hiện bởi các biện pháp bảo mật. Medusa được triển khai trên các máy ảo khách bằng bộ cài SEAELF. Khác với Reptile chỉ cung cấp giao diện tương tác với các chức năng rootkit, Medusa có khả năng ghi lại thông tin xác thực của người dùng từ các lần đăng nhập thành công, giúp nhóm này di chuyển dễ dàng trên hệ thống bị xâm nhập.
Để duy trì kết nối và kiểm soát hệ thống, RedJuliett triển khai các web shell như China Chopper, devilzShell, AntSword và Godzilla. Họ cũng khai thác lỗ hổng Dirty Cow (CVE-2016-5195) trên Linux để leo thang đặc quyền và củng cố quyền kiểm soát.
Hạ tầng hoạt động của RedJuliett bao gồm các máy chủ do nhóm kiểm soát, thuê từ các nhà cung cấp máy chủ ảo (VPS) và các hệ thống đã bị xâm nhập của ba trường đại học tại Đài Loan. Nhóm này sử dụng SoftEther để quản lý máy chủ và điều hành các hoạt động độc hại một cách hiệu quả và khó bị phát hiện.
Mục tiêu hoạt động của nhóm RedJuliett là hỗ trợ Bắc Kinh thu thập thông tin tình báo về các quốc gia Đông Á. Ngoài Đài Loan, nhóm còn nhắm đến Djibouti, Hong Kong, Kenya, Lào, Malaysia, Philippines, Rwanda, Hàn Quốc, và Hoa Kỳ. Đã ghi nhận 24 tổ chức, bao gồm các cơ quan chính phủ tại Đài Loan, Lào, Kenya và Rwanda, bị nhóm tấn công này thiết lập kết nối. Ước tính ít nhất 75 tổ chức tại Đài Loan đã trở thành mục tiêu do thám và khai thác diện rộng của nhóm.
Danh sách một số IoC được ghi nhận

Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/
Cảnh báo: Phát hiện lỗ hổng an toàn thông tin nghiêm trọng trên công cụ Ollama AI

