Tin tức An toàn thông tin tuần 47, năm 2022 (21-27/11)

29/11/2022 02:14 PM


Tin tức An toàn thông tin tuần 47, năm 2022 (21-27/11)

Tin tức trong nước:

Hội thảo, triển lãm quốc tế Ngày An toàn thông tin Việt Nam 2022

Ngày 24-11, tại Hà Nội đã diễn ra Hội thảo - Triển lãm quốc tế Ngày An toàn thông tin Việt Nam 2022 với chủ đề: “Chung tay bảo vệ người dân và doanh nghiệp chuyển đổi số an toàn”.

Sự kiện được sự bảo trợ của Bộ Thông tin và Truyền thông, Hiệp hội An toàn thông tin Việt Nam (VNISA) phối hợp cùng Cục An toàn thông tin (Bộ TT&TT) tổ chức. Đây cũng là hoạt động hưởng ứng quan điểm của Chính phủ là lấy người dân, doanh nghiệp là trung tâm, chủ thể, mục tiêu và động lực của chuyển đổi số.

Phiên Hội thảo toàn thể buổi sáng với chủ đề “Chung tay bảo vệ người dân và doanh nghiệp chuyển đổi số an toàn” với các nội dung chính: tham luận tổng quan về An toàn thông tin mạng năm 2022 và một số nhiệm vụ trọng tâm năm 2023 của lãnh đạo Cục An toàn thông tin, Bộ TT&TT; tham luận của các Tập đoàn lớn về CNTT-TT tại Việt Nam như “An toàn thông tin trong Chuyển đổi số - Thách thức và Giải pháp” Công ty An ninh mạng Viettel, “Giải pháp bảo mật dựa trên IOT phục vụ triển khai dịch vụ công trực tuyến” của Trung tâm An toàn thông tin, Tập đoàn VNPT. Bên cạnh đó là các tham luận của doanh nghiệp ATTT nổi tiếng trên thế giới như Fortinet, Huawei, Nessar, Synopsis…

Là một diễn đàn thường niên quan trọng, được sự quan tâm đối với cộng đồng an toàn, an ninh mạng trong nước và quốc tế, Hội thảo – Triển lãm Ngày An toàn thông tin Việt Nam năm nay nhằm góp phần tạo ra môi trường chuyển đổi số an toàn, đáp ứng nhu cầu của người dân, doanh nghiệp, vì một cuộc sống tốt đẹp hơn.

Tin nước ngoài

Nhân viên của Meta bị sa thải vì xâm phạm và chiếm đoạt tài khoản người dùng Facebook và Instagram

Mới đây, Tạp chí Wall Street đã đưa tin về việc Meta Platforms đã sa thải hoặc kỷ luật hơn hai chục nhân viên trong năm qua vì đã xâm phạm và chiếm đoạt tài khoản người dùng. Một số trường hợp liên quan đến việc nhận hối lộ.

Những người bị sa thải bao gồm các nhân viên bảo mật tại các cơ sở của công ty và được cấp quyền truy cập vào một công cụ nội bộ cho phép giúp "người dùng mà họ biết" truy cập vào tài khoản sau khi quên mật khẩu hoặc bị khóa tài khoản.

Công cụ được gọi là "Oops", viết tắt của Online Operations (các hoạt động trực tuyến), nằm ngoài phạm vi của đại đa số người dùng của nền tảng, dẫn đến sự xuất hiện các đối tượng trung gian thu phí người dùng (lên đến hàng nghìn đô la) và tìm đến những người trong cuộc (nhân viên của công ty) để thiết lập lại các tài khoản một cách bất hợp pháp.

Theo Tạp chí Wall Street, giải pháp thay thế cho quy trình khôi phục tài khoản tự động của Meta, vốn chỉ giới hạn cho nhân viên, bạn bè và gia đình, đối tác kinh doanh và người của công chúng, ước tính đã xử lý khoảng 50.270 báo cáo vào năm 2020, tăng từ 22.000 vào năm 2017.

Với quyền truy cập hạn chế vào công cụ, không có gì ngạc nhiên khi một loại ‘thị trường chợ đen’ đã mọc lên cho những người dùng bị mất quyền truy cập vào tài khoản của họ.

Trong một trường hợp, một nhân viên trước đây đã cố tình hỗ trợ các bên thứ ba giấu tên chiếm đoạt tài khoản Instagram của người dùng. Nhân viên này biện hộ rằng anh ta đã bị lừa khi gửi các báo cáo Oops để thiết lập lại các tài khoản bị ảnh hưởng được đề cập.

Một trường hợp khác liên quan đến một nhân viên bị sa thải sau khi một cuộc điều tra nội bộ phát hiện ra việc cô ấy đã thay mặt tin tặc thiết lập lại nhiều tài khoản người dùng để đổi lấy việc nhận thanh toán bằng Bitcoin cho các dịch vụ của mình. Meta cho biết việc mua bán tài khoản hoặc trả tiền cho dịch vụ khôi phục tài khoản là vi phạm điều khoản dịch vụ của công ty.

Meta gỡ bỏ các tài khoản Facebook và Instagram giả mạo liên quan đến hoạt động gây ảnh hưởng bí mật của Mỹ

Thứ Ba vừa qua, Meta Platforms cho biết họ đã gỡ bỏ một mạng lưới [có nguồn gốc từ Mỹ] các tài khoản và trang (page) trên Facebook và Instagram của những người có liên quan đến hoạt động truyền bá của quân đội Mỹ về hình ảnh đất nước này ở khu vực Trung Đông và Trung Á.

Meta cho biết các đối tượng đứng sau hoạt động này đã mạo danh cộng đồng mà họ nhắm mục tiêu, tuyên truyền nội dung bằng tiếng Ả Rập, tiếng Farsi và tiếng Nga với các chủ đề về tăng cường hợp tác quân sự với Mỹ, đồng thời chỉ trích Iran, Trung Quốc và Nga.

Trong một báo cáo các mối đe dọa, Meta cho biết những câu chuyện này kể về “cuộc xâm lược của Nga vào Ukraine, cách đối xử của Trung Quốc với người Uyghur, ảnh hưởng của Iran ở Trung Đông và sự hỗ trợ của chế độ Taliban ở Afghanistan bởi Nga và Trung Quốc”.

Nội dung liên quan đến đại dịch COVID-19 cũng được đăng tải, một số đã bị gỡ bỏ do vi phạm chính sách thông tin sai lệch (misinformation policy).

Có 39 tài khoản Facebook, 16 trang, hai nhóm và 26 tài khoản trên Instagram bị phát hiện tham gia vào hoạt động này và nó tiếp tục được mở rộng sang các nền tảng khác như Twitter, YouTube, Telegram, VKontakte và Odnoklassniki.

Về phạm vi tiếp cận, Meta nhận thấy khoảng 22.000 tài khoản đã theo dõi một hoặc nhiều trang này, khoảng 400 tài khoản đã tham gia ít nhất một trong các nhóm và khoảng 12.000 tài khoản đã theo dõi một hoặc nhiều tài khoản Instagram. Khoảng 2.500 đô la đã được chi cho các quảng cáo trên Facebook.

Tuy nhiên, các nỗ lực tuyên truyền này dường như không thành công. Meta cho biết: “Phần lớn các bài đăng của hoạt động này có rất ít hoặc không có sự tham gia từ các cộng đồng thực.

Thông tin chi tiết về chiến dịch lần đầu tiên được tiết lộ vào đầu tháng 8 này khi các nhà nghiên cứu từ Graphika và Stanford Internet Observatory phát hiện ra việc sử dụng nhiều dịch vụ truyền thông xã hội để quảng bá các câu chuyện phương Tây.

Stanford Internet Observatory cho biết "những chiến dịch này liên tục đưa ra những câu chuyện nhằm thúc đẩy lợi ích của Mỹ và các đồng minh trong khi chống lại các quốc gia bao gồm Nga, Trung Quốc và Iran". Đây là "trường hợp lớn nhất về các hoạt động gây ảnh hưởng bí mật từ phương Tây trên phương tiện truyền thông mạng xã hội."

Tiết lộ được đưa ra gần hai tháng sau khi Meta gỡ bỏ hai nhóm khác nhau, bắt nguồn từ Trung Quốc và Nga, liên quan đến các hoạt động truyền thông bí mật gây ảnh hưởng đến chính trị.

