Nhóm APT41 có nguồn gốc từ Trung Quốc đang bị tình nghi sử dụng phiên bản nâng cấp của mã độc StealthVector để phát tán một backdoor mới có tên MoonWalk. Biến thể mới này, còn được gọi là DUSTPAN hoặc DodgeBox, đã được phát hiện vào tháng 4 năm 2024. APT41 bắt đầu hoạt động từ năm 2007 và có nhiều tên gọi khác nhau như Axiom, Blackfly, Brass Typhoon, Bronze Atlas, Earth Baku, HOODOO, Red Kelpie, TA415, Wicked Panda, và Winnti.
DodgeBox là một loader có nhiệm vụ phát tán backdoor MoonWalk. Cả hai đều sử dụng nhiều kỹ thuật né tránh bị phát hiện và sử dụng Google Drive cho việc giao tiếp C&C.
Trong những năm gần đây, nhóm APT41 đã bị phát hiện có liên quan đến các vụ xâm nhập vào mạng lưới chính phủ Mỹ từ tháng 5 năm 2021 đến tháng 2 năm 2022, và các cuộc tấn công nhằm vào các tổ chức truyền thông Đài Loan bằng công cụ mã nguồn mở Google Command and Control (GC2).
Mã độc StealthVector lần đầu tiên được ghi nhận do nhóm APT41 sử dụng vào tháng 8 năm 2021, là một shellcode loader viết bằng C/C++ dùng để triển khai Cobalt Strike Beacon và shellcode ScrambleCross (còn gọi là SideWalk). DodgeBox được đánh giá là phiên bản cải tiến của StealthVector, tích hợp nhiều kỹ thuật như stack spoofing, DLL side-loading và DLL hollowing để né tránh bị phát hiện.
Nhóm APT41 đã sử dụng file thực thi "taskhost.exe" của Sandboxie để sideload DLL độc hại "sbiedll.dll", một DLL loader viết bằng C có nhiệm vụ giải mã và thực thi payload backdoor MoonWalk. Nhóm APT41 được xác định liên quan đến việc sử dụng mã độc DodgeBox dựa trên những điểm tương đồng giữa DodgeBox và StealthVector, cũng như việc sử dụng DLL side-loading – một kỹ thuật phổ biến được các nhóm tấn công Trung Quốc sử dụng để triển khai mã độc như PlugX.
DodgeBox là một loader mã độc mới, sử dụng nhiều kỹ thuật để tránh phát hiện cả tĩnh và động. Mã độc này có khả năng giải mã và tải các thư viện động (DLL) được nhúng vào, thực hiện các kiểm tra để xác định môi trường hoạt động và ràng buộc các điều kiện, đồng thời thực hiện các quy trình để dọn dẹp hệ thống sau khi thực thi. Điều này đặt ra thách thức lớn đối với các biện pháp bảo mật hiện tại. Các mẫu phân tích DodgeBox cũng đã được gửi tới VirusTotal từ Thái Lan và Đài Loan, hai khu vực mang tính chiến lược tại Trung Quốc.
Danh sách một số IoC được ghi nhận
Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/
Cảnh báo: Palo Alto Networks phát hành bản vá cho lỗi nghiêm trọng trên công cụ di rời Expedition
Palo Alto Networks vừa phát hành các bản cập nhật bảo mật để khắc phục 05 lỗ hổng an toàn thông tin, trong đó có một lỗ hổng ở mức nghiêm trọng có thể dẫn đến việc bỏ qua xác thực (bypass).
Lỗ hổng nghiêm trọng có mã CVE-2024-5910 (Điểm CVSS: 9.3), đây là lỗi bỏ qua xác thực tồn tại trên công cụ di rời Expedition của Palo Alto Networks, có thể dẫn đến việc chiếm quyền quản trị viên. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản của Expedition trước phiên bản 1.2.92 và đã được vá trong phiên bản mới nhất. Hiện chưa có bằng chứng về việc lỗ hổng này đã bị tấn công trong thực tế, tuy nhiên, người dùng nên cập nhật để bảo vệ hệ thống khỏi các nguy cơ bị tấn công. Trong trường hợp không thể cập nhật ngay, Palo Alto Networks khuyến nghị giới hạn quyền truy cập vào Expedition chỉ cho các người dùng, host và mạng được ủy quyền.
Ngoài ra, Palo Alto Networks cũng đã vá lỗi CVE-2024-3596 (hay BlastRADIUS) trong giao thức RADIUS. Lỗ hổng này cho phép kẻ tấn công thực hiện cuộc tấn công Adversary-in-the-middle (AitM) chen vào kết nối giữa tường lửa PAN-OS của Palo Alto Networks và máy chủ RADIUS để bỏ qua xác thực. Đối tượng tấn công có thể leo thang đặc quyền lên tới mức "superuser" khi máy chủ sử dụng xác thực RADIUS và giao thức CHAP hoặc PAP được kích hoạt.
