15:16 27/02/2023

Phát hiện nhóm tấn công Earth Kitsune triển khai backdoor, lừa người dùng vào website độc hại

Phạm Vinh

Earth Kitsune chuyển hướng sang các cuộc tấn công Social engineering để đánh lừa người dùng truy cập vào các website độc hại, nhằm vào các tổ chức khác nhau ở Triều Tiên, Brazil, Trung Quốc, Nhật Bản...

Phát hiện nhóm tấn công Earth Kitsune triển khai backdoor, lừa người dùng vào website độc hại. (Ảnh minh họa).
Phát hiện nhóm tấn công Earth Kitsune triển khai backdoor, lừa người dùng vào website độc hại. (Ảnh minh họa).

Theo Trung tâm An toàn không gian mạng (NCSC) - Cục An toàn thông tin, Bộ Thông tin và Truyền thông, nhóm tấn công có chủ đích (APT) tên là Earth Kitsune đã được phát hiện đang triển khai backdoor WhiskerSpy trong các cuộc tấn công Social engineering.

Cụ thể từ năm 2019, Earth Kitsune đã phát tán các mã độc nhằm vào nhiều website ở Triều Tiên và khai thác các lỗ hổng bảo mật trong Google Chrome, Internet Explorer để kích hoạt các chuỗi lây nhiễm.

 
“Để phòng tránh các cuộc tấn công như vậy, các cơ quan, tổ chức cần tăng cường kiểm tra, rà soát và sẵn sàng các phương án xử lý kịp thời khi phát hiện có dấu hiệu bị khai thác, tấn công mạng.”
Trung tâm An toàn không gian mạng (NCSC).

Gần đây, các chuyên gia đã công bố rằng Earth Kitsune đang chuyển hướng sang các cuộc tấn công Social engineering để đánh lừa người dùng truy cập vào các trang web độc hại. Nhóm nhằm mục tiêu vào các tổ chức khác nhau trên khắp Triều Tiên, Brazil, Trung Quốc, Nhật Bản...

Cuối năm 2022, Earth Kitsune đã tấn công vào một trang web của Triều Tiên thông qua backdoor WhiskerSpy. Khi người dùng vào xem video trên trang web sẽ hiển thị thông báo lỗi giả mạo để lừa người dùng tải xuống mã độc được ngụy trang dưới dạng Advanced Video Codec - AVC1.

Ngoài ra, nhóm Earth Kitsune đã lợi dụng lỗ hổng chiếm quyền điều khiển Dynamic Library Link (DLL) trong OneDrive và tiện ích mở rộng của Google Chrome để cài cắm mã độc mỗi khi trình duyệt web được khởi chạy.

Backdoor WhiskerSpy cho phép đối tượng tấn công xóa, liệt kê, tải xuống tệp lệnh, chụp ảnh màn hình, chèn mã sell và thực thi mã tùy ý. Các trang web đã được cấu hình để phát tán các mã độc cho người dùng truy cập thông qua các địa chỉ IP được đặt tại Thẩm Dương (Trung Quốc), Nagoya (Nhật Bản), Brazil. Điều này làm cho cuộc tấn khó bị phát hiện.

Chuyên gia an ninh mạng NCSC nêu rõ, Earth Kitsune đã lợi dụng lỗ hổng chiếm quyền điều khiển Dynamic Library Link (DLL) trong OneDrive và tiện ích mở rộng của Google Chrome để cài cắm mã độc mỗi khi trình duyệt web được khởi chạy. Backdoor WhiskerSpy cho phép đối tượng tấn công xóa, liệt kê, tải xuống tệp lệnh, chụp ảnh màn hình, chèn mã sell và thực thi mã tùy ý.

Được biết, trong tháng 1 và những ngày đầu tháng 2/2023, NCSC đã ghi nhận hơn 1.700 điểm yếu, lỗ hổng an toàn thông tin tại các hệ thống thông tin của các cơ quan tổ chức nhà nước.