Tin kỹ thuật chung

Phát hiện chiến dịch độc hại mới đang lợi dụng FIFAWorldCup để phát tán Trojan

Mới đây, các nhà nghiên cứu từ E (clipboard), các tệp, bản ghi cuộc gọi,… trên thiết bị bị nhiễm. Dữ liệu thu thập được sẽ được mã hóa trước khi chuyển đến và lưu trữ trên máy chủ do kẻ tấn công kiểm soát. Trang web và máy chủ được sử dụng cho hoạt động độc hại này cũng đã được phát hiện, bao gồm website có tên miền kora442[.]com và máy chủ tại firebasecrashanalyticz[.]com.

Trước đó khoảng hơn một năm rưỡi, các nhà nghiên cứu zLabs cũng đã phát hiện và cảnh báo về Trojan này trong khi nó đang giả dạng một ứng dụng cập nhật hệ thống (system update app).

Với sức nóng của mùa World Cup hiện tại, không có gì đáng ngạc nhiên khi tin tặc đã lợi dụng điều này để lừa những người thích xem bóng đá tải về phần mềm độc hại đánh cắp thông tin. Người dùng đã cài đặt ứng dụng giả mạo này nên gỡ bỏ nó khỏi thiết bị của mình ngay lập tức.

Các phần mềm độc hại thường giả dạng các ứng dụng được nhiều người quan tâm để lừa những người dùng thiếu cảnh giác tải và cài đặt chúng. Để tránh trở thành nạn nhân của các chiến dịch độc hại này, người dùng nên xem xét kỹ lưỡng các đánh giá, xếp hạng về ứng dụng trước khi cài đặt cũng như chỉ cài đặt ứng dụng từ các nguồn đáng tin cậy.

Phát hiện các lỗ hổng mức cao trong các thiết bị F5 BIG-IP và BIG-IQ

Nhiều lỗ hổng bảo mật mức cao đã được phát hiện và báo cáo trong các thiết bị F5 BIG-IP và BIG-IQ, nếu khai thác thành công có thể làm tổn hại hoàn toàn đến các hệ thống bị ảnh hưởng.

Công ty bảo mật Rapid7 cho biết các lỗ hổng ảnh hưởng đến các phiên bản BIG-IP 13.x, 14.x, 15.x, 16.x và 17.x và BIG-IQ Centralized Management phiên bản 7.x và 8.x, có thể bị lạm dụng để truy cập từ xa vào các thiết bị và vượt qua các hạn chế về bảo mật.

Nhà nghiên cứu Ron Bowes của Rapid7 cho biết “khai thác thành công CVE-2022-41622, kẻ tấn công có thể có quyền truy cập root vào giao diện quản lý của thiết bị (ngay cả khi giao diện quản lý không kết nối mạng)”. Tuy nhiên, khai thác này yêu cầu quản trị viên đã xác thực trước đó để truy cập vào trang web mục tiêu.

Cũng được xác định là ba trường hợp bỏ qua tính năng bảo mật khác mà F5 cho biết là không thể bị khai thác nếu không phá vỡ các rào cản bảo mật hiện có. Một tác nhân độc hại có quyền truy cập Advanced Shell (bash) vào hệ thống BIG-IP hoặc BIG-IQ có thể lạm dụng những lỗ hổng này để thực thi các lệnh system command tùy ý, tạo/xóa tệp hoặc vô hiệu hóa dịch vụ.

Trong các triển khai mặc định trên các thiết bị, chỉ người dùng có vai trò Quản trị viên và người dùng root mới được cấp quyền truy cập bash trên hệ thống BIG-IP hoặc BIG-IQ và những người dùng này đã có toàn quyền truy cập vào hệ thống cục bộ. Mặc dù chưa có thông tin về việc các lỗ hổng đã hay đang bị khai thác trong các cuộc tấn công, nhưng người dùng nên áp dụng "bản vá lỗi" do công ty phát hành càng sớm càng tốt để giảm thiểu rủi ro tiềm ẩn.

Hàng triệu thiết bị Android vẫn chưa được vá các lỗ hổng GPU Mali

Các lỗ hổng bảo mật mức trung bình trong driver GPU Mali của Arm hiện vẫn chưa được vá trên hàng triệu thiết bị Android trong vài tháng qua, mặc dù các bản vá đã được nhà sản xuất chip phát hành từ tháng 7 và tháng 8 năm 2022.

