1. TIN TỨC AN TOÀN THÔNG TIN
- Chiến dịch tấn công APT: Nhóm APT XDSpy tấn công các cơ quan tại Nga và Moldova bằng chiến dịch tấn công lừa đảo.
- Cảnh báo: Nguy cơ đe dọa Linux Kernel bằng hình thức tấn công cross-cache SLUBStick.
Chiến dịch tấn công APT: Nhóm APT XDSpy tấn công các cơ quan tại Nga và Moldova bằng chiến dịch tấn công lừa đảo
Các cơ quan tại Nga và Moldova gần đây đã trở thành mục tiêu của một chiến dịch tấn công lừa đảo do nhóm XDSpy thực hiện. Thông tin này được một cơ quan bảo mật xác định trong tháng 07/2024 và ghi nhận mục tiêu của chiến dịch là phát tán mã độc DSDownloader.
Chuỗi tấn công của nhóm XDSpy sử dụng các email spear-phishing để lây nhiễm hệ thống với mã độc XDDown có nhiệm vụ tải xuống các plugin bổ trợ với chức năng thu thập thông tin hệ thống, liệt kê file trong ổ C, theo dõi các ổ rời, trích xuất file trên hệ thống và thu thập mật khẩu. Trong năm qua, XDSpy đã nhắm vào các tổ chức tại Nga, sử dụng dropper ngôn ngữ C# có tên UTask với nhiệm vụ tải xuống module dưới dạng file thực thi để tiếp tục tải thêm các payload độc hại từ máy chủ C&C.
Trong chiến dịch tấn công lần này, XDSpy sử dụng email lừa đảo với nội dung liên quan tới các thỏa thuận để phát tán file RAR có chứa một file thực thi hợp pháp và một file DLL độc hại. File DLL này được thực thi bằng kỹ thuật DLL side-loading, sử dụng file thực thi đi kèm. Sau khi thực thi, mã độc DSDownloader sẽ được tải xuống và thực thi, qua đó mở ra một file bù nhìn có vai trò đánh lạc hướng người dùng trong lúc mã độc tải xuống mã độc bổ trợ từ máy chủ C&C. Ngoài ra, payload này không còn khả dụng để tải xuống vào thời điểm phân tích.
Thông tin về chiến dịch tấn công của XDSpy được công bố trong bối cảnh một cơ quan bảo mật tại Ukraine cảnh báo về sự gia tăng đột biến của các cuộc tấn công lừa đảo do nhóm UAC-0057 (hay còn gọi là GhostWriter, UNC1151) thực hiện. Nhóm này sử dụng mã độc PicassoLoader để cài đặt Cobalt Strike Beacon trên các hệ thống bị tấn công.
Ngoài ra, chiến dịch của XDSpy còn được tiết lộ sau khi phát hiện một chiến dịch mới của nhóm Turla, sử dụng file .LNK độc hại làm backdoor không file để thực thi các script PowerShell từ một máy chủ hợp pháp đã bị xâm nhập, từ đó vô hiệu hóa các tính năng bảo mật của hệ thống bị tấn công.
Danh sách một số IoC được ghi nhận
Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/
Cảnh báo: Nguy cơ đe dọa Linux Kernel bằng hình thức tấn công cross-cache SLUBStick
Gần đây, các chuyên gia bảo mật đã phát hiện một hình thức tấn công cross-cache mới trên Linux Kernel có tên SLUBStick, với tỷ lệ thành công lên đến 99% trong việc chuyển đổi lỗi heap hạn chế thành khả năng đọc/ghi bộ nhớ tùy ý, từ đó cho phép leo thang đặc quyền hoặc thoát khỏi các môi trường container.
Phát hiện này được thực hiện trên các phiên bản Linux Kernel 5.9 và 6.2, với việc sử dụng 09 lỗ hổng CVE khác nhau trên cả hệ thống 32-bit và 64-bit.
Đặc biệt, hình thức tấn công này vẫn hoạt động hiệu quả ngay cả khi các phương pháp bảo mật hiện đại như Supervisor Mode Execution Prevention (SMEP), Supervisor Mode Access Prevention (SMAP), và Kernel Address Space Layout Randomization (KASLR) đang được kích hoạt.
Chi tiết về SLUBStick sẽ được trình bày trong hội nghị “Usenix Security Symposium” vào tháng 8 năm 2024, nơi các nhà nghiên cứu sẽ minh họa khả năng nâng cao đặc quyền và thoát khỏi môi trường container trên hệ thống Linux với các cơ chế bảo mật tiên tiến.
Chi tiết về SLUBStick
Linux Kernel quản lý bộ nhớ một cách hiệu quả và an toàn bằng cách phân bổ và giải phóng các khối bộ nhớ gọi là “slabs” cho các cấu trúc dữ liệu khác nhau. Tuy nhiên, quá trình quản lý bộ nhớ này có thể tồn tại lỗi, cho phép đối tượng tấn công thao túng cấu trúc dữ liệu, dẫn đến các cuộc tấn công cross-cache. SLUBStick khai thác các lỗ hổng heap như double-free, user-after-free, hoặc ghi ngoài giới hạn để thao túng quá trình cấp phát bộ nhớ. Các lỗ hổng này bao gồm: CVE-2023-21400, CVE-2023-3609, CVE-2022-32250, CVE-2022-29582, CVE-2022-27666, CVE-2022-2588, CVE-2022-0995, CVE-2021-4157, và CVE-2021-3492.
