image banner
Cảnh báo an toàn thông tin Tuần 21/2024

1. TIN TỨC AN TOÀN THÔNG TIN

Chiến dịch tấn công APT: Nhóm tấn công Trung Quốc nhằm mục tiêu tấn công vào các quốc gia vùng Biển Đông.

Cảnh báo: QNAP phát hành bản vá khắc phục lỗ hổng an toàn thông tin trên QTS và QuTS hero.


 

Chiến dịch tấn công APT: Nhóm tấn công Trung Quốc nhằm mục tiêu tấn công vào các quốc gia vùng Biển Đông
 

Gần đây, các chuyên gia bảo mật đã tiết lộ chi tiết về nhóm APT Unfading Sea Haze, được cho là hoạt động từ năm 2018. Chiến dịch tấn công mới nhất của nhóm này nhằm vào các tổ chức chính phủ và quốc phòng tại các quốc gia vùng Biển Đông. Tính đến nay, nhóm này đã xâm nhập thành công vào tổng cộng tám mục tiêu.


 

Nhóm Unfading Sea Haze sử dụng các biến thể của mã độc Gh0st RAT, một loại trojan phổ biến thường được các nhóm tấn công Trung Quốc sử dụng. Một kỹ thuật đặc biệt được nhóm sử dụng trong chiến dịch này là thực thi mã JScript qua công cụ SharpJSHandler, tương tự với kỹ thuật của mã độc backdoor FunnySwitch của nhóm APT41. Cả hai kỹ thuật này đều nạp hợp ngữ .NET và thực thi mã JScript.


 

Quá trình xâm nhập ban đầu của nhóm chưa được xác định rõ ràng, nhưng đã có ghi nhận nhóm sử dụng email spear-phishing chứa file nén độc hại để tái xâm nhập vào các hệ thống đã bị xâm phạm. Các file nén này chứa file Windows shortcut (LNK), khi khởi động sẽ bắt đầu chuỗi lây nhiễm bằng cách thực thi lệnh tải xuống payload từ máy chủ C&C. Payload này là mã độc SerialPktdoor, được thiết kế để thực thi script PowerShell, quản lý file và tài khoản trên hệ thống.


 

Để duy trì kết nối với hệ thống bị xâm nhập, nhóm Unfading Sea Haze sử dụng các tác vụ lên lịch với tên tiến trình hợp lệ của Windows, thực hiện kỹ thuật DLL side-loading để nạp DLL độc hại.


 

Ngoài các công cụ và mã độc chính, nhóm Unfading Sea Haze còn sử dụng mã độc backdoor Stubbedoor để thực thi hợp ngữ .NET tải từ máy chủ C&C. Các công cụ khác được nhóm sử dụng bao gồm keylogger xkeylog, mã độc đánh cắp dữ liệu trình duyệt, công cụ giám sát kết nối thiết bị cầm tay, và chương trình trích xuất dữ liệu DustyExfilTool đã được sử dụng từ tháng 03/2018 đến tháng 01/2022. Nhóm cũng sử dụng mã độc SharpZulip, lợi dụng API của Zulip để thu thập câu lệnh từ xa từ kênh "NDFUIBNFWDNSA".


 

Một số IoC được ghi nhận

IMG_7856.PNG

Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/

 


 

Cảnh báo: QNAP phát hành bản vá khắc phục lỗ hổng an toàn thông tin trên QTS và QuTS hero

20240527173301780.png

 


 

Công ty QNAP vừa phát hành bản vá khắc phục một số lỗ hổng an toàn thông tin mức độ trung bình ảnh hưởng đến hệ điều hành QTS và QuTS hero, một trong số đó có thể bị tấn công để thực thi mã từ xa trên các thiết bị NAS của hãng. Danh sách lỗ hổng ảnh hưởng tới QTS 5.1.x và QuTS hero h5.1.x như sau:


 

Danh sách lỗ hổng ảnh hưởng tới QTS 5.1.x và QuTS hero h5.1.x như sau:

IMG_7859.PNG

 


 

2. ĐIỂM YẾU, LỖ HỔNG

Trong tuần, các tổ chức quốc tế đã công bố và cập nhật ít nhất 1.540 lỗ hổng, trong đó có 421 lỗ hổng mức Cao, 564 lỗ hổng mức Trung bình, 74 lỗ hổng mức Thấp và 481 lỗ hổng chưa đánh giá. Trong đó có ít nhất 229 lỗ hổng cho phép chèn và thực thi mã lệnh.


 

Ngoài ra, tuần hệ thống kỹ thuật của NCSC cũng đã ghi nhận TOP 10 lỗ hổng đáng chú ý, là những lỗ hổng có mức độ nghiêm trọng cao hoặc đang bị khai thác trong môi trường thực tế bởi các nhóm tấn công.


 

Trong đó, đáng chú ý có 03 lỗ hổng ảnh hưởng tới các sản phẩm của Veeam, NextGen và GitHub, cụ thể là như sau:


 

CVE-2024-29849 (Điểm CVSS: 9.8 – Nghiêm trọng): Lỗ hổng tồn tại trên Veeam Backup Enterprise Manage cho phép đối tượng tấn công sau khi khai thác có thể đăng nhập vào trình quản trị web dưới tài khoản người dùng bất kì. Hiện lỗ hổng đang bị khai thác trong môi trường thực tế bởi các nhóm tấn công.


 

CVE-2023-43208 (Điểm CVSS: 9.8 – Nghiêm trọng): Lỗ hổng tồn tại trên NextGen Healthcare Mirth Connect trước phiên bản 4.1, xảy ra do việc vá lỗi chưa hoàn chỉnh của lỗ hổng CVE-2023-37679. Đối tượng tấn công khai thác thành công lỗ hổng có thể thực thi mã từ xa. Hiện lỗ hổng đã có mã khai thác và đang bị khai thác trong môi trường thực tế bởi các nhóm tấn công.


 

CVE-2024-4985 (Điểm CVSS: N/A): Lỗ hổng bỏ qua chức năng xác thực tồn tại trên sản phẩm GitHub Enterprise Server (GHES) sử dụng xác thực SAML single sign-on (SSO). Đối tượng tấn công khai thác lỗ hổng có thể giả mạo yêu cầu SAML để yêu cầu quyền truy cập vào tài khoản quản trị của sản phẩm, qua đó cho phép đối tượng truy cập và thực hiện các hành vi trái phép. Hiện lỗ hổng đang bị khai thác trong môi trường thực tế.


 

Danh sách TOP 10 lỗ hổng đáng chú ý trong tuần

Bảng CBT21-01.png

 


 

3. SỐ LIỆU, THỐNG KÊ

  • Tấn công DRDoS: Trong tuần có 39.100 (giảm so với tuần trước 40.030) thiết bị có khả năng bị huy động và trở thành nguồn tấn công DRDoS.
  • Tấn công Web: Trong tuần, có 118 trường hợp tấn công vào trang/cổng thông tin điện tử của Việt Nam: 69 trường hợp tấn công lừa đảo (Phishing), 49 trường hợp tấn công cài cắm mã độc.


 

Danh sách địa chỉ được sử dụng trong các mạng botnet

Bảng CBT21-02.png

 


 

4. TẤN CÔNG LỪA ĐẢO NGƯỜI DÙNG VIỆT NAM

Trong tuần đã có 274 phản ánh trường hợp lừa đảo do người dùng Internet Việt Nam thông báo về Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) qua hệ thống tại địa chỉ https://canhbao.khonggianmang.vn. Qua kiểm tra, phân tích có nhiều trường hợp lừa đảo giả mạo website của ngân hàng, các trang thương mại điện tử…


 

Dưới đây là một số trường hợp người dùng cần nâng cao cảnh giác.

Bảng CBT21-03.png

 


 

Chi tiết báo cáo xem tại: 2024_CBT21.pdf

image advertisement
image advertisement
image advertisement
image advertisement
image advertisement
image advertisement
image advertisement
image advertisement
image advertisement
image advertisement
image advertisement
image advertisement
image advertisement
image advertisement 
image advertisement
image advertisement
image advertisement
image advertisement
image advertisement
TIN MỚI NHẤT
  • Đang online: 0
  • Hôm nay: 1
  • Trong tuần: 0
  • Trong tháng: 0
  • Trong năm: 0