Thông tin cảnh báo

Cảnh báo an toàn thông tin Tuần 45/2024

Đăng vào bởi admin

Cảnh báo an toàn thông tin Tuần 45/2024

Hôm nay lúc 08:13

1. TIN TỨC AN TOÀN THÔNG TIN

– Chiến dịch tấn công APT: Chiến dịch “VEILDrive” lợi dụng các dịch vụ của Microsoft để phát tán mã độc và né tránh bị phát hiện.

– Cảnh báo: Synology phát hành bản vá cho lỗi RCE nghiêm trọng “không chạm” đe dọa hàng triệu thiết bị NAS.

Chiến dịch tấn công APT: Chiến dịch “VEILDrive” lợi dụng các dịch vụ của Microsoft để phát tán mã độc và né tránh bị phát hiện

APT 45.jpeg

Các chuyên gia bảo mật đã phát hiện một chiến dịch tấn công có tên “VEILDrive” lợi dụng các dịch vụ của Microsoft như Teams, SharePoint, Quick Assist, và OneDrive nhằm phát tán mã độc và thực hiện các cuộc tấn công spear-phishing. Việc này giúp nhóm tấn công tránh bị phát hiện bởi các hệ thống giám sát thông thường.

Chiến dịch được ghi nhận lần đầu vào tháng 9/2024 khi các chuyên gia ứng cứu sự cố an toàn thông tin nhằm vào một tổ chức hạ tầng trọng yếu tại Mỹ, được mã hóa danh tính là “Org C.” Chiến dịch được cho là bắt đầu từ tháng trước, với mục tiêu chính là phát tán mã độc dựa trên Java và sử dụng OneDrive làm nền tảng C&C.

Nhóm tấn công khởi đầu chiến dịch bằng cách gửi tin nhắn trên Microsoft Teams tới bốn nhân viên của Org C, giả danh nhân viên IT và yêu cầu truy cập từ xa vào thiết bị của họ thông qua công cụ Quick Assist.

Điểm đặc biệt là các tin nhắn này không được gửi từ một tài khoản mới tạo mà từ tài khoản của một tổ chức khác đã bị khai thác trước đó, gọi là Org A. Sau khi có được sự tin tưởng từ các nhân viên, nhóm tấn công tiếp tục chia sẻ một đường dẫn tải xuống trên SharePoint cho tệp ZIP “Client_v8.16L.zip” được lưu trữ trên hạ tầng của một tổ chức thứ ba, gọi là Org B. Bên trong tệp ZIP này có chứa LiteManager, một công cụ truy cập từ xa, cùng các tệp khác. Sau khi truy cập thành công, kẻ tấn công sử dụng quyền truy cập để thiết lập lịch tác vụ nhằm thực thi LiteManager định kỳ.

Sau đó, đối tượng tấn công gửi cho người dùng một đường dẫn tải xuống trên SharePoint, dẫn tới tệp “Client_v8.16L.zip” được lưu trên hệ thống của một tổ chức khác. Bên trong tệp này chứa nhiều tệp tin, bao gồm LiteManager, một công cụ truy cập từ xa. Sau khi tải xuống, đối tượng tấn công thiết lập lịch trình tự động để LiteManager có thể chạy định kỳ trên hệ thống, đảm bảo duy trì quyền truy cập từ xa mà không cần sự can thiệp thủ công.

Tiếp đó, một tệp ZIP khác có tên “Cliento.zip” cũng được tải xuống với phương thức tương tự, chứa mã độc dạng Java Archive (.JAR) cùng bộ công cụ Java Development Kit (JDK) để kích hoạt mã độc này. Mã độc sử dụng tài khoản OneDrive do đối tượng kiểm soát, đăng nhập bằng thông tin xác thực Entra ID được mã hóa sẵn, và dùng OneDrive làm C&C để tải và thực thi các lệnh PowerShell trên hệ thống bị nhiễm thông qua Microsoft Graph API. Một phương án dự phòng cũng được tích hợp, với một socket HTTPS kết nối đến máy ảo Azure từ xa để nhận và thực thi lệnh PowerShell.

Được biết, đây không phải là lần đầu Quick Assist bị khai thác cho mục đích tấn công. Trước đó, vào tháng 5/2024, Microsoft đã cảnh báo về nhóm Storm-1811, giả danh nhân viên hỗ trợ kỹ thuật qua Quick Assist để phát tán mã độc tống tiền Black Basta. Thông tin về chiến dịch VEILDrive được công bố sau khi Windows thông báo phát hiện các cuộc tấn công lợi dụng dịch vụ lưu trữ tệp như SharePoint, OneDrive, và Dropbox làm phương thức né tránh các hệ thống phát hiện thông thường.

Danh sách một số IoC được ghi nhận

Danh sách IoC 45.png

Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/

Cảnh báo: Synology phát hành bản vá cho lỗi RCE nghiêm trọng “không chạm” đe dọa hàng triệu thiết bị NAS

Cảnh báo Synology.jpeg

Synology vừa phát hành bản vá cho lỗi nghiêm trọng gây ảnh hưởng tới DiskStation và BeePhotos, lỗ hổng này cho phép đối tượng tấn công khai thác thực thi mã từ xa.

Lỗ hổng này có mã CVE-2024-10443 và có tên RISK:STATION, đã được công khai tại cuộc thi Pwn2Own tại Ireland vào năm 2024. Cụ thể, đây là lỗ hổng “không chạm” và không yêu cầu xác thực, cho phép đối tượng tấn công chiếm quyền root trên thiết bị NAS mà không cần người dùng thực hiện bất kỳ thao tác nào. Điều này có nghĩa là đối tượng tấn công có thể xâm nhập vào hệ thống từ xa và phát tán mã độc mà không cần tương tác từ phía người dùng.