Tiếp theo, SLUBStick sử dụng một kênh phụ thời gian (timing side channel) để xác định chính xác thời điểm phân bổ bộ nhớ, cho phép đối tượng tấn công dự đoán và kiểm soát việc tái sử dụng bộ nhớ. Quá trình chuyển đổi lỗi heap thành khả năng đọc/ghi bộ nhớ tùy ý được thực hiện qua ba bước:
1. Giải phóng các khối bộ nhớ cụ thể và chờ kernel tái sử dụng chúng.
2. Cấp phát lại các khối này một cách có kiểm soát, đảm bảo chúng được sử dụng cho các cấu trúc dữ liệu quan trọng như bảng trang.
3. Khi các khối bộ nhớ đã được chiếm dụng, đối tượng tấn công ghi đè các mục nhập bảng trang, từ đó có thể đọc và ghi vào bất kỳ vị trí bộ nhớ nào.
Ảnh hưởng thực tiễn
SLUBStick yêu cầu quyền truy cập cục bộ vào máy mục tiêu với khả năng thực thi mã, và cần tồn tại lỗi heap trên Linux kernel để khai thác và đạt được quyền truy cập đọc/ghi bộ nhớ. Mặc dù điều này có thể khiến tấn công có vẻ không thực tế, nhưng nó cung cấp lợi ích đáng kể cho các đối tượng tấn công. SLUBStick không chỉ cho phép leo thang đặc quyền, vượt qua các bảo mật kernel, và thoát khỏi môi trường kiểm thử, mà còn có thể là một phần trong chuỗi tấn công phức tạp.
2. ĐIỂM YẾU, LỖ HỔNG
Trong tuần, các tổ chức quốc tế đã công bố và cập nhật ít nhất 404 lỗ hổng, trong đó có 139 lỗ hổng mức Cao, 160 lỗ hổng mức Trung bình, 11 lỗ hổng mức Thấp và 94 lỗ hổng chưa đánh giá. Trong đó có ít nhất 55 lỗ hổng cho phép chèn và thực thi mã lệnh.
Ngoài ra, tuần hệ thống kỹ thuật của NCSC cũng đã ghi nhận TOP 10 lỗ hổng đáng chú ý, là những lỗ hổng có mức độ nghiêm trọng cao hoặc đang bị khai thác trong môi trường thực tế bởi các nhóm tấn công.
Trong đó, đáng chú ý có 03 lỗ hổng ảnh hưởng các sản phẩm của Acronis, VMware và Microsoft, cụ thể là như sau:
- CVE-2023-45249 (Điểm CVSS: 9.8 – Nghiêm trọng): Lỗ hổng tồn tại trên Acronis Cyber Infrastructure do việc sử dụng mật khẩu mặc định cho giải pháp, cho phép đối tượng tấn công thực thi mã từ xa. Hiện lỗ hổng đã có mã khai thác và đang bị khai thác trong môi trường thực tế bởi các nhóm tấn công.
- CVE-2024-37085 (Điểm CVSS: 7.2 – Cao): Lỗ hổng tồn tại trên VMware ESXi cho phép đối tượng tấn công với quyền Active Directory phù hợp có thể bỏ qua bước xác thực của hệ thống, qua đó truy cập và thực hiện các hành vi trái phép. Hiện lỗ hổng đã có mã khai thác và đang bị khai thác trong môi trường thực tế trong các chiến dịch tấn công Ransomware bởi các nhóm tấn công Storm-1567, babuk, LockBit, lockbit.
- CVE-2024-21338 (Điểm CVSS: 7.8 – Cao): Lỗ hổng tồn tại trên Microsoft Windows 11, Windows 10 trên tầng Kernel, cho phép đối tượng tấn công leo thang đặc quyền hệ thống. Hiện lỗ hổng đã có mã khai thác và đang bị khai thác trong môi trường thực tế bởi các nhóm tấn công.
Danh sách TOP 10 lỗ hổng đáng chú ý trong tuần
Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/
3. SỐ LIỆU, THỐNG KÊ
Tấn công DRDoS: Trong tuần có 41.696 (tăng so với tuần trước 41.090) thiết bị có khả năng bị huy động và trở thành nguồn tấn công DRDoS.
Tấn công Web: Trong tuần, có 169 trường hợp tấn công vào trang/cổng thông tin điện tử của Việt Nam: 151 trường hợp tấn công lừa đảo (Phishing), 18 trường hợp tấn công cài cắm mã độc.
Danh sách địa chỉ được sử dụng trong các mạng botnet
4. TẤN CÔNG LỪA ĐẢO NGƯỜI DÙNG VIỆT NAM
Trong tuần đã có 1.073 phản ánh trường hợp lừa đảo do người dùng Internet Việt Nam thông báo về Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) qua hệ thống tại địa chỉ https://canhbao.khonggianmang.vn. Qua kiểm tra, phân tích có nhiều trường hợp lừa đảo giả mạo website của ngân hàng, các trang thương mại điện tử…
Dưới đây là một số trường hợp người dùng cần nâng cao cảnh giác.
Chi tiết báo cáo xem tại: 2024_CBT31.pdf