Cụ thể, các phiên bản PAN-OS sau đây đã bị ảnh hưởng bởi lỗ hổng BlastRADIUS:
• PAN-OS 11.1 (phiên bản cũ hơn 11.1.3, đã được vá từ phiên bản 11.1.3)
• PAN-OS 11.0 (phiên bản cũ hơn 11.0.4-h4, đã được vá từ phiên bản 11.0.4-h4)
• PAN-OS 10.2 (phiên bản cũ hơn 10.2.10, đã được vá từ phiên bản 10.2.10)
• PAN-OS 10.1 (phiên bản cũ hơn 10.1.14, đã được vá từ phiên bản 10.1.14)
• PAN-OS 9.1 (phiên bản cũ hơn 9.1.19, đã được vá từ phiên bản 9.1.19)
Đối với Prisma Access, mọi phiên bản đều bị ảnh hưởng và dự kiến sẽ có bản vá được phát hành vào ngày 30/07. Ngoài ra, lưu ý rằng giao thức CHAP/PAP không nên được sử dụng trừ khi chúng được bảo vệ bởi một lớp tunnel mã hóa, vì hai giao thức này không hỗ trợ Transport Layer Security (TLS).
2. ĐIỂM YẾU, LỖ HỔNG
Trong tuần, các tổ chức quốc tế đã công bố và cập nhật ít nhất 432 lỗ hổng, trong đó có 133 lỗ hổng mức Cao, 149 lỗ hổng mức Trung bình, 19 lỗ hổng mức Thấp và 131 lỗ hổng chưa đánh giá. Trong đó có ít nhất 81 lỗ hổng cho phép chèn và thực thi mã lệnh.
Ngoài ra, tuần hệ thống kỹ thuật của NCSC cũng đã ghi nhận TOP 10 lỗ hổng đáng chú ý, là những lỗ hổng có mức độ nghiêm trọng cao hoặc đang bị khai thác trong môi trường thực tế bởi các nhóm tấn công.
Trong đó, đáng chú ý có 03 lỗ hổng ảnh hưởng các sản phẩm của OpenSSH, GeoServer và Microsoft, cụ thể là như sau:
- CVE-2024-6387 (Điểm CVSS: 8.1 – Cao): Lỗ hổng tồn tại trên máy chủ OpenSSH cho phép đối tượng tấn công khai thác lỗi Race Condition, cho phép đối tượng tấn công truy cập và thực hiện các hành vi trái phép. Hiện lỗ hổng đã có mã khai thác và đang bị khai thác trong thực tế.
- CVE-2024-36401 (Điểm CVSS: 9.8 – Nghiêm trọng): Lỗ hổng tồn tại trên GeoServer cho phép đối tượng tấn công thực thi mã từ xa thông qua việc truyền vào dữ liệu độc hại tới các phiên GeoServer cấu hình mặc định. Hiện lỗ hổng đã có mã khai thác và đang bị khai thác trong thực tế.
- CVE-2024-24860 (Điểm CVSS: 7.5 – Cao): Lỗ hổng tồn tại trên Microsoft Defender cho phép đối tượng tấn công thực hiện tấn công từ chối dịch vụ, làm sập dịch vụ bằng cách sử dụng file độc hại. Hiện lỗ hổng chưa có mã khai thác và đang bị khai thác trong thực tế.
Danh sách TOP 10 lỗ hổng đáng chú ý trong tuần
Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/
3. SỐ LIỆU, THỐNG KÊ
Tấn công DRDoS: Trong tuần có 40.952 (tăng so với tuần trước 39.780) thiết bị có khả năng bị huy động và trở thành nguồn tấn công DRDoS.
Tấn công Web: Trong tuần, có 64 trường hợp tấn công vào trang/cổng thông tin điện tử của Việt Nam: 53 trường hợp tấn công lừa đảo (Phishing), 11 trường hợp tấn công cài cắm mã độc.
Danh sách địa chỉ được sử dụng trong các mạng botnet
4. TẤN CÔNG LỪA ĐẢO NGƯỜI DÙNG VIỆT NAM
Trong tuần đã có 1.942 phản ánh trường hợp lừa đảo do người dùng Internet Việt Nam thông báo về Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) qua hệ thống tại địa chỉ https://canhbao.khonggianmang.vn. Qua kiểm tra, phân tích có nhiều trường hợp lừa đảo giả mạo website của ngân hàng, các trang thương mại điện tử…
Dưới đây là một số trường hợp người dùng cần nâng cao cảnh giác.
Nguồn: