sImplePerson
Member
-
23/03/2020
-
11
-
28 bài viết
Hacker sử dụng Follina để tấn công chính phủ Hoa Kỳ và EU
Hacker do một số chính phủ hậu thuẫn đã cố sử dụng lỗ hổng của Microsoft để tấn công các mục tiêu thuộc chính phủ Hoa Kỳ và Liên minh Châu Âu.
Theo các nhà nghiên cứu tại Proofpoint, các tin tặc được nhà nước bảo trợ đã cố gắng lợi dụng lỗ hổng Follina trong Microsoft Office, nhằm mục đích khai thác dựa trên email vào các mục tiêu của chính phủ Hoa Kỳ và EU thông qua các chiến dịch lừa đảo.
Các nhà nghiên cứu của Proofpoint đã phát hiện ra các cuộc tấn công thực hiện bởi các hacker có quan hệ với một số chính phủ nhắm vào nhân viên chính phủ Hoa Kỳ và EU. Các email độc hại có nội dung là thông tin tuyển dụng giả mạo, hứa hẹn tăng 20% tiền lương và dụ dỗ người nhận tải xuống tệp đính kèm theo.
Trong một tuyên bố trên Twitter, Sherrod DeGrippo, phó chủ tịch nghiên cứu mối đe dọa tại Proofpoint, cho biết khoảng 10 khách hàng của Proofpoint đã nhận được hơn 1.000 thông điệp như vậy.
Phần đính kèm độc hại nhắm vào lỗi thực thi mã từ xa CVE-2022-30190, có tên là Follina. Được phát hiện vào tháng trước, lỗ hổng này khai thác lỗ hổng của Microsoft Windows Support Diagnostic Tool. Như Microsoft đã giải thích trong một bài đăng trên blog, lỗi “tồn tại khi MSDT được gọi bằng giao thức URL từ một ứng dụng như Word. Kẻ tấn công khai thác thành công lỗ hổng này có thể chạy mã tùy ý với các đặc quyền của ứng dụng”.
Việc lợi dụng lỗ hổng của hacker do nhà nước bảo trợ chỉ là trường hợp mới nhất trong một chuỗi các cuộc tấn công liên quan đến Follina.
Nếu khai thác thành công, những kẻ tấn công có thể sử dụng lỗ hổng Follina để cài đặt chương trình, xem, thay đổi hoặc xóa dữ liệu hoặc tạo tài khoản mới với quyền người dùng.
Proofpoint cho biết file độc hại được sử dụng trong các chiến dịch lừa đảo tuyển dụng, nếu được tải xuống, sẽ thực thi một tập lệnh có thể kiểm tra môi trường ảo hóa để lạm dụng và “đánh cắp thông tin từ các trình duyệt cục bộ, mail client và dịch vụ tệp, tiến hành kiểm tra lại máy và sau đó nén nó cho exfil.”
Proofpoint giải thích trong một tweet: "Cuộc tấn công mở rộng được thực hiện bởi tập lệnh Powershell thứ hai cho thấy một tác nhân đang cố gắng thu thập thông tin trên máy tính mục tiêu".
Các nhà nghiên cứu lo ngại rằng cuộc tấn công mở rộng này có mối liên hệ trong mục đích thu thập thông tin của một số nhà nước.
Theo các nhà nghiên cứu tại Proofpoint, các tin tặc được nhà nước bảo trợ đã cố gắng lợi dụng lỗ hổng Follina trong Microsoft Office, nhằm mục đích khai thác dựa trên email vào các mục tiêu của chính phủ Hoa Kỳ và EU thông qua các chiến dịch lừa đảo.
Các nhà nghiên cứu của Proofpoint đã phát hiện ra các cuộc tấn công thực hiện bởi các hacker có quan hệ với một số chính phủ nhắm vào nhân viên chính phủ Hoa Kỳ và EU. Các email độc hại có nội dung là thông tin tuyển dụng giả mạo, hứa hẹn tăng 20% tiền lương và dụ dỗ người nhận tải xuống tệp đính kèm theo.
Trong một tuyên bố trên Twitter, Sherrod DeGrippo, phó chủ tịch nghiên cứu mối đe dọa tại Proofpoint, cho biết khoảng 10 khách hàng của Proofpoint đã nhận được hơn 1.000 thông điệp như vậy.
Phần đính kèm độc hại nhắm vào lỗi thực thi mã từ xa CVE-2022-30190, có tên là Follina. Được phát hiện vào tháng trước, lỗ hổng này khai thác lỗ hổng của Microsoft Windows Support Diagnostic Tool. Như Microsoft đã giải thích trong một bài đăng trên blog, lỗi “tồn tại khi MSDT được gọi bằng giao thức URL từ một ứng dụng như Word. Kẻ tấn công khai thác thành công lỗ hổng này có thể chạy mã tùy ý với các đặc quyền của ứng dụng”.
Việc lợi dụng lỗ hổng của hacker do nhà nước bảo trợ chỉ là trường hợp mới nhất trong một chuỗi các cuộc tấn công liên quan đến Follina.
Nếu khai thác thành công, những kẻ tấn công có thể sử dụng lỗ hổng Follina để cài đặt chương trình, xem, thay đổi hoặc xóa dữ liệu hoặc tạo tài khoản mới với quyền người dùng.
Proofpoint cho biết file độc hại được sử dụng trong các chiến dịch lừa đảo tuyển dụng, nếu được tải xuống, sẽ thực thi một tập lệnh có thể kiểm tra môi trường ảo hóa để lạm dụng và “đánh cắp thông tin từ các trình duyệt cục bộ, mail client và dịch vụ tệp, tiến hành kiểm tra lại máy và sau đó nén nó cho exfil.”
Proofpoint giải thích trong một tweet: "Cuộc tấn công mở rộng được thực hiện bởi tập lệnh Powershell thứ hai cho thấy một tác nhân đang cố gắng thu thập thông tin trên máy tính mục tiêu".
Các nhà nghiên cứu lo ngại rằng cuộc tấn công mở rộng này có mối liên hệ trong mục đích thu thập thông tin của một số nhà nước.
Nguồn: Threat post
Chỉnh sửa lần cuối bởi người điều hành: