2023_CBT_24_914a061a11.pdf

Trung tâm Giám sát an toàn không gian m ạ ng qu ố c gia C Ả NH BÁO TU Ầ N S ố 2 4 ( 12 / 6 /202 3 – 18 / 6 /2023) N Ộ I DUNG TU Ầ N 1. Tin t ứ c An toàn thông tin - Chi ế n d ị ch t ấ n công APT: Diicot m ở r ộ ng chi ế n d ị ch b ằ ng t ấ n c ông b ằ ng cách s ử d ụ ng Cayosin Botnet đ ể chuy ể n t ừ Cryptojacking sang t ấ n công DDoS - C ả nh báo : Phát hi ệ n l ỗ h ổ ng th ứ ba trong ứ ng d ụ ng MOVEit Transfer trong các cu ộ c t ấ n công hàng lo ạ t c ủ a ransomware Cl0p 2. Đi ể m y ế u, l ỗ h ổ ng - 687 l ỗ h ổ ng đư ợ c công b ố và c ậ p nh ậ t. - 07 l ỗ h ổ ng, nhóm l ỗ h ổ ng trên các s ả n ph ẩ m/d ị ch v ụ ph ổ bi ế n t ạ i Vi ệ t Nam. 3. S ố li ệ u, th ố ng kê - T ấ n công DRDoS - T ấ n công Web - T ấ n công l ừ a đ ả o ngư ờ i dùng Vi ệ t Nam: 3 36 trư ờ ng h ợ p l ừ a đ ả o do ngư ờ i dùng Internet Vi ệ t Nam thông báo 4. Tài li ệ u lưu tr ữ Chuyên m ụ c C ả nh báo tu ầ n t ạ i đ ị a ch ỉ : https://service.khonggianmang.vn https://khonggianmang.vn Ngu ồ n: https://thehackernews.com/2023/06/from - cryptojacking - to - ddos - attacks.html Tin t ứ c An toàn thông tin “ Diicot m ở r ộ ng chi ế n d ị ch b ằ ng t ấ n công b ằ ng cách s ử d ụ ng Cayosin Botnet đ ể chuy ể n t ừ Cryptojacking sang t ấ n công DDoS. ” Các nhà nghiên c ứ u b ả o m ậ t đã phát hi ệ n m ộ t s ố payload chưa t ừ ng đư ợ c ghi nh ậ n trư ớ c đây liên quan đ ế n m ộ t đ ố i tư ợ ng t ấ n công tên là Diicot, có ngu ồ n g ố c t ừ Romania, đi ề u này đã d ự báo kh ả năng th ự c hi ệ n cu ộ c t ấ n công t ừ ch ố i d ị ch v ụ (DDoS). Diicot (hay còn đư ợ c bi ế t đ ế n v ớ i tên là Mexals) l ầ n đ ầ u đư ợ c phát hi ệ n vào tháng 7 năm 2021, v ớ i kh ả năng s ử d ụ ng công c ụ Brute Force SSH d ự a trên Go v ớ i tên g ọ i Diicot Brute, nh ằ m m ụ c đích xâm nh ậ p vào các má y Linux trong m ộ t chi ế n d ị ch Cryptojacking (m ộ t bi ệ n pháp t ấ n công đào ti ể n ả o trái phép trên máy n ạ n nhân). Vào tháng 4 năm nay, các nhà nghiên c ứ u đã công b ố s ự tr ở l ạ i c ủ a chi ế n d ị ch này và đư ợ c cho là b ắ t đ ầ u t ừ tháng 10 năm 2022, mang l ạ i cho đ ố i tư ợ n g t ấ n công kho ả n l ợ i nhu ậ n trái phép tr ị giá 10.000 USD. Đ ố i tư ợ ng t ấ n công đã s ử d ụ ng m ộ t chu ỗ i payload trư ớ c khi cài đ ặ t vào công c ụ đào ti ề n ả o Monero. Các kh ả năng m ớ i bao g ồ m: vi ệ c s ử d ụ ng module worm SSH, tăng cư ờ ng cơ ch ế báo đ ộ ng, che gi ấ u payload hi ệ u qu ả hơn và m ộ t module phân tán trong m ạ ng LAN m ớ i. Phân tích m ớ i nh ấ t cho th ấ y nhóm t ấ n công đang tri ể n khai m ộ t botnet có s ẵ n có tên là Cayosin, m ộ t nhóm mã đ ộ c có các đ ặ c đi ể m chung v ớ i Qbot và Mirai. Vi ệ c phát tri ể n botnet là m ộ t bi ể u hi ệ n cho th ấ y đ ố i tư ợ ng t ấ n công đã có kh ả năng th ự c hi ệ n các cu ộ c t ấ n công DDoS. Ngoài ra, đ ố i tư ợ ng cũng th ự c hi ệ n các hành vi khác như Doxxing các nhóm t ấ n công đ ố i th ủ và s ự ph ụ thu ộ c c ủ a nh ữ ng nhóm đó vào Discord đ ể ra l ệ nh và ki ể m soát, đ ồ ng th ờ i th ự c hi ệ n vi ệ c đánh c ắ p d ữ li ệ u. Đ ố i tư ợ ng t ấ n công đang t ậ n d ụ ng ti ệ n ích Brute Force SSH đ ể t ạ o đi ề u ki ệ n cho vi ệ c cài đ ặ t thêm các mã đ ộ c như bi ế n th ể c ủ a Mirai ho ặ c công c ụ đào ti ề n ả o. M ộ t s ố công c ụ khác đư ợ c s ử d ụ ng b ở i Diicot bao g ồ m: • Chrome: M ộ t b ộ quét Internet d ự a trên Zmap có kh ả năng ghi l ạ i k ế t qu ả c ủ a quá trình quét vào file bios.txt. • Update: M ộ t file th ự c thi có nhi ệ m v ụ t ả i và ch ạ y các công c ụ như SSH Brute Force và Chrome, n ế u chúng chưa t ồ n t ạ i trong h ệ th ố ng c ủ a n ạ n nhân. • History: M ộ t sc ript shell có nhi ệ m v ụ ch ạ y Update. Công c ụ Brute Force SSH phân tích t ệ p văn b ả n đư ợ c t ạ o b ở i Chrome đ ể xâm nh ậ p vào các đ ị a ch ỉ IP đã xác đ ị nh. N ế u thành công, nó s ẽ thi ế t l ậ p k ế t n ố i t ừ xa t ớ i đ ị a ch ỉ IP đó. Sau đó, m ộ t chu ỗ i l ệ nh s ẽ đư ợ c th ự c thi đ ể t ạ o ra m ộ t h ồ sơ cho máy b ị nhi ễ m mã đ ộ c, s ử d ụ ng máy đó đ ể đào ti ề n ả o ho ặ c bi ế n nó thành m ộ t đi ể m phân phát mã đ ộ c n ế u CPU c ủ a máy b ị nhi ễ m có ít hơn b ố n lõi. Đ ể ngăn ch ặ n cu ộ c t ấ n công này, các cơ quan và t ổ ch ứ c nên tri ể n khai các quy t ắ c tư ờ ng l ử a và c ủ ng c ố h ệ th ố ng SSH đ ể h ạ n ch ế quy ề n truy c ậ p SSH và các đ ị a ch ỉ IP c ụ th ể Ngu ồ n : https://thehackernews.com/2023/06/third - flaw - uncovered - in - moveit - transfer.html Tin t ứ c An toàn thông tin “ C ả nh báo: Phát hi ệ n l ỗ h ổ ng th ứ ba trong ứ ng d ụ ng MOVEit Transfer trong các cu ộ c t ấ n công hàng lo ạ t c ủ a ransomware Cl0p ” Các nhóm t ấ n công g ầ n đây đã tri ể n khai chi ế n d ị ch t ấ n công s ử d ụ ng ransomware Cl0p đ ể nh ằ m m ụ c tiêu t ấ n công vào các công ty s ử d ụ ng ứ ng d ụ ng MOVEit Transfer. L ỗ h ổ ng b ả o m ậ t m ớ i đư ợ c phát hi ệ n là CVE - 2023 - 35708 (Đi ể m CVSS: 9.8) v ớ i m ứ c đ ộ ả nh hư ở ng Nghiêm tr ọ ng, cho phép đ ố