Thông tin cảnh báo

Cảnh báo an toàn thông tin Tuần 44/2024 ·

Đăng vào bởi admin

Cảnh báo an toàn thông tin Tuần 44/2024

08/11/2024

1. TIN TỨC AN TOÀN THÔNG TIN

– Chiến dịch tấn công APT: Nhóm APT Evasive Panda sử dụng bộ công cụ CloudScout để đánh cắp cookie phiên đăng nhập từ các dịch vụ đám mây.

– Cảnh báo: Lỗ hổng RCE trên Microsoft Sharepoint bị khai thác để xâm nhập vào hệ thống mạng của doanh nghiệp.

Chiến dịch tấn công APT: Nhóm APT Evasive Panda sử dụng bộ công cụ CloudScout để đánh cắp cookie phiên đăng nhập từ các dịch vụ đám mây

APT 44.jpeg

Gần đây, các tổ chức chính phủ và tôn giáo tại Đài Loan đã trở thành mục tiêu của nhóm APT Evasive Panda có nguồn gốc từ Trung Quốc. Trong chiến dịch tấn công này, Evasive Panda sử dụng bộ công cụ hậu khai thác có tên CloudScout để xâm nhập và thu thập dữ liệu. Bộ công cụ này có khả năng thu thập dữ liệu từ nhiều dịch vụ đám mây khác nhau nhờ vào các cookie phiên web bị đánh cắp. Thông qua một plugin, CloudScout hoạt động đồng bộ với MgBot – bộ khung mã độc đặc trưng của nhóm Evasive Panda.

ESET phát hiện rằng mã độc dựa trên nền tảng .NET này đã xuất hiện từ khoảng tháng 05/2022 đến tháng 02/2023, với tổng cộng 10 module viết bằng C#, trong đó có ba module chuyên thu thập dữ liệu từ Google Drive, Gmail và Outlook. Evasive Panda, còn được biết đến với tên gọi Bronze Highland, Daggerfly, và StormBamboo, là một nhóm gián điệp mạng chuyên tấn công vào các tổ chức tại Đài Loan và Hồng Kông. Nhóm này cũng nổi tiếng với các cuộc tấn công watering hole và chuỗi cung ứng, đặc biệt nhắm vào cộng đồng người Tây Tạng.

Điểm nổi bật của nhóm APT Evasive Panda là khả năng triển khai nhiều phương thức tấn công, bao gồm khai thác các lỗ hổng bảo mật mới công bố và tấn công chuỗi cung ứng bằng DNS poisoning, nhằm xâm nhập vào mạng lưới nạn nhân và triển khai MgBot và Nightdoor.

Phân tích cho thấy, các module CloudScout được thiết kế để chiếm dụng các phiên đã được xác thực trên trình duyệt web bằng cách đánh cắp cookie và sử dụng chúng để truy cập trái phép vào Google Drive, Gmail và Outlook. Các module này được triển khai qua một plugin của MgBot viết bằng C++.

CloudScout được xây dựng dựa trên gói CommonUtilities, cung cấp các thư viện cần thiết ở cấp độ thấp cho các module hoạt động, bao gồm:

 HTTPAccess – hàm xử lý kết nối giao thức HTTP;

 ManagedCookie – hàm quản lý cookie cho các yêu cầu web giữa CloudScout và dịch vụ mục tiêu;

 Logger;

 SimpleJSON.

Dữ liệu được thu thập từ ba module – bao gồm danh sách thư mục thư, email (kèm theo tệp đính kèm), và các tệp có định dạng nhất định (.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pdf và .txt) – sẽ được nén thành file ZIP trước khi trích xuất thông qua MgBot hoặc Nightdoor. Những cơ chế bảo mật mới do Google phát hành, như Device Bound Session Credentials (DBSC) và App-Bound Encryption, dự kiến sẽ làm cho các mã độc dựa trên cookie trở nên lỗi thời.

Thông tin về nhóm tấn công Evasive Panda và bộ công cụ CloudScout được công bố trong bối cảnh chính phủ Canada cáo buộc một nhóm tấn công có liên quan đến Trung Quốc đã tiến hành các hoạt động do thám kéo dài nhiều tháng trên nhiều lĩnh vực tại quốc gia này.

Danh sách một số IoC được ghi nhận

Danh sách IoC.jpg

Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/

Cảnh báo: Lỗ hổng RCE trên Microsoft Sharepoint bị khai thác để xâm nhập vào hệ thống mạng của doanh nghiệp

Cảnh báo Microsoft SharePoint.jpeg

Gần đây, các chuyên gia bảo mật đã ghi nhận lỗ hổng RCE (thực thi mã từ xa) có mã CVE-2024-38094 bị khai thác trong thực tế nhằm đạt quyền truy cập tới hệ thống mạng doanh nghiệp.

Lỗ hổng CVE-2024-38094 (Điểm CVSS: 7.2) là một lỗ hổng RCE ảnh hưởng đến Microsoft SharePoint, nền tảng web phổ biến được sử dụng làm hệ thống mạng nội bộ, quản lý tài liệu và công cụ hợp tác có khả năng tích hợp với Microsoft 365. Microsoft đã phát hành bản vá vào ngày 9/7/2024 trong đợt cập nhật Patch Tuesday tháng 7. Lỗ hổng này cũng đã được CISA thêm vào danh sách KEV vào tuần trước, nhưng chi tiết về cách khai thác chưa được tiết lộ.

Theo phân tích, đã phát hiện đối tượng tấn công đã lợi dụng lỗ hổng này để truy cập trái phép vào máy chủ SharePoint và cài đặt webshell, sử dụng mã khai thác PoC đã được công khai.

Sau khi truy cập được vào hệ thống, đối tượng tấn công tiến hành leo thang đặc quyền bằng cách chiếm quyền của một tài khoản dịch vụ Microsoft Exchange có quyền quản trị domain, từ đó gia tăng khả năng kiểm soát. Tiếp đến, đối tượng cài đặt phần mềm diệt virus Huorong nhằm tạo xung đột, vô hiệu hóa các giải pháp bảo mật hiện có và giúp họ cài đặt Impacket để di chuyển ngang qua hệ thống. Với quyền kiểm soát, đối tượng sử dụng Mimikatz để thu thập thông tin xác thực, FRP để truy cập từ xa và thiết lập các tác vụ định kỳ để duy trì kết nối.

Trong bối cảnh lỗ hổng đang bị khai thác trong thực tế như trên, các quản trị viên hệ thống được khuyến nghị cập nhật SharePoint sớm nhất có thể để đảm bảo an toàn cho hệ thống.

2. ĐIỂM YẾU, LỖ HỔNG

Trong tuần, các tổ chức quốc tế đã công bố và cập nhật ít nhất 958 lỗ hổng, trong đó có 306 lỗ hổng mức Cao, 430 lỗ hổng mức Trung bình, 13 lỗ hổng mức Thấp và 209 lỗ hổng chưa đánh giá. Trong đó có ít nhất 153 lỗ hổng cho phép chèn và thực thi mã lệnh.

Ngoài ra, tuần hệ thống kỹ thuật của NCSC cũng đã ghi nhận TOP 10 lỗ hổng đáng chú ý, là những lỗ hổng có mức độ nghiêm trọng cao hoặc đang bị khai thác trong môi trường thực tế bởi các nhóm tấn công.

Trong đó, đáng chú ý có 03 lỗ hổng ảnh hưởng các sản phẩm của FortiManager, Google Chrome và Labstack, cụ thể là như sau:

• CVE-2024-47575 (Điểm CVSS: 9.8 – Nghiêm trọng): Lỗ hổng tồn tại trên FortiManager cho phép đối tượng thực thi mã từ xa. Hiện lỗ hổng đã có mã khai thác và đang bị khai thác trong thực tế bởi các nhóm tấn công.

• CVE-2024-4947 (Điểm CVSS: 8.8 – Cao): Lỗ hổng tồn tại trên Google Chrome là lỗ Type Confusion trên V8 cho phép đối tượng tấn công thực thi mã từ xa trong môi trường sandbox. Hiện lỗ hổng đã có mã khai thác và đang bị khai thác trong thực tế bởi các nhóm tấn công.

• CVE-2022-40083 (Điểm CVSS: 9.6 – Nghiêm trọng): Lỗ hổng tồn tại Labstack Echo là lỗi điều hướng mở cho phép đối tượng tấn công thực hiện SSRF lên hệ thống. Hiện lỗ hổng đã có mã khai thác và đang bị khai thác trong thực tế bởi các nhóm tấn công.

Danh sách TOP 10 lỗ hổng đáng chú ý trong tuần

Bảng CBT-01.png

Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/

3. SỐ LIỆU, THỐNG KÊ

Tấn công DRDoS: Trong tuần có 32.883 (giảm so với tuần trước 36.974) thiết bị có khả năng bị huy động và trở thành nguồn tấn công DRDoS.

Tấn công Web: Trong tuần, có 33 trường hợp tấn công vào trang/cổng thông tin điện tử của Việt Nam: 33 trường hợp tấn công lừa đảo (Phishing), 0 trường hợp tấn công cài cắm mã độc.

Danh sách địa chỉ được sử dụng trong các mạng botnet

Bảng CBT-02.png

4. TẤN CÔNG LỪA ĐẢO NGƯỜI DÙNG VIỆT NAM

Trong tuần, hệ thống của Cục An toàn thông tin đã ghi nhận 2.784 phản ánh trường hợp lừa đảo trực tuyến do người dùng Internet Việt Nam gửi về. Trong đó:

– 201 trường hợp phản ánh được tiếp nhận thông qua hệ thống Trang cảnh báo an toàn thông tin Việt Nam (canhbao.khonggianmang.vn).

– 2.583 trường hợp phản ánh cuộc gọi, tin nhắn lừa đảo thông qua tổng đài 156/5656

Dưới đây là một số trường hợp người dùng cần nâng cao cảnh giác.

Bảng CBT-03.png

Chi tiết báo cáo xem tại: 2024_CBT44.pdf