Các mối đe dọa nâng cao – Advanced Threats
Trong tháng 12, có những hoạt động nổi bật của các nhóm APT hay các mối đe dọa nâng cao được mô tả như sau:
Operation Wocao – nhóm hacker có nguồn gốc Trung Quốc
Fox-IT đã đưa ra 1 bản thông báo về các hoạt động tấn công của một nhóm hacker có nguồn gốc Trung Quốc, được đặt tên là Operation Wocao.
Các chuyên gia phân tích đã đưa ra những bằng chứng về việc nhóm tấn công này có nguồn gốc từ Trung Quốc, dựa trên: lỗ hổng trong cài đặt ngôn ngữ, phân tích kết nối web, các thông tin đăng ký máy chủ và timezone.
Nạn nhân của nhóm tấn công này bao gồm các cơ quan chính phủ, các nhà cung cấp dịch vụ quản lý trong nhiều lĩnh vực như hàng không, xây dựng, năng lượng, tài chính, …
Fox-IT cũng đã đưa ra phân tích về các công cụ, kỹ thuật và các giai đoạn tấn công của nhóm này tương ứng với MITRE’s ATT&CK Matrix.
Rancor
Palo Alto Unit 42, đội ngũ phụ trách Threat Intelligence của Palo Alto, công bố những phát hiện mới về nhóm gián điệp mạng mà họ gọi là Rancor. Trong quá trình nghiên cứu về vụ tấn công của nhóm này vào một cơ quan chính phủ của Cam-pu-chia, các chuyên gia đã phát hiện ra một họ malware mới, được đặt tên là Dudell, cùng với một họ malware khác, Derusbi, chuyên được sử dụng bởi các nhóm gián điệp mạng Trung Quốc.
GALLIUM
Trung tâm Threat Intelligence của Microsoft (MSTIC) đưa ra cảnh báo về những hoạt động liên tục của một nhóm tấn công mới, GALLIUM, nhắm đến các nhà cung cấp dịch vụ viễn thông. Microsoft cung cấp một báo cáo mô tả quá trình hoạt động, các công cụ và kỹ thuật mà nhóm này sử dụng, đồng thời cũng đưa ra những thông tin cần thiết cho khách hàng của Microsoft để chống lại hoạt động tấn công này.
Waterbear
Chiến dịch Waterbear, được cho là gắn liền với nhóm hacker BlackTech, chuyên nhắm đến các công ty công nghệ và cơ quan chính phủ ở Đông Á (đặc biệt là Đài Loan), đã được Trend Micro phát hiện là có sử dụng các kỹ thuật API hooking cho mục địch mới là che giấu các hành vi mạng khỏi một số sản phẩm bảo mật nhất định. Hành động này giúp Waterbear trở nên khó phát hiện hơn và có thể giúp để thực hiện các cuộc tấn công nhắm đối tượng khác trong tương lai.
Chiến dịch Cosmic Banker
SCILabs công bố một bản báo cáo về một chiến dịch tấn công, tên là Cosmic Banker, nhắm đến các hệ thống ngân hàng Mexico và Brasil. Mẫu malware Banload được phát hiện có sử dụng trong chiến dịch này, góp phần giúp các chuyên gia nhận định chiến dịch này có liên quan đến các hacker người Brasil.
Capesand Exploit Kit
Các chuyên gia của Trend Micro đã công bố một bản báo cáo phân tích bộ exploit kit mới, được đặt tên là Capesand, dùng để khai thác các lỗ hổng của Adobe Flash và Microsoft Internet Explorer. Điểm đặc biệt của bộ công cụ này là chúng sử dụng nhiều công cụ obfuscation (obfuscation tools) để che giấu code, giúp chúng trở nên khó phát hiện.
Malware
Trong phần phân tích Malware của tháng 12, chúng tôi xin được phân tích về một số mẫu malware và ransomware nguy hiểm nhất trong nửa cuối năm nay, bao gồm:
· Emotet
· Trickbot
· Ryuk
Đồng thời, chúng tôi cũng cung cấp bản phân tích về một mẫu malware mới được phát hiện là ZeroCleare
CVE và những khuyến nghị bảo mật
Microsoft Patch Tuesday – December 2019
· CVE-2019-1485: Microsoft Internet Explorer VBScript Engine Remote Code Execution Vulnerability
· CVE-2019-1476: Windows Elevation of Privilege Vulnerability
· CVE-2019-1471: Microsoft Windows Hyper-V Remote Code Execution Vulnerability
Oracle
· CVE-2019-8457: SQLite Vulnerability in NetApp Products
· CVE-2019-3028: Unknown bug in Oracle Virtual Box
Ứng dụng web
· CVE-2019-15588: Command Injection in Nexus Repository Manager 2.x(bypass CVE-2019-5475)
· CVE-2019-11043: PHP-FPM Remote Code Execution
· CVE-2019-12409: Apache Solr Unauthenticated Remote Code Execution
Phân tích kỹ thuật
Trong tháng này, đội ngũ nghiên cứu của GTSC đã phân tích và phát hiện ra lỗ hổng trong một vài sản phẩm của Oracle và Apache. Các báo cáo đã được gửi tới hãng để tiến hành sửa lỗi và cập nhật. Phân tích dưới đây là về lỗ hổng XXE trong ApacheZookeeper, các phân tích khác sẽ được công bố sau khi lỗ hổng đã được vá và xác nhận bởi hãng.
The XXE vulnerability in Apache Zookeeper