MrQuậy
Well-Known Member
-
24/09/2013
-
178
-
2.221 bài viết
Lỗ hổng Microsoft Office bị khai thác để tấn công APT
Một lỗ hổng Office của Microsoftđã được vá từ năm 2015, đến nay lại bị khai thác để tiến hành tấn công có chủ đích (APT) trong các hoạt động nhằm mục tiêu đến nhiều tổ chức ở châu Á.
Lỗ hổng thực thi mã từ xa, CVE-2015-2545, đã bị khai thác bởi một nhóm APT có tên Platinum hay TwoForOne trước khi Microsoft phát hành bản vá vào tháng 9/2015 và một bản vá toàn diện hơn 2 tháng sau đó. Nhóm tin tặc được cho là nhắm mục tiêu vào các tổ chức tại Nam và Đông Nam Á, đã hoạt động ít nhất là từ năm 2009.
CVE-2015-2545 có thể bị khai thác để thực thi mã tùy ý thông qua các tập tin hình ảnh Encapsulated PostScript (EPS) đặc biệt được chèn vào tài liệu Office. Mã khai thác lỗ hổng này có thể tránh các cơ chế an toàn như ASLR (Address Space Layout Randomization) và DEP (Data Execution Prevention).
Theo Kaspersky Lab, Platinum là nhóm đầu tiên khai thác CVE-2015-2545 để phát tán mã độc, nhưng nhóm này đã dừng sử dụng lỗ hổng sau khi Microsoft phát hành bản vá.
Một trong những nhóm APT đầu tiên lợi dụng CVE-2015-2545 sau khi lỗ hổng đã được vá bởi Microsoft là EvilPost, một nhóm tin tặc có liên hệ với Trung Quốc, sử dụng tài liệu Word làm vũ khí tấn công một nhà thầu quốc phòng của Nhật Bản trong tháng 12/2015.
Vào khoảng thời gian đó, một tin tặc Trung Quốc có tên APT16, sử dụng mã khai thác lỗ hổng Office này để tấn công các cơ quan chính phủ và truyền thông ở Đài Loan. Các tổ chức tại Đài Loan cũng trở thành mục tiêu của một nhóm tin tặc có tên SVCMONDR trong tháng 12/2015.
Các cuộc tấn công của SVCMONDR có điểm tương đồng với các hoạt động do một nhóm tin tặc Danti tiến hành. Tuy nhiên, các nhà nghiên cứu không thể xác định chính xác SVCMONDR và Danti thuộc cùng một nhóm hay đơn giản chỉ sử dụng mã độc tương tự nhau.
Nhóm tin tặc Danti từng nhằm mục tiêu vào Kazakhstan, Kyrgyzstan, Uzbekistan, Myanmar, Nepal và Philippines. Danti được cho là một nhóm mới, có liên quan đến các gián điệp mạng NetTraveler và DragonOK, bắt đầu hoạt động từ 2013 và 2014.
Danti sử dụng CVE-2015-2545 trong tháng 2 và 3/2016 để khởi phát các cuộc tấn công vào các tổ chức ngoại giao Ấn Độ, trong đó có nhiều Đại sứ quán. Các hoạt động của nhóm cũng được Palo Alto Networks phân tích, có kết nối giữa mã độc được sử dụng trong các cuộc tấn công nhằm vào Đại sứ quán Ấn Độ và mã độc được sử dụng năm 2013 trong một chiến dịch mang tên Operation Ke3chang. Nhiều bằng chứng cho thấy tin tặc có trụ sở tại Trung Quốc.
Palo Alto Networks gần đây cũng phân tích một chiến dịch nhóm APT lợi dụng lỗ hổng Office để phát tán biến thể Poison Ivy có tên là SPIVY để nhằm đến các tổ chức ở Hồng Kông.
Theo Kaspersky, tất cả các nhóm từng khai thác CVE-2015-2545 đều nhằm mục tiêu vào các tổ chức ở châu Á.
Ngoài các nhóm APT, tội phạm mạng truyền thống cũng lợi dụng mã khai thác office trong các chiến dịch thư rác.
Các nhà nghiên cứu Kaspersky cho biết, các cuộc tấn công này chủ yếu nhằm mục tiêu tổ chức tài chính ở châu Á. Cụ thể, các cuộc tấn công đã được ghi nhận tại Việt Nam, Philippines và Malaysia. Có nhiều lý do để tin rằng tội phạm mạng Nigeria đứng đằng sau. Trong một số trường hợp, cơ sở hạ tầng được sử dụng giống như những gì họ đã thấy khi phân tích trojan Adwind.
