1. TIN TỨC AN TOÀN THÔNG TIN
- Chiến dịch tấn công APT: Nhóm APT Trung Quốc "Mustang Panda" thực hiện chiến dịch tấn công nhằm vào Việt Nam.
- Cảnh báo: Sleepy Pickle - Mối đe dọa mới đối với các mô hình Machine Learning.
- Thông tin: Hệ thống công nghệ thông tin của Bưu điện Việt Nam đã hoạt động trở lại.
Chiến dịch tấn công APT: Nhóm APT Trung Quốc "Mustang Panda" thực hiện chiến dịch tấn công nhằm vào Việt Nam

Gần đây, các chuyên gia bảo mật đã phát hiện một chiến dịch gián điệp mạng tinh vi của nhóm APT Mustang Panda nhằm vào nhiều tổ chức tại Việt Nam.
Nhóm APT này có nguồn gốc từ Trung Quốc, nổi tiếng với các kỹ thuật xâm nhập phức tạp nhằm tấn công vào các mạng lưới của chính phủ, tổ chức phi lợi nhuận và các cơ sở giáo dục.
Trong chiến dịch gần đây, Mustang Panda đã sử dụng các mồi nhử liên quan đến lĩnh vực giáo dục và thuế, đồng thời, tận dụng các công cụ hợp pháp như "forfiles.exe" để thực thi các file độc hại từ máy chủ C&C. Nhóm này cũng khai thác PowerShell, VBScript và các file batch để triển khai các hoạt động này, cho thấy sự thành thạo trong việc né tránh các biện pháp bảo mật.
Trong chiến dịch gần đây nhắm vào Việt Nam, nhóm này đã sử dụng các file mỗi nhử liên quan đến thuế vào tháng 05/2024 và trước đó là các file về giáo dục vào tháng 04/2024.
Cả hai chiến dịch đều bắt đầu từ email lừa đảo có đính kèm file độc hại, nhằm lừa người dùng mở và kích hoạt mã độc. Phân tích chuyên sâu về chiến dịch của Mustang Panda vào tháng 05/2024 cho thấy nhóm này đã sử dụng kỹ thuật đặt hai đuôi file để che giấu bản chất độc hại của chúng. Payload được ngụy trang dưới dạng file PDF, nhưng thực chất chứa các lệnh PowerShell để tải xuống và thực thi mã độc từ máy chủ từ xa.
Kỹ thuật DLL sideloading đã được Mustang Panda áp dụng để ẩn các hành vi độc hại vào trong tiến trình tuần tự của hệ thống, từ đó giảm thiểu nguy cơ bị phát hiện và duy trì kết nối đến thiết bị bị ảnh hưởng. Chiến dịch tấn công này một lần nữa làm rõ mối đe dọa ngày càng gia tăng từ các nhóm sở hữu kỹ thuật tấn công tinh vi. Bằng cách khai thác các lỗ hổng an toàn thông tin và thực hiện các cuộc tấn công mưu mô, nhóm đã chứng minh khả năng xâm nhập và gây nguy hiểm lên hệ thống mục tiêu.
Danh sách một số IoC được ghi nhận

Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/
Cảnh báo: Sleepy Pickle - Mối đe dọa mới đối với các mô hình Machine Learning

