Nhóm nghiên cứu trình bày một số thông tin nổi bật về các mối đe dọa trong tháng 02/2020:
1 Các mối đe dọa nâng cao – Advanced Threats
1.1 Operation DRBControl
Dựa trên những kết quả phân tích chuyên sâu về một mẫu backdoor, Trend Micro phát hiện ra mẫu backdoor này được sử dụng bởi một nhóm APT mới, được đặt tên là DRBControl. Các chuyên gia phân tích cũng tìm hiểu được nhóm APT này có sử dụng thêm nhiều mẫu backdoor khác và các công cụ sử dụng sau xâm nhập, cũng như các tài liệu spear-phishing sử dụng trong giai đoạn đầu của chiến dịch tấn công. Một trong những backdoor được phát hiện sử dụng dịch vụ lưu trữ file Dropbox như là một kênh C&C.
Đối tượng mà nhóm APT này nhắm đến tương đối cụ thể, là các công ty chuyên về đánh bạc và cá cược tại Đông Nam Á. Các dữ liệu bị đánh cắp bao gồm các cơ sở dữ liệu và mã nguồn, cho thấy mục đích của chiến dịch này là phục vụ cho gián điệp mạng và thu thập các thông tin tình báo có giá trị. Mặc dù Trend Micro đã cố gắng liên kết nhóm APT này với các mối đe dọa đã được biết khác, việc sử dụng các mẫu backdoor chưa được phát hiện trước đây cho thấy đây là một nhóm APT hoàn toàn mới chưa được công bố.
Các chuyên gia của Trend Micro cũng đã cung cấp một bản nghiên cứu chi tiết về các giai đoạn hoạt động, các email spear-phishing, các phân tích cụ thể về các mẫu backdoor.
1.2 Chiến dịch Fox Kitten – Fox Kitten Campaign
Đội ngũ nghiên cứu của ClearSky đã công bố những phát hiện về một chiến dịch tấn công có quy mô rộng xuất phát từ I-ran, được đặt tên là Fox Kitten Campaign. Chiến dịch này được thực hiện kéo dài suốt 3 năm, tấn công vào hàng loạt các công ty và tổ chức tại Israel cũng như trên thế giới, từ Công nghệ thông tin, Viễn thông, Dầu khí, Hàng không cho đến các cơ quan chính phủ và cơ quan bảo mật.
Nhóm tấn công từ I-ran này sử dụng một hệ thống cơ sở hạ tầng chuyên biệt để đảm bảo khả năng điều khiển và truy cập đầy đủ đến hệ thống của các nạn nhân trong một thời gian dài. Bên cạnh đó, chiến dịch tấn công này còn được phát hiện có lan truyền và kích hoạt các malware phá hủy như ZeroCleare và DustMan, liên quan đến nhóm APT34.
Trong quá trình nghiên cứu, ClearSky đã phát hiện mối liên quan, sự kết nối của chiến dịch tấn công với các nhóm APT như APT34-OilRig, APT33-Elfin, và APT39-Chafer.
1.3 Cập nhật Kit từ Outlaw – Kit Update from Outlaw
Phát hiện mới của các chuyên gia an minh mạng về nhóm hacker Outlaw, được biết là đã yên lặng trong những tháng gần đây. Nhóm tấn công này đã âm thầm cập nhật và phát triển bộ kit của họ, mở rộng các tham số và đối tượng quét, tiến hành lặp lại quá trình thực thi file thông qua các tin nhắn báo lỗi, và cải tiến các kỹ thuật xâm nhập. So sánh với những cuộc tấn công trước đây, các chuyên gia nhận thấy mục đích của Outlaw là để đối phó với các doanh nghiệp đã từng bị tấn công nhưng đã tiến hành sửa lỗi và cập nhật hệ thống. Qua đó, nhóm tấn công này vẫn có thể xâm nhập và đánh cắp thông tin từ các nạn nhân, cả cũ và mới, trong ngành công nghiệp ô-tô và tài chính.
