Phát hiện nhóm tấn công Earth Kitsune triển khai backdoor, lừa người dùng vào website độc hại

Phạm Vinh
Chia sẻ

Earth Kitsune chuyển hướng sang các cuộc tấn công Social engineering để đánh lừa người dùng truy cập vào các website độc hại, nhằm vào các tổ chức khác nhau ở Triều Tiên, Brazil, Trung Quốc, Nhật Bản...

Phát hiện nhóm tấn công Earth Kitsune triển khai backdoor, lừa người dùng vào website độc hại. (Ảnh minh họa).
Phát hiện nhóm tấn công Earth Kitsune triển khai backdoor, lừa người dùng vào website độc hại. (Ảnh minh họa).

Theo Trung tâm An toàn không gian mạng (NCSC) - Cục An toàn thông tin, Bộ Thông tin và Truyền thông, nhóm tấn công có chủ đích (APT) tên là Earth Kitsune đã được phát hiện đang triển khai backdoor WhiskerSpy trong các cuộc tấn công Social engineering.

Cụ thể từ năm 2019, Earth Kitsune đã phát tán các mã độc nhằm vào nhiều website ở Triều Tiên và khai thác các lỗ hổng bảo mật trong Google Chrome, Internet Explorer để kích hoạt các chuỗi lây nhiễm.

 
“Để phòng tránh các cuộc tấn công như vậy, các cơ quan, tổ chức cần tăng cường kiểm tra, rà soát và sẵn sàng các phương án xử lý kịp thời khi phát hiện có dấu hiệu bị khai thác, tấn công mạng.”
Trung tâm An toàn không gian mạng (NCSC).

Gần đây, các chuyên gia đã công bố rằng Earth Kitsune đang chuyển hướng sang các cuộc tấn công Social engineering để đánh lừa người dùng truy cập vào các trang web độc hại. Nhóm nhằm mục tiêu vào các tổ chức khác nhau trên khắp Triều Tiên, Brazil, Trung Quốc, Nhật Bản...

Cuối năm 2022, Earth Kitsune đã tấn công vào một trang web của Triều Tiên thông qua backdoor WhiskerSpy. Khi người dùng vào xem video trên trang web sẽ hiển thị thông báo lỗi giả mạo để lừa người dùng tải xuống mã độc được ngụy trang dưới dạng Advanced Video Codec - AVC1.

Ngoài ra, nhóm Earth Kitsune đã lợi dụng lỗ hổng chiếm quyền điều khiển Dynamic Library Link (DLL) trong OneDrive và tiện ích mở rộng của Google Chrome để cài cắm mã độc mỗi khi trình duyệt web được khởi chạy.

Backdoor WhiskerSpy cho phép đối tượng tấn công xóa, liệt kê, tải xuống tệp lệnh, chụp ảnh màn hình, chèn mã sell và thực thi mã tùy ý. Các trang web đã được cấu hình để phát tán các mã độc cho người dùng truy cập thông qua các địa chỉ IP được đặt tại Thẩm Dương (Trung Quốc), Nagoya (Nhật Bản), Brazil. Điều này làm cho cuộc tấn khó bị phát hiện.

Chuyên gia an ninh mạng NCSC nêu rõ, Earth Kitsune đã lợi dụng lỗ hổng chiếm quyền điều khiển Dynamic Library Link (DLL) trong OneDrive và tiện ích mở rộng của Google Chrome để cài cắm mã độc mỗi khi trình duyệt web được khởi chạy. Backdoor WhiskerSpy cho phép đối tượng tấn công xóa, liệt kê, tải xuống tệp lệnh, chụp ảnh màn hình, chèn mã sell và thực thi mã tùy ý.

Được biết, trong tháng 1 và những ngày đầu tháng 2/2023, NCSC đã ghi nhận hơn 1.700 điểm yếu, lỗ hổng an toàn thông tin tại các hệ thống thông tin của các cơ quan tổ chức nhà nước.

Theo NCSC, số lượng điểm yếu, lỗ hổng nêu trên rất lớn gây nguy hiểm, ảnh hưởng trên diện rộng, đã có hơn 6.300 máy tính bị ảnh hưởng. Đặc biệt có một số lỗ hổng đã và đang được các nhóm tấn công lợi dụng để thực hiện các cuộc tấn công có chủ đích vào hệ thống mạng cơ quan, nhà nước, các tổ chức, cá nhân hoặc máy tính riêng lẻ.

Bên cạnh các điểm yếu, lỗ hổng ghi nhận, các chuyên gia đã phân tích, phát hiện nhiều máy tính của cơ quan nhà nước có kết nối đến địa chỉ IP/tên miền nghi ngờ độc hại gồm: disorderstatus.ru, sunvn.vin, atomictrivia.ru, differentia.ru.