Gần đây, định dạng Pickle đang gây lo ngại về an toàn thông tin với phát hiện về kỹ thuật tấn công mới "Sleepy Pickle". Pickle thường được dùng để tuần tự hóa và phân phối mô hình học máy (ML), trở thành mục tiêu hấp dẫn cho các cuộc tấn công vì có thể bị lợi dụng để thực thi mã tùy ý khi giải tuần tự hóa. Các chuyên gia khuyến nghị người dùng chỉ nên tải mô hình từ nguồn tin cậy, sử dụng các mô hình có chữ ký số hoặc chuyển đổi từ các định dạng an toàn như Jax với cơ chế from_tf=True.
"Sleepy Pickle" là một kỹ thuật tấn công đặc biệt nhắm vào mô hình học máy bằng cách chèn payload độc hại vào file Pickle. Quá trình này thường được thực hiện thông qua các công cụ mã nguồn mở như Fickling. Sau đó, file Pickle độc hại này được phát tán đến nạn nhân thông qua nhiều phương pháp khác nhau, bao gồm:
- Adversary-in-the-Middle (AitM): Đối tượng tấn công đứng giữa quá trình truyền dữ liệu để chỉnh sửa hoặc chèn payload vào.
- Phishing: Dụ dỗ người dùng mở file Pickle độc hại qua email hoặc tin nhắn giả mạo. Xâm nhập chuỗi cung ứng: Chèn mã độc vào các file hợp lệ trong quá trình phân phối.
- Khai thác lỗ hổng hệ thống: Sử dụng các lỗ hổng bảo mật để tải file Pickle độc hại lên hệ thống mục tiêu.
"Sleepy Pickle" đặc biệt nguy hiểm vì nó cho phép kẻ tấn công duy trì quyền truy cập ẩn vào hệ thống ML. Mô hình bị lây nhiễm trong quá trình file Pickle được nạp vào Python, khiến kỹ thuật này hiệu quả hơn so với việc trực tiếp tải lên mô hình độc hại lên các nền tảng như Hugging Face. Điều này cho phép kẻ tấn công thay đổi hoạt động của mô hình hoặc kết quả tạo ra một cách linh hoạt mà không cần phải thuyết phục người dùng tải xuống và thực thi mô hình độc hại.
Để phòng chống các cuộc tấn công như "Sleepy Pickle" và các cuộc tấn công chuỗi cung ứng khác, các chuyên gia khuyến nghị tránh sử dụng file Pickle để phân phối mô hình đã tuần tự hóa. Thay vào đó, chỉ nên sử dụng các mô hình từ các tổ chức đáng tin cậy và dựa vào các định dạng tệp an toàn hơn như SafeTensors. Việc tuân theo các khuyến nghị này sẽ giúp giảm thiểu rủi ro và bảo vệ hệ thống học máy khỏi các mối đe dọa tiềm ẩn.
Thông tin: Hệ thống công nghệ thông tin của Bưu điện Việt Nam đã hoạt động trở lại

