Hai nhà nghiên cứu đầu tiên đã nhận về mỗi người 30.000 đô cho khai thác zero-day của họ, Bien Pham chỉ giành được 15.000 đô do bị trùng.

(@masthoon) từ Synacktiv (@Synacktiv) thông qua lỗi Use-After-Free (UAF). Imbert đã nhận được 30.000 đô cho khai thác này.

Cuối cùng, nhóm STAR Labs @starlabs_sg) đã sử dụng chuỗi khai thác UAF để tấn công VMWare Workstation và giành giải thưởng trị giá 80.000 đô.

Vào ngày đầu tiên, các nhà nghiên cứu tham gia Pwn2Own Vancouver 2023 đã giành được 375.000 đô và một chiếc Tesla Model 3 sau khi chứng minh khai thác thành công 12 zero-day trong Tesla Model 3, (EoP).

Các nhà cung cấp có 90 ngày để vá các lỗ hổng zero-day được thử nghiệm và báo cáo trong Pwn2Own trước khi Zero Day Initiative (ZDI) của Trend Micro tiết lộ chi tiết kỹ thuật về chúng.

Tại cuộc thi hack Pwn2Own Vancouver năm ngoái, các nhà nghiên cứu đã giành được 1.155.000 đô tiền thưởng sau khi hack thành công Hệ thống thông tin giải trí Tesla Model 3, (firewall) và ảo hóa thiếu hỗ trợ EDR. Khả năng kiểm soát firmware tường lửa và khai thác lỗ hổng zero-day cho thấy mức độ hiểu biết của nhóm về các công nghệ này".

Các tác nhân đe dọa trước đây được cho là có liên quan đến một hoạt động xâm nhập khác nhắm mục tiêu vào các máy chủ VMware ESXi và Linux vCenter như một phần của chiến dịch tấn công lớn nhằm triển khai các backdoor VIRTUALPITA và VIRTUALPIE.

Tiết lộ mới nhất từ ​​Mandiant được đưa ra khi Fortinet cho biết rằng các tổ chức chính phủ và tổ chức lớn đã trở thành nạn nhân của một tác nhân đe dọa chưa xác định bằng cách lạm dụng lỗ hổng zero-day trong phần mềm Fortinet FortiOS để dẫn đến mất dữ liệu, hỏng hệ điều hành và tệp.

Lỗ hổng có định danh CVE-2022-41328 (điểm CVSS: 6,5), liên quan đến lỗi path traversal trong FortiOS và có thể dẫn đến thực thi mã tùy ý. Nó đã được Fortinet vá vào ngày 7 tháng 3 năm 2023.

Theo Mandiant, các cuộc tấn công do UNC3886 thực hiện đã nhắm mục tiêu vào các thiết bị FortiGate, FortiManager và FortiAnalyzer đang để công khai trên internet của Fortinet để triển khai hai mã độc THINCRUST và CASTLETAP.

THINCRUST, là một backdoor Python có khả năng đọc, ghi các tệp và thực thi các lệnh tùy ý, được sử dụng để thực thi các tập lệnh (script) FortiManager dùng để khai thác lỗ hổng path traversal FortiOS để ghi đè lên các tệp hợp pháp và sửa đổi các firmware image.

Các tập lệnh bao gồm một payload mới có tên là "/bin/fgfm" (được gọi là CASTLETAP) dùng để báo hiệu cho máy chủ do tác nhân đe dọa kiểm soát chấp nhận các lệnh đến cho phép nó chạy lệnh, tải payload và đánh cắp dữ liệu từ máy chủ bị xâm phạm.

Các nhà nghiên cứu cho biết: “Sau khi CASTLETAP được triển khai cho tường lửa FortiGate, tác nhân đe dọa đã kết nối với các máy ESXi và vCenter và triển khai VIRTUALPITA và VIRTUALPIE để duy trì truy cập lâu dài, cho phép chúng duy trì truy cập vào các công cụ ảo hóa và máy khách."

Ngoài ra, trên các thiết bị FortiManager được triển khai các hạn chế truy cập internet, tác nhân đe dọa được cho là đã sử dụng CASTLETAP để cài cắm một reverse shell có tên là REPTILE ("/bin/klogd") trên hệ thống quản lý mạng để lấy lại quyền truy cập.

Cũng được UNC3886 sử dụng ở giai đoạn này là một tiện ích có tên là TABLEFLIP, một phần mềm chuyển hướng lưu lượng mạng để kết nối trực tiếp với thiết bị FortiManager bất kể các quy tắc kiểm soát truy cập (ACL) được áp dụng.

Đây không phải lần đầu tiên các tin tặc nhắm mục tiêu vào thiết bị mạng để phát tán mã độc, với các cuộc tấn công được phát hiện gần đây đã lợi dụng các lỗ hổng khác trong thiết bị Fortinet và SonicWall.