Các phiên bản bị ảnh hưởng bao gồm BeePhotos for BeeStation OS 1.0, BeePhotos for BeeStation OS 1.1, Synology Photos 1.6 cho DSM 7.2 và Synology Photos 1.7 cho DSM 7.2.

Hiện tại, Synology chưa công bố chi tiết kỹ thuật về lỗ hổng này để đảm bảo người dùng có thời gian cập nhật bản vá. Ước tính có khoảng 1-2 triệu thiết bị Synology đang nằm trong diện bị đe dọa trên không gian mạng.

Thông báo của Synology được đưa ra trong bối cảnh QNAP cũng đang xử lý ba lỗ hổng nghiêm trọng ảnh hưởng đến các dịch vụ QuRouter, SMB Service, và HBS 3 Hybrid Backup Sync. Ba lỗ hổng này đã xuất hiện tại cuộc thi Pwn2Own và có mã như sau:

 CVE-2024-50389 – Đã được vá trong QuRouter phiên bản mới hơn 2.4.5.032

 CVE-2024-50387 – Đã được vá trong SMB Service phiên bản 4.15.002 và các phiên bản mới hơn

 CVE-2024-50388 – Đã được vá trong HBS 3 Hybrid Backup Sync phiên bản mới hơn 25.1.1.673

Mặc dù chưa có ghi nhận về việc các lỗ hổng trên bị khai thác trong thực tế, người dùng vẫn nên cập nhật bản vá ngay khi có thể. Trong bối cảnh các cuộc tấn công nhằm vào thiết bị NAS để phát tán mã độc ngày càng gia tăng, đặc biệt là ransomware, việc bảo mật thiết bị trở nên quan trọng hơn bao giờ hết.

2. ĐIỂM YẾU, LỖ HỔNG

Trong tuần, các tổ chức quốc tế đã công bố và cập nhật ít nhất 833 lỗ hổng, trong đó có 292 lỗ hổng mức Cao, 467 lỗ hổng mức Trung bình, 27 lỗ hổng mức Thấp và 47 lỗ hổng chưa đánh giá. Trong đó có ít nhất 120 lỗ hổng cho phép chèn và thực thi mã lệnh.

Ngoài ra, tuần hệ thống kỹ thuật của NCSC cũng đã ghi nhận TOP 10 lỗ hổng đáng chú ý, là những lỗ hổng có mức độ nghiêm trọng cao hoặc đang bị khai thác trong môi trường thực tế bởi các nhóm tấn công.

Trong đó, đáng chú ý có 03 lỗ hổng ảnh hưởng các sản phẩm của Microsoft, Fortinet và X.org, cụ thể là như sau:

• CVE-2024-38094 (Điểm CVSS: 7.2 – Cao): Lỗ hổng tồn tại trên Microsoft SharePoint cho phép đối tượng tấn công thực thi mã từ xa. Hiện lỗ hổng đã có mã khai thác và đang bị khai thác trong thực tế bởi các nhóm tấn công

• CVE-2024-47575 (Điểm CVSS: 9.8 – Nghiêm trọng): Lỗ hổng tồn tại trên FortiManager cho phép đối tượng thực thi mã từ xa. Hiện lỗ hổng đã có mã khai thác và đang bị khai thác trong thực tế bởi các nhóm tấn công.

• CVE-2024- 9632 (Điểm CVSS: 7.8 – Cao): Lỗ hổng tồn tại trên máy chủ X.org cho phép đối tượng tấn công với quyền truy cập nội bộ vào máy chủ có thể khai thác lỗi buffer overflow, qua đó cho phép đối tượng thực hiện tấn công từ chối dịch vụ, leo thang đặc quyền. Hiện lỗ hổng chưa có mã khai thác và đang bị khai thác trong thực tế bởi các nhóm tấn công.

Danh sách TOP 10 lỗ hổng đáng chú ý trong tuần

Bảng CBT45-01.png

Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/

3. SỐ LIỆU, THỐNG KÊ

Tấn công DRDoS: Trong tuần có 32.599 (giảm so với tuần trước 32.883) thiết bị có khả năng bị huy động và trở thành nguồn tấn công DRDoS.

Tấn công Web: Trong tuần, có 33 trường hợp tấn công vào trang/cổng thông tin điện tử của Việt Nam: 33 trường hợp tấn công lừa đảo (Phishing), 0 trường hợp tấn công cài cắm mã độc.

Danh sách địa chỉ được sử dụng trong các mạng botnet

Bảng CBT45-02.png

4. TẤN CÔNG LỪA ĐẢO NGƯỜI DÙNG VIỆT NAM

Trong tuần, hệ thống của Cục An toàn thông tin đã ghi nhận 5.213 phản ánh trường hợp lừa đảo trực tuyến do người dùng Internet Việt Nam gửi về. Trong đó:

– 258 trường hợp phản ánh được tiếp nhận thông qua hệ thống Trang cảnh báo an toàn thông tin Việt Nam (canhbao.khonggianmang.vn).

– 4.955 trường hợp phản ánh cuộc gọi, tin nhắn lừa đảo thông qua tổng đài 156/5656

Dưới đây là một số trường hợp người dùng cần nâng cao cảnh giác.

Bảng CBT45-03.png

Chi tiết báo cáo xem tại: 2024_CBT45.pdf