Sau 3 ngày kể từ khi bị tin tặc tấn công mã hóa dữ liệu, hệ thống công nghệ thông tin phục vụ khách hàng và hoạt động quản lý vận hành của Bưu điện Việt Nam đã phục hồi.
Theo thông báo của Tổng công ty Bưu điện Việt Nam (Vietnam Post), đến thời điểm 22h00 ngày 7/6/2024, hệ thống công nghệ thông tin phục vụ khách hàng và hoạt động quản lý vận hành của Bưu điện Việt Nam đã được phục hồi. Mọi hoạt động liên quan đến các dịch vụ đã cơ bản hoạt động bình thường và chưa ghi nhận bất cứ dấu hiệu thiệt hại về tài chính nào.
Hiện ứng dụng My Vietnam Post Plus vẫn đang được đồng bộ. Bưu điện Việt Nam cho biết sẽ có thông báo đến khách hàng trong thời gian sớm nhất.
Trước đó, vào 03h10 ngày 4/6/2024, hệ thống công nghệ thông tin của Tổng công ty Bưu điện Việt Nam đã bị tin tặc tấn công mã hóa dữ liệu (ransomware). Ngay khi phát hiện sự cố, Bưu điện Việt Nam đã nhanh chóng kích hoạt kịch bản hành động, bám sát theo hướng dẫn của Cục An toàn thông tin (Bộ Thông tin và Truyền thông), tập trung toàn lực để xử lý sự cố trong thời gian sớm nhất, đảm bảo tối đa quyền lợi khách hàng, giảm thiểu việc gián đoạn trong cung cấp dịch vụ.
Với sự hỗ trợ kịp thời và tích cực của Cục An toàn thông tin (Bộ Thông tin và Truyền thông), Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) - Bộ Công an, sự phối hợp chặt chẽ, hỗ trợ kịp thời của các đơn vị chuyên trách ATTT, cùng sự nỗ lực của đội ngũ cán bộ kỹ thuật, kỹ sư công nghệ, Bưu điện Việt Nam đã cô lập sự cố, bảo vệ dữ liệu, từng bước phục dựng hệ thống song song với việc điều tra, phân tích chuyên sâu nguyên nhân.
Đại diện Bưu điện Việt Nam cho biết, sự cố gây ảnh hưởng trực tiếp đến việc thực hiện các hoạt động liên quan đến dịch vụ bưu chính chuyển phát. Trong khi đó, các dịch vụ tài chính bưu chính, hành chính công và phân phối hàng hóa vẫn hoạt động bình thường.
2. ĐIỂM YẾU, LỖ HỔNG
Trong tuần, các tổ chức quốc tế đã công bố và cập nhật ít nhất 690 lỗ hổng, trong đó có 127 lỗ hổng mức Cao, 311 lỗ hổng mức Trung bình, 14 lỗ hổng mức Thấp và 238 lỗ hổng chưa đánh giá. Trong đó có ít nhất 133 lỗ hổng cho phép chèn và thực thi mã lệnh.
Ngoài ra, tuần hệ thống kỹ thuật của NCSC cũng đã ghi nhận TOP 10 lỗ hổng đáng chú ý, là những lỗ hổng có mức độ nghiêm trọng cao hoặc đang bị khai thác trong môi trường thực tế bởi các nhóm tấn công.
Trong đó, đáng chú ý có 03 lỗ hổng ảnh hưởng các sản phẩm của Telerik, ngôn ngữ lập trình PHP và Oracle, cụ thể là như sau:
CVE-2024-4358 (Điểm CVSS: 9.8 - Nghiêm trọng): Là lỗ hổng bỏ qua bước xác thực tồn tại trên Progress Telerik Report Server phiên bản cũ hơn 2024 Q1 (10.0.24.305) trên IIS, cho phép đối tượng tấn công có thể truy cập và thực hiện các hành vi trái phép trên chức năng hạn chế của máy chủ. Hiện lỗ hổng đã có mã khai thác và đang bị khai thác trong thực tế.
CVE-2024-4577 (Điểm CVSS: 9.8 - Nghiêm trọng): Là lỗ hổng tồn tại trong ngôn ngữ lập trình PHP trên Apache và PHP-CGI của Windows. Lỗ hổng xảy ra do Windows sử dụng hành vi "Best-Fit" để thay thế ký tự trong command line cung cấp tới hàm Win32API. Đối tượng tấn công có thể khai thác lỗ hổng để truyền các tùy chỉnh độc hại tớ binary PHP qua đó biết được mã nguồn, thực thi đoạn mã PHP tùy ý trên máy chủ. Hiện lỗ hồng đã có mã khai thác và đang bị khai thai thác trong thực tế.
CVE-2017-3506 (Điểm CVSS: 7.4 - Cao): Lỗ hổng tồn tại trên thành phần Oracle WebLogic Server của Oracle Fusion Middleware cho phép đối tượng tấn công với khả năng truy cập vào hệ thống mạng của máy chủ qua giao thức HTTP, có thể truy cập và thực hiện các hành vi trái phép tới dữ liệu máy chủ. Hiện lỗ hổng đã có mã khai thác và đang bị khai thác trong thực tế.
Danh sách TOP 10 lỗ hổng đáng chú ý trong tuần

Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/
3. SỐ LIỆU, THỐNG KÊ
Tấn công DRDoS: Trong tuần có 40.304 (giảm so với tuần trước 40.819) thiết bị có khả năng bị huy động và trở thành nguồn tấn công DRDoS.
Tấn công Web: Trong tuần, có 170 trường hợp tấn công vào trang/cổng thông tin điện tử của Việt Nam: 150 trường hợp tấn công lừa đảo (Phishing), 20 trường hợp tấn công cài cắm mã độc.
Danh sách địa chỉ được sử dụng trong các mạng botnet

4. TẤN CÔNG LỪA ĐẢO NGƯỜI DÙNG VIỆT NAM
Trong tuần đã có 814 phản ánh trường hợp lừa đảo do người dùng Internet Việt Nam thông báo về Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) qua hệ thống tại địa chỉ https://canhbao.khonggianmang.vn. Qua kiểm tra, phân tích có nhiều trường hợp lừa đảo giả mạo website của ngân hàng, các trang thương mại điện tử…
Dưới đây là một số trường hợp người dùng cần nâng cao cảnh giác.

Chi tiết báo cáo xem tại: 2024_CBT24.pdf