Tình hình an toàn thông tin trên thế giới tháng 09 năm 2020

Trong tháng 9 năm 2020, tình hình an toàn thông tin trên thế giới có các thông tin nổi bật sau:

1. Nhóm đối tượng tấn công APT Evinum sử dụng RAT Python mới trong các chiến dịch tấn công

Evilnum được phát hiện vào năm 2018, kể từ đó nhóm đã sử dụng nhiều chiến lược tấn công chống lại các công ty fintech, nhằm mục tiêu ở Anh và EU, Canada, Australia.

Các công cụ tấn công của Evinum được viết bằng JavaScript và C#, gần đây các nhà nghiên cứu đã phát hiện Evilnum sử dụng thêm 1 RAT mới được viết bằng Python được gọi là PyVil, cho phép đối tượng tấn công lấy cắp dữ liệu, chụp ảnh màn hình, đánh cắp thông tin xác thực,… Nhóm tấn công APT Evilnum đã sử dụng PyVil nhằm mục tiêu vào các tổ chức công nghệ tài chính bằng các cuộc tấn công lừa đảo.

Gần đây, các nhà nghiên cứu cho biết, Evilnum dường như đang thay đổi quy trình của nó để che giấu hoạt động tốt hơn. Trong giai đoạn lây nhiễm, nhóm sử dụng các phiên bản sửa đổi của các tệp thực thi hợp pháp để tránh bị phát hiện Evilnum phát tán mã độc bằng các email lưu trữ ZIP chứa các tệp LNK được ngụy trang dưới dạng tài liệu cá nhân, ví dụ như thẻ tín dụng, bằng lái xe, hóa đơn điện nước.

PyVil có nhiều khả năng khác nhau. Nó có thể tải xuống các tập lệnh Python bổ sung, lấy cắp thông tin đăng nhập, có khả năng cung cấp nhiều phần mềm độc hại và tệp thực thi hơn, cũng như chạy các lệnh trên hệ thống. Nó cũng có thể thực hiện ghi nhật ký, chụp ảnh màn hình và thu thập thông tin như các sản phẩm chống virus trên máy, thiết bị USB được kết nối và phiên bản Chrome đang chạy.

2. Cảnh báo Chiến dịch tấn công lừa đảo lợi dụng trang Box hợp pháp của Microsoft 365 để thu thập thông tin người dùng.

Nhóm nghiên cứu tại Armorblox đã phát hiện ra một chiến dịch tấn công vào tháng 6 năm 2020 thu thập thông tin đăng nhập của người dùng thông qua trang web lừa đảo được lưu trữ trên 1 trang Box hợp pháp từ Microsoft 365. Cách thức tấn công:

- Đối tượng tấn công gửi email đến nạn nhân với nội dung được cho là đến từ một nhà cung cấp bên thứ ba và yêu cầu người đọc xem một tài liệu tài chính nhạy cảm.

- Người dùng nhấp vào liên kết sẽ được chuyển hướng đến một trang lưu trữ trên Box, trang này chứa một tài liệu khác lưu trữ trên OneDrive. Nếu người dùng nhấp vào liên kết để truy cập tài liệu này, họ sẽ được chuyển hướng đến 1 trang lừa đảo cuối cùng được xây dựng như cổng đăng nhập của Office 365. Từ đó, cho phép đối tượng thu thập thông tin đăng nhập của người dùng.

Tất cả các email giả mạo được gửi đến nạn nhân đều có tên người gửi và tên miền từ nhà cung cấp bên thứ 3 hợp pháp (tidewaterhomefunding[.]com thuộc công ty cho vay thế chấp tại Virginia). Các nhà nghiên cứu nghi ngờ rằng đối tượng tấn công lấy thông tin đăng nhập của nhân viên Tidewater Home Funding và sử dụng tài khoản đó để thực hiện các cuộc tấn công.

Bằng cách lưu trữ trang lừa đảo trên Box, đối tượng tấn công sử dụng một số tên miền phổ biến để vượt qua bộ lọc bảo mật email và tránh sự nghi ngờ của nạn nhân.

3. Lỗ hổng trên máy chủ Domain Controller

Cục An toàn thông tin cho biết thêm, vào đầu tháng 9/2020, qua công tác theo dõi, giám sát an toàn thông tin, Trung tâm Giám sát an toàn không gian mạng quốc gia thuộc Cục đã phát hiện có một số mã khai thác công khai trên Internet. Những mã khai thác này có thể sử dụng để tấn công vào máy chủ Domain Controller qua đó kiểm soát hệ thống thông tin của các cơ quan, tổ chức trong những chiến dịch tấn công nguy hiểm. Trong khi đó, việc giải quyết lỗ hổng nghiêm trọng “Zerologon” trên máy chủ Domain Controller đang được Microsoft triển khai trong bản phát hành theo 2 giai đoạn. Tuy nhiên, việc phát hành bản vá đầy đủ cho lỗ hổng này được Microsoft dự kiến đến quý 1/2021 mới hoàn thành.

Đặc biệt, thời điểm hiện tại, một số nhóm chuyên thực hiện tấn công APT có dấu hiệu tận dụng lỗ hổng này để tấn công sâu vào hệ thống thông tin của các cơ quan, tổ chức. Do đó, để đảm bảo an toàn thông tin cho hệ thống thông tin của đơn vị mình, góp phần bảo đảm an toàn cho không gian mạng Việt Nam, Cục An toàn thông tin vừa yêu cầu các cơ quan, đơn vị triển khai quyết liệt một số khuyến nghị. Các cơ quan, đơn vị được đề nghị kiểm tra, rà soát và có phương án ngăn chặn những nhóm đối tượng tấn công tận dụng lỗ hổng để thực hiện các chiến dịch tấn công APT nguy hiểm. Đồng thời, tăng cường giám sát và sẵn sàng phương án xử lý khi phát hiện có dấu hiệu bị khai thác, tấn công mạng. Đối với các cơ quan, tổ chức có nhân sự kỹ thuật tốt, có thể thử nghiệm xâm nhập vào hệ thống thông qua lỗ hổng này.

Nguồn: Cục Công nghệ thông tin và Dữ liệu tài nguyên môi trường - Bộ Tài nguyên và Môi trường