Lỗ hổng thực thi mã từ xa, CVE-2015-2545, đã bị khai thác bởi một nhóm APT có tên Platinum hay TwoForOne trước khi Microsoft phát hành bản vá vào tháng 9/2015 và một bản vá toàn diện hơn 2 tháng sau đó. Nhóm tin tặc được cho là nhắm mục tiêu vào các tổ chức tại Nam và Đông Nam Á, đã hoạt động ít nhất là từ năm 2009.
CVE-2015-2545 có thể bị khai thác để thực thi mã tùy ý thông qua các tập tin hình ảnh Encapsulated PostScript (EPS) đặc biệt được chèn vào tài liệu Office. Mã khai thác lỗ hổng này có thể tránh các cơ chế an toàn như ASLR (Address Space Layout Randomization) và DEP (Data Execution Prevention).
Theo Kaspersky Lab, Platinum là nhóm đầu tiên khai thác CVE-2015-2545 để phát tán mã độc, nhưng nhóm này đã dừng sử dụng lỗ hổng sau khi Microsoft phát hành bản vá.
Một trong những nhóm APT đầu tiên lợi dụng CVE-2015-2545 sau khi lỗ hổng đã được vá bởi Microsoft là EvilPost, một nhóm tin tặc có liên hệ với Trung Quốc, sử dụng tài liệu Word làm vũ khí tấn công một nhà thầu quốc phòng của Nhật Bản trong tháng 12/2015.
Vào khoảng thời gian đó, một tin tặc Trung Quốc có tên APT16, sử dụng mã khai thác lỗ hổng Office này để tấn công các cơ quan chính phủ và truyền thông ở Đài Loan. Các tổ chức tại Đài Loan cũng trở thành mục tiêu của một nhóm tin tặc có tên SVCMONDR trong tháng 12/2015.
Các cuộc tấn công của SVCMONDR có điểm tương đồng với các hoạt động do một nhóm tin tặc Danti tiến hành. Tuy nhiên, các nhà nghiên cứu không thể xác định chính xác SVCMONDR và Danti thuộc cùng một nhóm hay đơn giản chỉ sử dụng mã độc tương tự nhau.
Nhóm tin tặc Danti từng nhằm mục tiêu vào Kazakhstan, Kyrgyzstan, Uzbekistan, Myanmar, Nepal và Philippines. Danti được cho là một nhóm mới, có liên quan đến các gián điệp mạng NetTraveler và DragonOK, bắt đầu hoạt động từ 2013 và 2014.
Danti sử dụng CVE-2015-2545 trong tháng 2 và 3/2016 để khởi phát các cuộc tấn công vào các tổ chức ngoại giao Ấn Độ, trong đó có nhiều Đại sứ quán. Các hoạt động của nhóm cũng được Palo Alto Networks phân tích, có kết nối giữa mã độc được sử dụng trong các cuộc tấn công nhằm vào Đại sứ quán Ấn Độ và mã độc được sử dụng năm 2013 trong một chiến dịch mang tên Operation Ke3chang. Nhiều bằng chứng cho thấy tin tặc có trụ sở tại Trung Quốc.
Palo Alto Networks gần đây cũng phân tích một chiến dịch nhóm APT lợi dụng lỗ hổng Office để phát tán biến thể Poison Ivy có tên là SPIVY để nhằm đến các tổ chức ở Hồng Kông.
Theo Kaspersky, tất cả các nhóm từng khai thác CVE-2015-2545 đều nhằm mục tiêu vào các tổ chức ở châu Á.
Ngoài các nhóm APT, tội phạm mạng truyền thống cũng lợi dụng mã khai thác office trong các chiến dịch thư rác.
Các nhà nghiên cứu Kaspersky cho biết, các cuộc tấn công này chủ yếu nhằm mục tiêu tổ chức tài chính ở châu Á. Cụ thể, các cuộc tấn công đã được ghi nhận tại Việt Nam, Philippines và Malaysia. Có nhiều lý do để tin rằng tội phạm mạng Nigeria đứng đằng sau. Trong một số trường hợp, cơ sở hạ tầng được sử dụng giống như những gì họ đã thấy khi phân tích trojan Adwind.
Bình Minh (theo Security Week)