1. TIN TỨC AN TOÀN THÔNG TIN
- Chiến dịch tấn công APT: Nhóm APT Trung Quốc sử dụng mã độc MgBot và MACMA để tấn công Đài Loan và tổ chức phi chính phủ Mỹ.
- Cảnh báo: Lỗ hổng Zero-day trên Telegram cho phép phát tán APK Android độc hại dưới dạng video.
Chiến dịch tấn công APT: Nhóm APT Trung Quốc sử dụng mã độc MgBot và MACMA để tấn công Đài Loan và tổ chức phi chính phủ Mỹ.
Các tổ chức tại Đài Loan và một tổ chức phi chính phủ (NGO) của Mỹ đặt tại Trung Quốc đã trở thành mục tiêu của nhóm APT Daggerfly, một nhóm tấn công mạng được Bắc Kinh hậu thuẫn. Nhóm này sử dụng các công cụ mã độc đã được nâng cấp để thực hiện các cuộc tấn công.
Chiến dịch này cho thấy Daggerfly cũng tham gia vào hoạt động gián điệp nội bộ. Trong đó, Daggerfly đã khai thác lỗ hổng CVE-2024-38112 tồn tại trên máy chủ Apache HTTP để phát tán mã độc MgBot. Lỗ hổng này đã được Microsoft khắc phục trong bản vá Patch Tuesday gần nhất, được đánh giá là một lỗ hổng spoofing trong động cơ trình duyệt MSHTML của Internet Explorer.
Daggerfly, còn được biết đến với tên Bronze Highland và Evasive Panda, đã hoạt động từ năm 2012 và từng sử dụng mã độc MgBot trong các chiến dịch thu thập thông tin từ các nhà cung cấp dịch vụ viễn thông tại Châu Phi.
Ngoài mã độc MgBot, Daggerfly còn sử dụng phiên bản cải tiến của mã độc MgBot trên hệ điều hành macOS có tên MACMA. MACMA được phát hiện lần đầu vào tháng 11/2021 bởi nhóm Threat Analysis Group của Google, mã độc này phát tán qua các cuộc tấn công watering hole nhắm vào người dùng tại Hong Kong bằng cách khai thác lỗ hổng trên trình duyệt Safari. Được biết MACMA tái sử dụng mã nguồn từ các nhà phát triển ELF/Android, cho thấy khả năng nó cũng đã nhằm vào điện thoại Android.
Ngoài hai mã độc trên, Daggerfly còn sử dụng thêm mã độc Nightdoor (hay NetMM và Suzafk), một mã độc gài vào hệ thống sử dụng Google Drive API làm C&C và đã được sử dụng trong các cuộc tấn công watering hole nhằm vào người dùng Tây Tạng kể từ tháng 9 năm 2023.
Thông tin về nhóm Daggerfly và chiến dịch này được công bố ngay sau khi Trung tâm Ứng phó Khẩn cấp Virus Máy tính Quốc gia (CVERC) của Trung Quốc cáo buộc rằng Volt Typhoon, được Five Eyes xác định là nhóm gián điệp mạng của Trung Quốc, thực tế đây là một chiến dịch tin giả do các cơ quan tình báo Mỹ dựng lên nhằm bôi nhọ Trung Quốc.
Danh sách một số IoC được ghi nhận
Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/
Cảnh báo: Lỗ hổng Zero-day trên Telegram cho phép phát tán APK Android độc hại dưới dạng video
Một lỗ hổng Zero-day trên Telegram, được gọi là “EvilVideo,” đã bị khai thác để gửi các file APK độc hại dưới dạng video đến thiết bị Android. Lỗ hổng này đã được rao bán từ ngày 06/6/2024 bởi một đối tượng có tên là “Ancryno” trên diễn đàn XSS hacking tiếng Nga, và được cho là ảnh hưởng đến các phiên bản Telegram cũ hơn v10.14.4.
Lỗ hổng này được phát hiện sau khi một minh họa PoC được chia sẻ trên kênh Telegram công khai, giúp các chuyên gia bảo mật tại ESET tiếp cận được payload độc hại. Sau khi phân tích, ESET xác nhận lỗ hổng hoạt động như mô tả và đã thông báo cho Telegram vào ngày 26/6 và một lần nữa vào ngày 04/7. Lỗ hổng này đã được vá trong phiên bản v10.14.5 phát hành vào ngày 11/7/2024.
Hiện chưa có thông tin rõ ràng về việc lỗ hổng có bị khai thác trong thực tế hay không, tuy nhiên, các chuyên gia đã phát hiện máy chủ C&C sử dụng bởi payload có địa chỉ “infinityhackscharan.ddns[.]net”.
Chi tiết về việc khai thác lỗ hổng Zero-day
Lỗ hổng “EvilVideo” ảnh hưởng đến phiên bản Android của Telegram và cho phép đối tượng tấn công tạo ra các tệp APK độc hại được gửi tới người dùng dưới dạng video. Lỗ hổng này sử dụng API của Telegram để tạo các tin nhắn giả dạng video dài 30 giây.
Với cài đặt mặc định, ứng dụng Telegram trên Android sẽ tự động tải xuống các tệp phương tiện như ảnh và video. Do đó, người dùng chỉ cần mở kênh chứa tin nhắn payload là đã có thể bị nhiễm mã độc ngay lập tức. Nếu tắt tính năng tự động tải xuống, người dùng vẫn có nguy cơ lây nhiễm chỉ bằng một lần click vào video. Khi video giả được mở, Telegram sẽ hiện thông báo yêu cầu chọn trình phát video bên ngoài. Nếu người dùng đồng ý, payload sẽ được thực thi. Tiếp theo, người dùng sẽ được yêu cầu cài đặt một ứng dụng dạng APK thông qua Telegram, ứng dụng này có tên là “xHamster Premium Mod”.
Việc khai thác lỗ hổng này yêu cầu người dùng thực hiện nhiều bước để payload độc hại có thể được thực thi trên thiết bị, vì vậy nguy cơ thành công của cuộc tấn công là tương đối thấp.
2. ĐIỂM YẾU, LỖ HỔNG
Trong tuần, các tổ chức quốc tế đã công bố và cập nhật ít nhất 613 lỗ hổng, trong đó có 132 lỗ hổng mức Cao, 234 lỗ hổng mức Trung bình, 18 lỗ hổng mức Thấp và 229 lỗ hổng chưa đánh giá. Trong đó có ít nhất 68 lỗ hổng cho phép chèn và thực thi mã lệnh.
Ngoài ra, tuần hệ thống kỹ thuật của NCSC cũng đã ghi nhận TOP 10 lỗ hổng đáng chú ý, là những lỗ hổng có mức độ nghiêm trọng cao hoặc đang bị khai thác trong môi trường thực tế bởi các nhóm tấn công.
Trong đó, đáng chú ý có 03 lỗ hổng ảnh hưởng các sản phẩm của Progress, OpenSSH và Rejetto, cụ thể là như sau:
- CVE-2024-6327 (Điểm CVSS: 9.8 – Nghiêm trọng): Lỗ hổng tồn tại trên Progress Telerik Report Server, xảy ra do quy trình giải tuần tự thiếu bảo mật của sản phẩm. Đối tượng tấn công khai thác lỗ hổng có thể thực thi mã từ xa trên hệ thống. Hiện lỗ hổng đang bị khai thác trong thực tế.
- CVE-2024-6387 (Điểm CVSS: 8.1 – Cao): Lỗ hổng tồn tại trên máy chủ OpenSSH cho phép đối tượng tấn công khai thác lỗi Race Condition, cho phép đối tượng tấn công truy cập và thực hiện các hành vi trái phép. Hiện lỗ hổng đã có mã khai thác và đang bị khai thác trong thực tế.
- CVE-2024-23692 (Điểm CVSS: 9.8 – Nghiêm trọng): Lỗ hổng tồn tại trên Rejetto HTTP File Server, đối tượng tấn công có thể khai thác lỗ hổng bằng cách gửi tới hệ thống các yêu cầu HTTP độc hại, qua đó có thể thực thi mã tùy ý. Hiện lỗ hổng đã có mã khai thác và đang bị khai thác trong thực tế.
Danh sách TOP 10 lỗ hổng đáng chú ý trong tuần
Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/
3. SỐ LIỆU, THỐNG KÊ
Tấn công DRDoS: Trong tuần có 41.090 (giảm so với tuần trước 42.408) thiết bị có khả năng bị huy động và trở thành nguồn tấn công DRDoS.
Tấn công Web: Trong tuần, có 118 trường hợp tấn công vào trang/cổng thông tin điện tử của Việt Nam: 109 trường hợp tấn công lừa đảo (Phishing), 9 trường hợp tấn công cài cắm mã độc.
Danh sách địa chỉ được sử dụng trong các mạng botnet
4. TẤN CÔNG LỪA ĐẢO NGƯỜI DÙNG VIỆT NAM
Trong tuần đã có 1.573 phản ánh trường hợp lừa đảo do người dùng Internet Việt Nam thông báo về Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) qua hệ thống tại địa chỉ https://canhbao.khonggianmang.vn. Qua kiểm tra, phân tích có nhiều trường hợp lừa đảo giả mạo website của ngân hàng, các trang thương mại điện tử…
Dưới đây là một số trường hợp người dùng cần nâng cao cảnh giác.
Chi tiết báo cáo xem tại: 2024_CBT30.pdf