1.4 Khai thác lỗ hổng bảo mật SharePoint
Mặc dù Microsoft đã phát hành bản vá cho lỗ hổng bảo mật SharePoint CVE-2019-0604 vào tháng 3-2019, đội ngũ PaloAlto Unit42 vẫn phát hiện nhiều nhóm tấn công đang sử dụng lỗ hổng này để cài đặt các webshell lên các máy chủ SharePoint, từ đó chạy các câu lệnh và công cụ để đánh cắp thông tin bảo mật cũng như truy cập đến các máy chủ khác cùng hệ thống. Trong quá trình phân tích, Unit42 cũng đồng thời tìm ra một công cụ thu thập thông tin bảo mật (credential dumping tool) mới có tên là Dumpert, chưa từng được phát hiện trước đây.
Ngoài ra, các chuyên gia cũng đã phát hiện sự trùng lặp giữa webshell AntSword được sử dụng trong giai đoạn tấn công này và webshell ChinaChopper được nhóm tấn công Emissary Panda đến từ Trung Quốc sử dụng trong cuộc tấn công tháng 4-2019 vào các tổ chức chính phủ thuộc 2 nước Trung Đông.
Lỗ hổng SharePoint CVE-2019-0906 rất cần được lưu ý do hiện nay rất nhiều cơ quan chính phủ và doanh nghiệp ở Việt Nam đang sử dụng dịch vụ này của Microsoft.
2 Malware
Trong tháng 2-2020, Malwarebytes công bố một bản báo cáo tổng hợp về malware trong năm 2019, bao gồm những điểm chính sau:
· Sự phức tạp, tinh vi của các mối đe dọa trong năm 2019 tăng lên với nhiều loại khai thác, đánh cắp thông tin, tấn công nhiều giai đoạn với khả năng khai thác hàng loạt.
· Emotet và Trickbot vẫn là những mã độc rất phổ biến. Tăng trưởng của Trickbot đã lớn hơn nhiều so với Emotet, Emotet đứng thứ tư trong tỷ lệ phát hiện hàng đầu.
· Việc phát hiện ransomware đã có xu hướng giảm nhẹ, tuy nhiên các hoạt động ransomware mới vẫn đang tăng lên rất nhiều với các họ ransomware mới như Ruyk, Phobos, Sodinokibi.
· Adwares ngày càng trở nên linh hoạt hơn, khả năng tấn công rộng nhắm đến các thiết bị endpoints trong cả Windows, Mac, Android, IOS.
· Các mối đe dọa nhắm đến các thiết bị sử dụng Mac tăng lên rất nhiều gần đây, với nhiều mối đe dọa hơn các thiết bị endpoint của Windows.
Giới thiệu về các malware:
– Sodinokibi
– RobbinHood – Malware mới
1 CVE và những khuyến nghị bảo mật
1.1 Microsoft Patch Tuesday – February 2020
Trong tháng này, Microsoft cung cấp bản vá cho 74 lỗ hổng, trong đó có 20 lỗ hổng có mức độ “critical”.
– CVE-2019-0590, CVE-2019-0591, CVE-2019-0593, … – Scripting Engine Memory Corruption Vulnerability
– CVE-2019-0594, CVE-2019-0604 – Microsoft SharePoint Remote Code Execution Vulnerability
– CVE-2019-0686 – Microsoft Exchange Server Elevation of Privilege Vulnerability
1.2 Oracle
Không có bản cập nhật quan trọng nào được Oracle công bố trong tháng này. Các ngày công bố tiếp theo bao gồm:
· 14-04-2020
· 14-07-2020
· 20-10-2020
· 19-01-2021
1.3 Ứng dụng web
– CVE-2020-1938 – Ghostcat – Apache Tomcat AJP File Read/Inclusion Vulnerability
– CVE-2020-7471 – Django SQL Injection Vulnerability