SideWinder
TrendMicro đã phát hiện 3 ứng dụng độc hại trên Google Play Store cùng phối hợp để xâm nhập vào các thiết bị của nạn nhân và đánh cắp thông tin người dùng. Một trong 3 ứng dụng này có tên là Camero, khai thác CVE-2019-2215, một lỗ hổng tồn tại trong Binder (hệ thống Inter-Process Communication chính của Android). Dựa trên kết quả điều tra sâu hơn, các nhà phân tích cũng phát hiện ra rằng 3 ứng dụng này có thể là một phần trong các phương thức tấn công của nhóm SideWinder. Nhóm này đã bắt đầu hoạt động từ năm 2012, được biết đến và báo cáo là chuyên nhắm đến các máy chủ Windows thuộc phạm vi quân đội.
Cập nhật mô-đun mới của APT27 ZxShell Rootkit
Trong số các công cụ được sử dụng bởi các nhóm APT, công cụ gây nguy hiểm và để lại lo lắng nhiều nhất là các Rootkit/Bootkit với khả năng hoạt động ở Ring0, chúng hoàn toàn có thể chiếm được đặc quyền cao nhất. Một trong những ví dụ về công cụ này là mô-đun Rootkit của ZxShell RAT được sử dụng bởi Emissary Panda (APT27). Phân tích điểm khác nhau giữa phiên bản năm 2018 và phiên bản mới nhất 2019, các chuyên gia phân tích của Lab52 đã xác địch được 3 điểm thay đổi đáng kể của mẫu rootkit này khiến chúng trở nên phức tạp và khó bị phát hiện hơn.
JhoneRAT
Trong tháng này, Cisco Talos đã công bố thông tin chi tiết về một mẫu RAT mới họ đã phát hiện và đặt tên là “JhoneRAT”. Mẫu RAT này xâm nhập vào các thiết bị của nạn nhân thông qua các tài liệu Microsoft Office đã bị nhiễm độc. Sau đó, cùng với Python RAT, chúng cố gắng thu thập thông tin trên máy nạn nhân và sử dụng các dịch vụ cloud khác nhau như Google Drive, Twitter, ImgBB hay Google Forms. Dựa trên kết quả phân tích mẫu, JhoneRAT được cho là nhắm đến các quốc gia Trung Đông như I-rắc, Ai Cập, Li-bi, Ma-rốc, Ô-man, UAE, … Chiến dịch tấn công này bắt đầu từ tháng 11 năm 2019 và vẫn đang được tiếp diễn. Các chuyên gia phân tích khuyến cáo cần phải tăng cường hệ thống phát hiện xâm nhập network-based cũng như hệ thống phân tích system-behaviour.
Chuỗi tấn công Operation AppleJeus
Lazarus đang là một trong những nhóm APT có nhiều hoạt động nhất hiện nay. Năm 2018, Kaspersky đã công bố một báo cáo về một trong những chiến dịch của nhóm này, được đặt tên là Operation AppleJeus. Chiến dịch này đánh dấu lần đầu tiên nhóm này nhắm đến những người dùng macOS. Đến gần đây, Kaspersky đã phát hiện có những thay đổi quan trong trong phương thức tấn công của nhóm, bao gồm cả thay đổi về Windows và macOS malware. Các nạn nhân được ghi nhận tại Anh, Ba Lan, Nga và Trung Quốc. Thêm vào đó, Kaspersky cũng xác nhận rằng một vài nạn nhân có liên quan đến việc kinh doanh tiền mã hóa (cryptocurrency), đồng thời cũng dự báo rằng các cuộc tấn công nhắm đến việc kinh doanh tiền mã hóa sẽ ngày càng gia tăng và phức tạp hơn.
Malware
Asterisk-ware
Từ cuối năm 2019 cho đến đầu tháng Một năm 2020, xu hướng hoạt động của malware và ransomware thay đổi với ít sự xuất hiện của Emotet và Trickbot hơn. Thay vào đó là sự gia tăng việc sử dụng của ZeuS, Kovter, …
– ZeuS
– Kovter
– Malware mới – SNAKE
CVE và những khuyến nghị bảo mật
Lỗ hổng quan trọng trong tháng – CVE-2019-19781
Unauthenticated Path Traversal
Các công nghệ bị ảnh hưởng bởi lỗ hổng:
Citrix ADC and Citrix Gateway version 13.0 all supported builds
Citrix ADC and NetScaler Gateway version 12.1 all supported builds
Citrix ADC and NetScaler Gateway version 12.0 all supported builds
Citrix ADC and NetScaler Gateway version 11.1 all supported builds
Citrix NetScaler ADC and NetScaler Gateway version 10.5 all supported builds
Khai thác lỗ hổng có thể tham khảo tại: https://github.com/mpgn/CVE-2019-19781
Có thể quan sát thấy nhiều ứng dụng web ở Việt Nam hiện đang sử dụng các sản phẩm công nghệ bị ảnh hưởng này thông qua các tìm kiếm trên shodan.io
Các nhà nghiên cứu cũng đã tiến hành thống kê số máy chủ tồn tại lỗ hổng này tại mỗi quốc gia. Số lượng máy chủ có lỗ hổng tại Việt Nam tại thời điểm thống kê:
Microsoft Patch Tuesday – January 2020
Trong tháng này, Microsoft cung cấp bản vá cho 49 lỗ hổng, 8 trong số đó có mức độ “critical”:
– CVE-2020-0640 – Internet Explorer Memory Corruption Vulnerability
– CVE-2020-0650 đến CVE-2020-0653 – Microsoft Excel Remote Code Execution Vulnerability
– CVE-2020-0617 – Hyper-V Denial of Service Vulnerability
Oracle
Các CVE quan trọng của Oracle trong tháng này gồm có:
– CVE-2020-2604 – Vulnerability in the Serialization component of Java SE, Java SE Embedded product of Oracle Java SE
– CVE-2020-2674 và CVE-2020-2682 – Unknown bug in Oracle Virtual Box
– CVE-2020-2551 – Weblogic RCE with IIOP
Ứng dụng Web
CVE-2020-5504 – SQLI in phpMyAdmin