Các chuyên gia bảo mật đã ghi nhận và vá một lỗ hổng an toàn thông tin trên nền tảng cơ sở hạ tầng mã nguồn mở của Ollama AI. Lỗ hổng này cho phép đối tượng tấn công thực thi mã từ xa. Ollama là một dịch vụ đóng gói, triển khai và thực thi các mô hình ngôn ngữ lớn (Large Language Model – LLM) trên các hệ điều hành Windows, Linux và macOS.
Lỗ hổng CVE-2024-37032 còn được biết đến với tên gọi Probllama, đã được phát hiện vào ngày 05/05/2024 và khắc phục trong phiên bản 0.1.34 phát hành vào ngày 07/05/2024
Để khai thác lỗ hổng này, đối tượng tấn công phải gửi các yêu cầu HTTP đặc biệt tới máy chủ API của Ollama để tấn công API endpoint ‘/api/pull’, dùng để tải mô hình từ kho lưu trữ chính thức hoặc một kho lưu trữ riêng. Việc tấn công endpoint này cho phép kẻ tấn công tạo tệp mô hình độc hại với payload đánh lạc hướng đường dẫn.
Đối tượng tấn công khai thác lỗ hổng này không chỉ để gây hại tới các tệp tin trên hệ thống mà còn để thực thi mã từ xa, bằng cách ghi đè lên tệp cấu hình “etc/ld.so.preload” của trình liên kết động “ld.so”, chèn vào đó một thư viện chia sẻ độc hại và thực thi nó trước khi mỗi chương trình được khởi chạy.
Mặc dù nguy cơ thực thi mã từ xa giảm đáng kể trong các cài đặt mặc định của Linux, nơi máy chủ API được ràng buộc với localhost, nhưng điều này không áp dụng đối với các triển khai Docker. Trên môi trường Docker, máy chủ API được mở rộng công khai với quyền root và lắng nghe trên địa chỉ 0.0.0.0 theo cấu hình mặc định.
Ngoài ra, Ollama thiếu cơ chế xác thực, cho phép đối tượng tấn công khai thác các máy chủ truy cập công khai để đánh cắp hoặc can thiệp vào các mô hình trí tuệ nhân tạo và đe dọa các máy chủ tự động suy luận AI. Các chuyên gia bảo mật đã phát hiện hơn 1000 trường hợp Ollama mở và không được bảo vệ bởi biện pháp an ninh nào, vì vậy họ khuyên người dùng sử dụng giải pháp phần mềm trung gian như Reverse Proxy với cơ chế xác thực để tăng cường bảo mật.
2. ĐIỂM YẾU, LỖ HỔNG
Trong tuần, các tổ chức quốc tế đã công bố và cập nhật ít nhất 687 lỗ hổng, trong đó có 115 lỗ hổng mức Cao, 166 lỗ hổng mức Trung bình, 20 lỗ hổng mức Thấp và 386 lỗ hổng chưa đánh giá. Trong đó có ít nhất 88 lỗ hổng cho phép chèn và thực thi mã lệnh.
Ngoài ra, tuần hệ thống kỹ thuật của NCSC cũng đã ghi nhận TOP 10 lỗ hổng đáng chú ý, là những lỗ hổng có mức độ nghiêm trọng cao hoặc đang bị khai thác trong môi trường thực tế bởi các nhóm tấn công.
Trong đó, đáng chú ý có 03 lỗ hổng ảnh hưởng các sản phẩm của SolarWinds và VMware, cụ thể là như sau:
- CVE-2024-28995 (Điểm CVSS: 7.5 – Cao): Lỗ hổng directory tranversal tồn tại trên SolarWinds Serv-U cho phép đối tượng tấn công truy cập và thực hiện các hành vi trái phép. Hiện lỗ hổng đã có mã khai thác và đang bị khai thác trong thực tế.
- CVE-2024-37079 (Điểm CVSS: 9.8 – Nghiêm trọng): Lỗ hổng heap-overflow tồn tại trong giao thức DCERPC trên VMware vCenter Server cho phép đối tượng tấn công thực thi mã từ xa sau khi khai thác sử dụng gói tin độc hại. Hiện lỗ hổng đã có mã khai thác và đang bị khai thác trong thực tế.
- CVE-2024-37080 (Điểm CVSS: 9.8 – Nghiêm trọng): Lỗ hổng heap-overflow tồn tại trong giao thức DCERPC trên VMware vCenter Server cho phép đối tượng tấn công thực thi mã từ xa sau khi khai thác sử dụng gói tin độc hại. Hiện lỗ hổng đang bị khai thác trong thực tế.
Danh sách TOP 10 lỗ hổng đáng chú ý trong tuần

Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/
3. SỐ LIỆU, THỐNG KÊ
Tấn công DRDoS: Trong tuần có 38.212 (giảm so với tuần trước 39.057) thiết bị có khả năng bị huy động và trở thành nguồn tấn công DRDoS.
Tấn công Web: Trong tuần, có 93 trường hợp tấn công vào trang/cổng thông tin điện tử của Việt Nam: 77 trường hợp tấn công lừa đảo (Phishing), 16 trường hợp tấn công cài cắm mã độc.
Danh sách địa chỉ được sử dụng trong các mạng botnet

4. TẤN CÔNG LỪA ĐẢO NGƯỜI DÙNG VIỆT NAM
Trong tuần đã có 1.843 phản ánh trường hợp lừa đảo do người dùng Internet Việt Nam thông báo về Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) qua hệ thống tại địa chỉ https://canhbao.khonggianmang.vn. Qua kiểm tra, phân tích có nhiều trường hợp lừa đảo giả mạo website của ngân hàng, các trang thương mại điện tử…
Dưới đây là một số trường hợp người dùng cần nâng cao cảnh giác.

Chi tiết báo cáo xem tại: 2024_CBT26.pdf