i tư ợ ng t ấ n công nâng cao đ ặ c quy ề n và truy c ậ p trái phép vào h ệ th ố ng, gây ra l ỗ i SQL injection. Các công ty đang khuy ế n ngh ị khách hàng c ủ a mình vô h i ệ u hóa t ấ t c ả truy c ậ p HTTP và HTTPs đ ố i v ớ i MOVEit Transfer trên port 80 và port 443, nh ằ m b ả o v ệ h ệ th ố ng c ủ a h ọ trong khi b ả n vá đang đư ợ c c ậ p nh ậ t. Ngoài ra, l ỗ h ổ ng CVE - 2023 - 34362 (Đi ể m CVSS: 9.8) v ớ i m ứ c đ ộ ả nh hư ở ng Nghiêm tr ọ ng cũng đang đư ợ c ransomware Cl0p khai thác trong các cu ộ c t ấ n công nh ằ m đánh c ắ p d ữ li ệ u trái phép. Cl0p đã li ệ t kê 27 công ty đã b ị t ấ n công b ằ ng cách s ử d ụ ng l ỗ h ổ ng trong MOVEit Transfer dư ớ i m ạ ng darknet. Các t ổ ch ứ c có kh ả năng b ị ả nh hư ở ng l ớ n hơn nhi ề u so v ớ i con s ố ban đ ầ u đư ợ c đ ề ra trong chi ế n d ị ch Fortra Go Anywhere MFT c ủ a Cl0p, bao g ồ m nhi ề u cơ quan liên bang c ủ a Hoa K ỳ như B ộ Năng lư ợ ng. Theo các nhà nghiên c ứ u, g ầ n 31% trong hơn 1.400 máy ch ủ s ử d ụ ng MOVEit thu ộ c ngành d ị ch v ụ tài chính, 16% thu ộ c lĩnh v ự c chăm sóc s ứ c kh ỏ e, 9% thu ộ c lĩnh v ự c công ngh ệ thông tin và 8% thu ộ c các lĩnh v ự c chính ph ủ và quân s ự . Trong s ố này, có đ ế n 80% máy ch ủ có tr ụ s ở t ạ i Hoa K ỳ Progress phát hành các b ả n vá kh ắ c ph ụ c l ỗ h ổ ng trong MOVEit Transfer Progress Software đã phát hành các b ả n vá kh ắ c ph ụ c l ỗ h ổ ng trong MOVEit Transfer, bao g ồ m các phiên b ả n 2020.1.10 (12.1.10), 2021.0.8 (13.0.8), 2021.1.6 (13.1.6), 2022.0.6 (14.0.6), 2022.1.7 (14.1.7) và 2 023.0.3 (15.0.3). L ỗ h ổ ng SQL injection trong ứ ng d ụ ng MOVEit Transfer cho phép đ ố i tư ợ ng t ấ n công không đư ợ c xác th ự c có quy ề n truy c ậ p trái phép vào cơ s ở d ữ li ệ u MOVEit Transfer, đ ồ ng th ờ i g ử i m ộ t payload t ự t ạ o đ ế n đi ể m cu ố i (endpoint) c ủ a ứ ng d ụ ng MOV Eit Transfer t ừ đó cho phép đ ố i tư ợ ng t ấ n công ch ỉ nh s ử a và ti ế t l ộ n ộ i dung cơ s ở d ữ li ệ u c ủ a MOVEit. Đ ể ngăn ch ặ n các cu ộ c t ấ n công, ngư ờ i dùng đư ợ c khuy ế n cáo c ầ n c ậ p nh ậ t ngay b ả n vá m ớ i phát hành ngày 09/06/2023. N guy cơ t ấ n công m ạ ng t ừ đi ể m y ế u, l ỗ h ổ ng Trong tu ầ n, các t ổ ch ứ c qu ố c t ế đã công b ố và c ậ p nh ậ t ít nh ấ t 687 l ỗ h ổ ng, trong đó có 1 30 l ỗ h ổ ng m ứ c Cao, 1 57 l ỗ h ổ ng m ứ c Trung bình, 0 8 l ỗ h ổ ng m ứ c Th ấ p và 392 l ỗ h ổ ng chưa đánh giá. Trong đó có ít nh ấ t 78 l ỗ h ổ ng cho phép chèn và th ự c thi mã l