Theo NCSC, số lượng điểm yếu, lỗ hổng nêu trên rất lớn gây nguy hiểm, ảnh hưởng trên diện rộng, đã có hơn 6.300 máy tính bị ảnh hưởng. Đặc biệt có một số lỗ hổng đã và đang được các nhóm tấn công lợi dụng để thực hiện các cuộc tấn công có chủ đích vào hệ thống mạng cơ quan, nhà nước, các tổ chức, cá nhân hoặc máy tính riêng lẻ.

Bên cạnh các điểm yếu, lỗ hổng ghi nhận, các chuyên gia đã phân tích, phát hiện nhiều máy tính của cơ quan nhà nước có kết nối đến địa chỉ IP/tên miền nghi ngờ độc hại gồm: disorderstatus.ru, sunvn.vin, atomictrivia.ru, differentia.ru.

Cũng trong tháng qua, trên không gian mạng, NCSC phát hiện các trang web có tên miền gov.vn bị tấn công gồm: chodon.gov.vn/oni.html (Cổng thông tin điện tử huyện Chợ đồn) và phuongnguyenthaibinh.gov.vn (Trang web phường Nguyễn Thái Bình), hai trang web trên có đơn vị chuyên trách là Sở Thông tin và Truyền thông Bắc Kạn và Sở Thông tin và Truyền thông TP.HCM, hiện đang được các đơn vị an toàn thông tin xử lý, khắc phục.

“Để phòng tránh các cuộc tấn công như vậy, các cơ quan, tổ chức cần tăng cường kiểm tra, rà soát và sẵn sàng các phương án xử lý kịp thời khi phát hiện có dấu hiệu bị khai thác, tấn công mạng”, chuyên gia an ninh mạng NCSC khuyến cáo.

3 LỖ HỔNG TỪ CÁC THIẾT BỊ APPLE

Vừa qua, Apple đã đưa ra cảnh báo về 3 lỗ hổng bảo mật mới ảnh hưởng đến iOS, iPadOS và macOS. Lỗ hổng đầu tiên là CVE-2023-23520 cho phép đối tướng tấn công đọc các tệp tùy ý với đặc quyền root.Hai lỗ hổng khác được các nhà nghiên cứu ghi nhận là CVE-2023-23530 và CVE2023-23531 cho phép đối tượng tấn công vượt qua cơ chế bảo mật của sandbox để thực thi mã tùy ý và thực hiện nâng cao đặc quyền.

Theo báo cáo gần đây của Công ty bảo mật Trellix, các lỗi này cũng bỏ qua các biện pháp giảm nhẹ mà Apple đưa ra để giải quyết các khai thác không nhấp chuột như FORCEDENTRY được nhà cung cấp phần mềm gián điệp đánh thuê của Israel NSO Group tận dụng để triển khai Pegasus trên các thiết bị của mục tiêu. Do đó, kẻ đe dọa có thể khai thác các lỗ hổng này để thoát ra khỏi hộp cát và thực thi mã độc hại với các quyền được nâng cao, có khả năng cấp quyền truy cập vào lịch, sổ địa chỉ, tin nhắn, dữ liệu vị trí, lịch sử cuộc gọi, máy ảnh, micrô và ảnh.

“Đối tượng tấn công có thể lợi dụng những lỗ hổng này để có khả năng truy cập trái phép vào tin nhắn, lịch, định vị, lịch sử cuộc gọi, micro, máy ảnh và ảnh của các thiết bị. Điều đáng lo ngại hơn là các lỗ hổng này có thể cho phép đối tượng tấn công cài đặt ứng dụng tùy ý hoặc thấm chí xóa sạch thiết bị”, đại diện Trellix cho biết thêm.

Hiện tại, Apple đã phát hành bản cập nhật mới nhất cho các thiết bị và khuyến nghị người dùng cập nhật phần mềm để bảo vệ các thiết bị của mình.