-
09/04/2020
-
118
-
1.249 bài viết
Tái sử dụng lỗ hổng cũ: “Vết nứt” nguy hiểm mở đường cho làn sóng tấn công toàn cầu
Không phải lúc nào tội phạm mạng cũng cần đến lỗ hổng zero-day. Nhiều khi, chỉ một lỗi cũ chưa được vá cũng đủ mở đường cho một chiến dịch gián điệp quy mô toàn cầu. Mục tiêu lần này là một tổ chức phi lợi nhuận tại Mỹ liên quan đến các vấn đề chính sách quốc tế.
Cuộc tấn công bắt đầu từ ngày 5/4/2025 khi tin tặc thực hiện quét hàng loạt máy chủ bằng các công cụ khai thác lỗ hổng đã biết như CVE-2022-26134 (Atlassian), CVE-2021-44228 (Log4j), CVE-2017-9805 (Struts) và CVE-2017-17562 (GoAhead Web Server). Dấu hiệu cho thấy nhóm tấn công duy trì quyền truy cập trong nhiều tuần trước khi bị phát hiện.
Nhóm này không chỉ muốn xâm nhập mà còn duy trì hiện diện lâu dài trong hệ thống nạn nhân - một tổ chức phi lợi nhuận của Mỹ có liên quan đến các vấn đề chính sách quốc tế. Mục tiêu có thể là thu thập thông tin, giám sát hoặc gây ảnh hưởng gián tiếp đến các hoạt động chính sách thay vì phá hoại hoặc tống tiền.
Chiến dịch thể hiện đặc trưng của hoạt động gián điệp mạng APT được chuẩn bị kỹ lưỡng và ẩn mình tinh vi.
Các chuyên gia WhiteHat cho biết, chiến dịch này là một phần trong làn sóng tấn công rộng hơn nhắm vào các tổ chức tại Mỹ, châu Âu, châu Á và Mỹ Latinh. Các nhóm có liên quan đã tấn công vào ngành năng lượng Trung Á, chính phủ các nước Mỹ Latinh, doanh nghiệp quốc phòng Đài Loan, tổ chức thương mại tại Trung Quốc và doanh nghiệp đa quốc gia ở Campuchia. Điều này cho thấy phạm vi toàn cầu, tập trung vào các mục tiêu có giá trị chiến lược, ngoại giao hoặc kinh tế.
Tuy nhiên, chưa có dấu hiệu Việt Nam là mục tiêu trực tiếp, nhưng các kỹ thuật mà nhóm tấn công sử dụng, đặc biệt là khai thác lỗ hổng cũ trong Log4j, Atlassian, IIS và Microsoft Exchange đều phổ biến tại Việt Nam. Điều này có nghĩa là các hệ thống trong nước hoàn toàn có thể bị ảnh hưởng gián tiếp, nếu chưa vá lỗi hoặc cấu hình an toàn. Thực tế, nhiều doanh nghiệp Việt Nam vẫn đang vận hành các máy chủ và phần mềm có những lỗ hổng tương tự nên rủi ro bị tấn công theo chuỗi tương tự là rất cao.
Mô hình tấn công REF3927 và quy trình thủ thuật SEO cloaking của mã độc TOLLBOOTH
(REF3927 là mã định danh chiến dịch tấn công do các chuyên gia Elastic Security Labs phát hiện,
nhắm vào các máy chủ Microsoft IIS bị cấu hình sai.)
Các chuyên gia WhiteHat dự báo xu hướng sắp tới có thể sẽ là:
Cuộc tấn công bắt đầu từ ngày 5/4/2025 khi tin tặc thực hiện quét hàng loạt máy chủ bằng các công cụ khai thác lỗ hổng đã biết như CVE-2022-26134 (Atlassian), CVE-2021-44228 (Log4j), CVE-2017-9805 (Struts) và CVE-2017-17562 (GoAhead Web Server). Dấu hiệu cho thấy nhóm tấn công duy trì quyền truy cập trong nhiều tuần trước khi bị phát hiện.
Nhóm này không chỉ muốn xâm nhập mà còn duy trì hiện diện lâu dài trong hệ thống nạn nhân - một tổ chức phi lợi nhuận của Mỹ có liên quan đến các vấn đề chính sách quốc tế. Mục tiêu có thể là thu thập thông tin, giám sát hoặc gây ảnh hưởng gián tiếp đến các hoạt động chính sách thay vì phá hoại hoặc tống tiền.
Chiến dịch thể hiện đặc trưng của hoạt động gián điệp mạng APT được chuẩn bị kỹ lưỡng và ẩn mình tinh vi.
Các chuyên gia WhiteHat cho biết, chiến dịch này là một phần trong làn sóng tấn công rộng hơn nhắm vào các tổ chức tại Mỹ, châu Âu, châu Á và Mỹ Latinh. Các nhóm có liên quan đã tấn công vào ngành năng lượng Trung Á, chính phủ các nước Mỹ Latinh, doanh nghiệp quốc phòng Đài Loan, tổ chức thương mại tại Trung Quốc và doanh nghiệp đa quốc gia ở Campuchia. Điều này cho thấy phạm vi toàn cầu, tập trung vào các mục tiêu có giá trị chiến lược, ngoại giao hoặc kinh tế.
Tuy nhiên, chưa có dấu hiệu Việt Nam là mục tiêu trực tiếp, nhưng các kỹ thuật mà nhóm tấn công sử dụng, đặc biệt là khai thác lỗ hổng cũ trong Log4j, Atlassian, IIS và Microsoft Exchange đều phổ biến tại Việt Nam. Điều này có nghĩa là các hệ thống trong nước hoàn toàn có thể bị ảnh hưởng gián tiếp, nếu chưa vá lỗi hoặc cấu hình an toàn. Thực tế, nhiều doanh nghiệp Việt Nam vẫn đang vận hành các máy chủ và phần mềm có những lỗ hổng tương tự nên rủi ro bị tấn công theo chuỗi tương tự là rất cao.
Mô hình tấn công REF3927 và quy trình thủ thuật SEO cloaking của mã độc TOLLBOOTH
(REF3927 là mã định danh chiến dịch tấn công do các chuyên gia Elastic Security Labs phát hiện,
nhắm vào các máy chủ Microsoft IIS bị cấu hình sai.)
Các chuyên gia WhiteHat dự báo xu hướng sắp tới có thể sẽ là:
- Tái sử dụng lỗ hổng cũ kết hợp với các kỹ thuật mới (DLL side-loading, AitM, SEO cloaking) để tránh bị phát hiện.
- Mở rộng sang tấn công máy chủ IIS và chuỗi cập nhật phần mềm nhằm chiếm quyền kiểm soát hạ tầng doanh nghiệp.
- Chia sẻ hoặc hoán đổi công cụ giữa các nhóm tin tặc khiến việc truy vết và quy kết nhóm cụ thể ngày càng khó khăn.
- Cập nhật bản vá bảo mật định kỳ cho các phần mềm máy chủ (Log4j, IIS, Atlassian, Microsoft Exchange).
- Giám sát hành vi bất thường như tạo tác vụ định kỳ hoặc tiến trình lạ sử dụng msbuild.exe.
- Thực hiện kiểm tra bảo mật định kỳ và áp dụng xác thực đa yếu tố cho tài khoản quản trị.
- Đào tạo nhận thức an ninh mạng cho nhân viên vì nhiều cuộc tấn công bắt đầu từ lỗ hổng con người.
Theo The Hacker News