ệ nh. H ệ th ố ng k ỹ thu ậ t c ủ a C ụ c ATTT ch ủ đ ộ ng rà quét trên không gian m ạ ng Vi ệ t Nam, đánh giá, th ố ng kê cho th ấ y có 07 l ỗ h ổ ng/nhóm l ỗ h ổ ng trên các s ả n ph ẩ m, d ị ch v ụ CNTT ph ổ bi ế n, có th ể gây ả nh hư ở ng l ớ n đ ế n ngư ờ i dùng ở Vi ệ t Nam : Nhóm 78 l ỗ h ổ ng trong Microsoft , Nhóm 0 5 l ỗ h ổ ng trong Linux , Nhóm 20 l ỗ h ổ ng trong F ortinet , Nhóm 40 l ỗ h ổ ng trong Wordpress , Nhóm 32 l ỗ h ổ ng trong Google , Nhóm 03 l ỗ h ổ ng trong Zimbra , Nhóm 08 l ỗ h ổ ng trong IBM Thông tin chi ti ế t v ề m ộ t s ố l ỗ h ổ ng trên các s ả n ph ẩ m/d ị ch v ụ ph ổ bi ế n t ạ i Vi ệ t Nam c ụ th ể như sau: M ộ t s ố l ỗ h ổ ng trên các s ả n ph ẩ m/d ị ch v ụ ph ổ bi ế n t ạ i Vi ệ t Nam: - Microsoft : CVE - 2023 - 33131 , CVE - 2023 - 32031 ,.. - Linux : CVE - 2023 - 3159 , CVE - 2023 - 3161 ,... - F ortinet : CVE - 2022 - 42478 , CVE - 2022 - 43953 ,.. - Wordpress : CVE - 2023 - 2556 , CVE - 2023 - 2781 ,... - Google : CVE - 2021 - 0701 , CVE - 2021 - 0945 ,.. - Zimbra : CVE - 2023 - 24030 , CVE - 2023 - 24031 ,.. - IBM : CVE - 2022 - 22307 , CVE - 2022 - 32752 ,.. Thông tin đi ể m y ế u, l ỗ h ổ ng TT S ả n ph ẩ m/ d ị ch v ụ Mã l ỗ i qu ố c t ế Mô t ả ng ắ n Ghi chú 1 M icrosoft CVE - 2023 - 32009 CVE - 2023 - 32031 CVE - 2023 - 33131 ... Nhóm 78 l ỗ h ổ ng trong Microsoft cho phép đ ố i tư ợ ng t ấ n công th ự c thi mã t ừ xa , th ự c hi ệ n leo thang đ ặ c quy ề n Đã có thông tin xác nh ậ n và b ả n vá 2 Linux CVE - 2023 - 3159 CVE - 2023 - 3161 CVE - 2023 - 3268 ... Nhóm 0 5 l ỗ h ổ ng trong Linux ( kernel ) cho phép đ ố i tư ợ ng t ấ n công làm rò r ỉ thông tin d ữ li ệ u, truy c ậ p và th ự c hi ệ n các hành đ ộ ng trái phép Đã có thông tin xác nh ậ n và b ả n vá 3 F ortinet CVE - 2022 - 42478 CVE - 2022 - 43953 CVE - 2023 - 22639 ... Nhóm 20 l ỗ h ổ ng trong F ortinet cho phép đ ố i tư ợ ng t ấ n công không c ầ n xác th ự c truy c ậ p vào các t ệ p và thư m ụ c, truy c ậ p và th ự c hi ệ n các hành đ ộ ng trái phép. Chưa có thông tin xác nh ậ n và b ả n vá 4 Wordpress CVE - 2023 - 2556 CVE - 2023 - 2557 CVE - 2023 - 2764 ... Nhóm 40 l ỗ h ổ ng trong Wordpress cho phép đ ố i tư ợ ng t ấ n công th ự c hi ệ n t ấ n công XSS, SQL injection , ti ế t l ộ thông tin nh ạ y c ả m, t ả i lên các t ệ p tùy ý, truy c ậ p và th ự c hi ệ n các hành đ ộ ng trái phép Đã có thông tin xác nh ậ n và b ả n vá 5 Google CVE - 2021 - 0701 CVE - 2021 - 0945 CVE - 2023 - 21121 ... Nhóm 32 l ỗ h ổ ng trong Google (A ndroid ,..) cho phép đ ố i tư ợ ng t ấ n công truy c ậ p và th ự c hi ệ n các hành đ ộ ng trái phép Chưa có thông tin xác nh ậ n và b ả n vá 6 Z imbra CVE - 2023 - 24030 CVE - 2023 - 24031 CVE - 2023 - 24032 Nhóm 03 l ỗ h ổ ng trong Z imbra cho phép đ ố i tư ợ ng t ấ n công thi mã JavaScript tùy ý d ẫ n đ ế n l ộ l ọ t thông tin d ữ li ệ u, th ự c hi ệ n leo thang đ ặ c quy ề n, t ruy c ậ p và th ự c hi ệ n các hành đ ộ ng trái phép. Chưa có thông tin xác nh ậ n và b ả n vá 7 IBM CVE - 2022 - 22307 CVE - 2022 - 32752 CVE - 2022 - 32757 ... Nhóm 08 l ỗ h ổ ng trong IBM phép đ ố i tư ợ ng t ấ n công truy c ậ p và th ự c hi ệ n các hành đ ộ ng trái phép Chưa có thông tin xác nh ậ n và b ả n vá Thông kê nguy cơ, các cu ộ c t ấ n công m ạ ng vào Vi ệ t Nam T ấ n công DRDoS T ấ n công Web Tu ầ n v ừ a qua t ạ i Vi ệ t Nam, có r ấ t nhi ề u máy ch ủ , thi ế t b ị có th ể tr ở thành ngu ồ n phát tán t ấ n công DRDoS . Trong tu ầ n có 5 3 2 43 , ( gi ả m so v ớ i tu ầ n trư ớ c 54.215 ) thi ế t b ị có kh ả năng b ị huy đ ộ ng và tr ở thành ngu ồ n t ấ n công DRDoS. Các thi ế t b ị này đang m ở s ử d ụ ng các d ị ch v ụ NTP (123), DNS (53), Chargen (19). Dư ớ i đây là bi ể u đ ồ th ố ng kê thi ế t b ị theo c ổ ng d ị ch v ụ ph ổ bi ế n trong tu ầ n. Trong tu ầ n, có 262 trư ờ ng h ợ p t ấ n công vào trang/c ổ ng thông tin đi ệ n t ử c ủ a Vi ệ t Nam: 238 trư ờ ng h ợ p t ấ n công l ừ a đ ả o (Phishing), 24 trư ờ ng h ợ p t ấ n công cài c ắ m mã đ ộ c. Trên th ế gi ớ i có nhi ề u các trang web gi ả m ạ o các t ổ ch ứ c, doanh nghi ệ p, nhà cung c ấ p, d ị ch v ụ l ớ n như: Các m ạ ng xã h ộ i, ngân hàng, thư đi ệ n t ử ,v.v...Vi ệ t Nam có nhi ề u ngư ờ i dùng các d ị ch v ụ , ứ ng d ụ ng nư ớ c ngoài (c ả mi ễ n phí và tính phí) như c ác m ạ ng xã h ộ i, Payment, Apple, Paypal,v.v... vì v ậ y ngư ờ i dùng c ầ n ph ả i h ế t s ứ c c ả nh giác v ớ i nh ữ ng trang web gi ả m ạ o đ ể đánh c ắ p tài kho ả n. T ấ n công Phishing Danh sách IP/tên mi ề n đ ộ c h ạ i có nhi ề u k ế t n ố i t ừ Vi ệ t Nam differentia.ru : 15173 IP xjpakmdcfuqe.ru : 283 IP disorderstatus.ru : 7138 IP xjpakmdcfuqe.in : 250 IP atomictrivia.ru : 3511 IP restlesz.su : 383 IP xjpakmdcfuqe.biz : 505 IP amnsreiuojy.ru : 823 IP xjpakmdcfuqe.com : 333 IP hzmksreiuojy.ru : 81 IP T ấ n công l ừ a đ ả o ngư ờ i dùng Vi ệ t Nam Trong tu ầ n đã có 3 36 ph ả n ánh trư ờ ng h ợ p l ừ a đ ả o do ngư ờ i dùng Internet Vi ệ t Nam ph ả n ánh v ề Trung tâm Giám sát