Cũng trong tháng qua, trên không gian mạng, NCSC phát hiện các trang web có tên miền gov.vn bị tấn công gồm: chodon.gov.vn/oni.html (Cổng thông tin điện tử huyện Chợ đồn) và phuongnguyenthaibinh.gov.vn (Trang web phường Nguyễn Thái Bình), hai trang web trên có đơn vị chuyên trách là Sở Thông tin và Truyền thông Bắc Kạn và Sở Thông tin và Truyền thông TP.HCM, hiện đang được các đơn vị an toàn thông tin xử lý, khắc phục.

“Để phòng tránh các cuộc tấn công như vậy, các cơ quan, tổ chức cần tăng cường kiểm tra, rà soát và sẵn sàng các phương án xử lý kịp thời khi phát hiện có dấu hiệu bị khai thác, tấn công mạng”, chuyên gia an ninh mạng NCSC khuyến cáo.

3 LỖ HỔNG TỪ CÁC THIẾT BỊ APPLE

Vừa qua, Apple đã đưa ra cảnh báo về 3 lỗ hổng bảo mật mới ảnh hưởng đến iOS, iPadOS và macOS. Lỗ hổng đầu tiên là CVE-2023-23520 cho phép đối tướng tấn công đọc các tệp tùy ý với đặc quyền root.Hai lỗ hổng khác được các nhà nghiên cứu ghi nhận là CVE-2023-23530 và CVE2023-23531 cho phép đối tượng tấn công vượt qua cơ chế bảo mật của sandbox để thực thi mã tùy ý và thực hiện nâng cao đặc quyền.

Theo báo cáo gần đây của Công ty bảo mật Trellix, các lỗi này cũng bỏ qua các biện pháp giảm nhẹ mà Apple đưa ra để giải quyết các khai thác không nhấp chuột như FORCEDENTRY được nhà cung cấp phần mềm gián điệp đánh thuê của Israel NSO Group tận dụng để triển khai Pegasus trên các thiết bị của mục tiêu. Do đó, kẻ đe dọa có thể khai thác các lỗ hổng này để thoát ra khỏi hộp cát và thực thi mã độc hại với các quyền được nâng cao, có khả năng cấp quyền truy cập vào lịch, sổ địa chỉ, tin nhắn, dữ liệu vị trí, lịch sử cuộc gọi, máy ảnh, micrô và ảnh.

“Đối tượng tấn công có thể lợi dụng những lỗ hổng này để có khả năng truy cập trái phép vào tin nhắn, lịch, định vị, lịch sử cuộc gọi, micro, máy ảnh và ảnh của các thiết bị. Điều đáng lo ngại hơn là các lỗ hổng này có thể cho phép đối tượng tấn công cài đặt ứng dụng tùy ý hoặc thấm chí xóa sạch thiết bị”, đại diện Trellix cho biết thêm.

Hiện tại, Apple đã phát hành bản cập nhật mới nhất cho các thiết bị và khuyến nghị người dùng cập nhật phần mềm để bảo vệ các thiết bị của mình.

Tin liên quan

Khởi nghiệp

Hồ sơ Startup

Citigo là công ty công nghệ cung cấp những giải pháp đơn giản với chi phí tiết kiệm, giúp khách hàng nâng cao hiệu quả kinh doanh. Citigo hướng tới tầm nhìn trở thành công ty cung cấp giải pháp công nghệ cho doanh nghiệp phổ biến tại Đông Nam Á
ESBT là công ty hoạt động trọng lĩnh vực công nghệ thông tin, chúng tôi xây dựng những sản phẩm phần mềm cho cộng đồng và cung cấp dịch vụ phát triển phần mềm cho các doanh nghiệp
Lozi là một trong những ứng dụng thương mại điện tử được yêu thích nhất tại Việt Nam, kết nối hàng triệu người mua và người bán nhằm phục vụ nhu cầu mua bán trực tuyến ngày càng cao. Không chỉ là một cầu nối thương mại điện tử đáng tin cậy, Lozi còn cung cấp dịch vụ giao hàng nhanh chóng và tiện lợi chỉ trong 1 giờ, đem đến cho khách hàng những trải nghiệm mua sắm trực tuyến hiệu quả và tối ưu
Bắt nguồn từ mong muốn mang chất lượng dạy Tiếng Anh tại Trường Quốc tế đến với mọi học sinh Việt Nam, để các bạn nhỏ dù không có điều kiện kinh tế theo học tại các Trường Quốc Tế hay Trung Tâm đắt tiền vẫn có thể sử dụng Tiếng Anh tốt như người bản ngữ. Đây chính là hành trang chuẩn bị cho các em tương lai vươn ra thế giới. Chính vì lý do trên, đội ngũ sáng lập đã bắt tay vào xây dựng sản phẩm đầu tiên có tên “Chương trình học Tiếng Anh Online EDUPIA”.
Công ty TNHH SA-ACH định vị về lĩnh vững trồng rừng, phát triển gồm 3 loại cây và bốn tầng cây trên một hecta đất nhằm tạo hệ sinh thái bền vững, và nâng cao thu nhập cho bà con