Google Project Zero là công ty đã phát hiện và báo cáo các lỗ hổng. Nhà nghiên cứu Ian Beer của Project Zero cho biết: "Các bản sửa lỗi này vẫn chưa được áp dụng cho các thiết bị Android bị ảnh hưởng, bao gồm Pixel, Samsung, Xiaomi, Oppo và các hãng khác. Các thiết bị sử dụng GPU Mali hiện vẫn chứa các lỗ hổng."

Các lỗ hổng được định danh là CVE-2022-33917 (điểm CVSS: 5,5) và CVE-2022-36449 (điểm CVSS: 6,5), liên quan đến trường hợp xử lý bộ nhớ không đúng cách, do đó cho phép người dùng không có quyền truy cập trái phép vào bộ nhớ.

Trong một tư vấn bảo mật, Arm cho biết CVE-2022-36449 còn có thể bị khai thác để ghi trái phép vào bên ngoài bộ nhớ đệm (write outside of buffer bounds) và làm lộ thông tin chi tiết bảng ánh xạ bộ nhớ (memory mappings).

Việc khai thác thành công các lỗ hổng có thể cho phép kẻ tấn công với quyền thực thi mã trong ngữ cảnh ứng dụng có thể giành quyền kiểm soát hệ thống và vượt qua các kiểm tra của hệ thống phân quyền trên Android để truy cập trái phép vào dữ liệu người dùng. Hàng triệu thiết bị bị ảnh hưởng chưa được vá lỗ hổng đang có nguy cơ cao bị các tác nhân đe dọa khai thác.

Beer cho biết “người dùng nên áp dụng các bản vá cho các lỗ hổng nhanh nhất có thể sau khi chúng được phát hành”. "Các công ty cũng cần duy trì cảnh giác và cố gắng hết sức để cung cấp các bản vá hoàn chỉnh cho người dùng càng sớm càng tốt".

Các ứng dụng quản lý tệp trên Android đã lây nhiễm mã độc SharkBot cho hàng nghìn thiết bị

SharkBot, một phần mềm độc hại nhắm mục tiêu vào các ứng dụng ngân hàng, một lần nữa xuất hiện trên Cửa hàng Google Play (Play Store) dưới dạng các ứng dụng quản lý tệp để vượt qua các hạn chế của Google.

Mới đây, công ty bảo mật Bitdefender của Romania cho biết phần lớn người dùng đã tải xuống các ứng dụng giả mạo ở Vương quốc Anh và Ý. SharkBot, được Cleafy phát hiện lần đầu tiên vào cuối năm 2021, là một mối đe dọa cho thiết bị di động đã được phát tán thông qua Cửa hàng Google Play và các cửa hàng ứng dụng bên thứ ba khác.

Một trong những mục tiêu chính của SharkBot là đánh cắp tiền từ các thiết bị bị xâm nhập thông qua Hệ thống chuyển tự động (ATS), giao dịch chuyển tiền thông qua ứng dụng ngân hàng sẽ bị chặn bắt và sửa đổi để hoán đổi tài khoản người nhận với tài khoản do kẻ tấn công kiểm soát.

Nó có khả năng tạo ra một giao diện vô hình phủ lên giao diện đăng nhập khi người dùng sử dụng các ứng dụng ngân hàng hợp pháp nhằm đánh cắp thông tin đăng nhập của họ.

Những ứng dụng này trông có vẻ vô hại, chúng thường giả dạng phần mềm chống vi-rút và ứng dụng làm sạch (cleaner app) để thâm nhập vào Cửa hàng Google Play. Chúng được thiết kế như các dropper, phần mềm có khả năng tải/cài đặt các công cụ độc hại (payload) khác sau khi nó được cài đặt trên thiết bị.

LiteCleaner M hiện vẫn còn tồn tại trên một cửa hàng ứng dụng của bên thứ ba có tên Apksos cùng với một biến thể SharkBot khác có tên "Phone AID, Cleaner, Booster" (com.sidalistudio.developer.app).

Với việc Google liên tục kiểm soát vấn đề lạm dụng quyền, việc tin tặc giả dạng các ứng dụng quản lý tệp để vượt qua hạn chế của Google là điều không có gì đáng ngạc nhiên.

Điều này do chính sách hạn chế quyền cài đặt các package bên ngoài (REQUEST_INSTALL_PACKAGES) của Google không áp dụng đối với một số danh mục ứng dụng như trình duyệt web, ứng dụng nhắn tin trực tuyến hỗ trợ tệp đính kèm, ứng dụng quản lý tệp, quản lý thiết bị doanh nghiệp,...