an toàn không gian m ạ ng qu ố c gia (NCSC) qua h ệ th ố ng t ạ i đ ị a ch ỉ https://canhbao.khonggianmang.vn. Qua ki ể m tra, phân tích có nhi ề u trư ờ ng h ợ p l ừ a đ ả o gi ả m ạ o website c ủ a ngân hàng, các trang thương m ạ i đi ệ n t ử ... Dư ớ i đây là m ộ t s ố trư ờ ng h ợ p ngư ờ i dùng c ầ n nâng cao c ả nh giác. STT Webs ite l ừ a đ ả o Ghi chú 1 dienmayxanh24h.net Website gi ả m ạ o Đi ệ n máy xanh 2 chanlemomo.vin Website gi ả m ạ o ví đi ệ n t ử Momo 3 amg187208.com Website gi ả m ạ o sàn TMĐT Lazada 4 eeeesss.xyz net.lsipes.com ... Website l ừ a đ ả o Khuy ế n ngh ị đ ố i v ớ i các cơ quan, đơn v ị “ N Ỗ L Ự C Đ Ể KHÔNG GIAN M Ạ NG VI Ệ T NAM LUÔN AN TOÀN, LÀNH M Ạ NH ” 1. Đối với các nguy cơ, cảnh báo đã được đề cập trong phần Tin tức an toàn thông tin, Quý đơn vị cần thường xuyên cập nhật thông tin (như các chiến dịch tấn công của các nhóm APT, thông tin IoC kèm theo từng chiến dịch, điểm yếu lỗ hổng đang bị lợi dụng để khai thác,...), rà soát trên các hệ thống thống thông tin để phát hiện và ngăn chặn, xử lý kịp thời. *** 2. Đối với các điểm yếu, lỗ hổng trong phần Lỗ hổng bảo mật , Quý đơn vị cần lưu ý theo dõi và cập nhật bản vá cho các lỗ hổng li ên quan đến sản phẩm đang sử dụng. Ngoài ra, những đơn vị đã có tài khoản trên “Hệ thống Cảnh báo điểm yếu và rà soát lỗ hổng bảo mật tự động” tại địa chỉ https://service.khonggianmang.vn, quản trị viên có thể thêm các sản phẩm đang sử dụng để giám sát và nhận cảnh báo ngay khi có lỗ hổng mới phát sinh. *** 3. Đối với các nguy cơ về tấn công từ chối dịch vụ, tấn công web trong phần Thống kê nguy cơ, các cuộc tấn công tại Việt Nam , Quý đơn vị cần rà soát, hạn chế tối đa việc mở các cổng dịch vụ có thể bị lợi dụng để thực hiện tấn công từ chối dịch vụ; thường xuyên kiểm tra, rà soát máy chủ web để kịp thời phát hiện và xử lý nguy cơ tấn công. Bên cạnh đó, đối với các IP/tên miền được đề cập trong mục Danh sách IP/tên miền độc hại có nhiều kết nối từ Việt Nam , Quý đơn vị cần kiểm tra và xử lý các thiết bị trong toàn bộ hệ thống mạng nếu có dấu hiệu kết nối đến các tên miền độc hại mà Cục ATTT đã chia sẻ. *** 4. Đối với các website giả mạo thống kê tại mục Tấn công lừa đảo người dùng Việt Nam , Quý đơn vị cần chú ý quan tâm không truy cập vào các trang web được nêu để tránh nguy cơ bị tấn công lừa đảo, nâng cao nhận thức bản thân và tuyên truyền cho bạn bè, người thân và những người xung quanh tránh việc trở thành nạn nhân của những cuộc tấn công lừa đảo này.