Quyền này thường bị lạm dụng để tải xuống và cài đặt phần mềm độc hại từ một máy chủ từ xa. Một số ứng dụng ngân hàng bị nhắm mục tiêu bao gồm Bank of Ireland, Bank of Scotland, Barclays, BNL, HSBC U.K., Lloyds Bank, Metro Bank và Santander.

Người dùng đã cài đặt các ứng dụng giả mạo nói trên nên xóa chúng và thay đổi mật khẩu tài khoản ngân hàng của mình ngay lập tức. Người dùng cũng nên kích hoạt Play Store Protect, đồng thời xem xét kỹ lưỡng xếp hạng và đánh giá về ứng dụng trước khi tải và cài đặt.

Microsoft cảnh báo tin tặc đang sử dụng Google Ads để phát tán Royal Ransomware

Một nhóm tin tặc, đang được Microsoft theo dõi dưới cái tên DEV-0569, đã bị phát hiện đang sử dụng Google Ads để phát tán các phần mềm độc hại, bao gồm ransomware Royal mới được phát hiện vào cuối tháng 10 năm nay.

Nhóm bảo mật [Security Threat Intelligence] của Microsoft cho biết "các cuộc tấn công của DEV-0569 được phát hiện cho thấy sự phát triển liên tục của nhóm tin tặc với sự kết hợp của các kỹ thuật do thám mới, khả năng trốn tránh phòng thủ và nhiều công cụ độc hại khác nhau được sử dụng sau khi xâm nhập".

DEV-0569 dựa vào các quảng cáo độc hại để hướng nạn nhân đến các liên kết tải xuống phần mềm độc hại giả dạng chương trình cài đặt cho các ứng dụng hợp pháp như Adobe Flash Player, AnyDesk, LogMeIn, Microsoft Teams và Zoom.

Phần mềm độc hại được tải xuống có chứa BATLOADER, một công cụ dropper được thiết kế để triển khai các mã độc sử dụng cho giai đoạn tiếp theo sau khi nó được cài đặt.

Phân tích BATLOADER cho thấy khả năng lẩn tránh và duy trì truy cập của nó bên cạnh việc sử dụng SEO poisoning để thu hút người dùng tải xuống phần mềm độc hại từ các trang web do kẻ tấn công kiểm soát.

SEO poisoning là một phương pháp tấn công trong đó tội phạm mạng tạo ra các trang web độc hại và sử dụng các chiến thuật tối ưu hóa công cụ tìm kiếm để làm cho chúng hiển thị nổi bật trong kết quả tìm kiếm của người dùng.

Các liên kết lừa đảo được phát tán thông qua các email rác, trang web giả mạo, nhận xét trên các blog và cả biểu mẫu liên hệ trên trang web của các tổ chức bị nhắm mục tiêu.

DEV-0569 sử dụng các chuỗi lây nhiễm khác nhau để phát tán các loại mã độc như phần mềm đánh cắp thông tin hoặc một công cụ quản lý dùng để duy trì truy cập mạng, cũng có thể được dùng để triển khai ransomware.

Ngoài ra, DEV-0569 còn sử dụng công cụ NSudo để khởi chạy các chương trình với đặc quyền nâng cao và làm suy yếu khả năng phòng thủ bằng cách thêm các giá trị registry được thiết kế để vô hiệu hóa các giải pháp chống vi-rút.

Theo Microsoft, việc sử dụng Google Ads để phát tán BATLOADER một cách có chọn lọc cho thấy sự đa dạng trong các phương pháp tấn công của DEV-0569, cho phép chúng tiếp cận nhiều mục tiêu hơn và phát tán phần mềm độc hại.

Nhóm này còn đóng vai trò là bên môi giới truy cập cho các nhóm ransomware khác cũng như có liên quan đến những kẻ khai thác phần mềm độc hại như Emotet, IcedID, Qakbot.

Microsoft khuyến nghị rằng: “Do các chiến dịch lừa đảo của DEV-0569 lạm dụng các dịch vụ hợp pháp, các tổ chức cũng có thể thiết lập các quy tắc mail để chặn bắt các thư chứa các từ khóa đáng ngờ hoặc triển khai các danh sách chặn/cho phép dựa trên dải IP và tên miền”.

 

PV