Theo Rapid7, tiết lộ được đưa ra khi các tác nhân đe dọa đang đẩy nhanh phát triển và triển khai khai thác, với 28 lỗ hổng bị khai thác trong vòng bảy ngày kể từ khi tiết lộ công khai - tăng 12% so với năm 2021 và tăng 87% so với năm 2020.

Điều này rất đáng lo ngại, nhất là khi các nhóm tin tặc đã trở nên "thành thạo" trong việc khai thác các lỗ hổng zero-day và triển khai phần mềm độc hại để đánh cắp thông tin đăng nhập của người dùng và duy trì quyền truy cập vào các mạng mục tiêu.

Mandiant cho biết "hoạt động này là một trong những bằng chứng cho thấy các tác nhân đe dọa gián điệp mạng tinh vi đang lợi dụng bất kỳ công nghệ có sẵn nào, đặc biệt là những công nghệ không hỗ trợ giải pháp EDR, để tồn tại và vượt qua các biện pháp bảo vệ của môi trường mục tiêu".

Để giảm thiểu nguy cơ bị tấn công, người dùng nên kiểm tra và cập nhật đầy đủ bản vá cho các sản phẩm, thiết bị đang sử dụng cũng như hạn chế cho phép truy cập công khai đến các thiết bị từ internet.

2. Winter Vivern APT sử dụng phần mềm quét vi-rút giả mạo để lây nhiễm mã độc

Một nhóm APT có tên 'Winter Vivern' đã nhắm mục tiêu vào các tổ chức chính phủ Châu Âu và các nhà cung cấp dịch vụ viễn thông để tiến hành hoạt động gián điệp.

Nhóm APT này được cho là có liên quan đến chính phủ Nga do các hoạt động của chúng phù hợp với lợi ích của Nga và Belarus.

Winter Vivern lần đầu tiên được DomainTools báo cáo vào năm 2021 khi nó nhắm mục tiêu vào các tổ chức chính phủ ở Litva, Slovakia, Vatican và Ấn Độ.

Trong các chiến dịch gần đây mà Sentinel Labs đã phát hiện, Winter Vivern đã nhắm mục tiêu vào các cá nhân làm việc trong chính phủ Ba Lan, Ý, Ukraine và Ấn Độ.

Ngoài các mục tiêu cấp cao của nhà nước, nhóm cũng nhắm vào các công ty viễn thông đã hỗ trợ Ukraine kể từ cuộc xâm lược của Nga.

Bắt đầu từ đầu năm 2023, Winter Vivern đã tạo các trang giả mạo các trang web của Cục Phòng chống Tội phạm Mạng Trung ương của Ba Lan, Bộ Ngoại giao Ukraine và Cơ quan An ninh Ukraine.

Các trang web này lưu trữ các tệp độc hại được phát tán thông qua các liên kết trong email độc hại được gửi đến các mục tiêu.

Trước đây, SentinelLabs cũng đã phát hiện các tệp bảng tính (XLS) có chứa macro độc hại khởi chạy PowerShell được phát tán thông qua các các trang web giả mạo mà nhóm APT sử dụng.

Một ví dụ cho thấy sự phát triển của Winter Vivern trong báo cáo của Sentinel Labs là việc sử dụng các tệp batch của (phần mềm, tệp) độc hại.

Chương trình độc hại sẽ giả vờ thực hiện quét vi-rút, hiển thị phần trăm thời gian còn lại đang chạy, trong khi âm thầm tải xuống tệp độc hại bằng PowerShell.

Payload được cài đặt thông qua quy trình này được đặt tên là "Aperetif", được CERT Ukraine tiết lộ chi tiết trong một báo cáo vào tháng 2 năm 2023.

Phần mềm độc hại được lưu trữ trên các trang web WordPress bị xâm nhập, thường được sử dụng cho các chiến dịch phát tán mã độc.

Aperetif có khả năng quét và lọc tệp tự động, chụp ảnh màn hình và gửi tất cả dữ liệu ở dạng mã hóa base64 tới máy chủ do kẻ tấn công kiểm soát (marakanas[.]com).

SentinelLabs cũng phát hiện ra một payload mới được Winter Vivern sử dụng, có vẻ như có chức năng tương tự với Aperefit nhưng có thiết kế chưa hoàn thiện, điều này cho thấy đây có thể là một công việc đang được tiến hành của nhóm.

Trong cả hai trường hợp, mã độc sẽ gửi các tín hiệu (beacon) đến máy chủ điều khiển tấn công bằng PowerShell và nhận lệnh hoặc payload bổ sung từ máy chủ.

Winter Vivern là một nhóm sử dụng cách tiếp cận tương đối đơn giản nhưng hiệu quả để thu hút mục tiêu tải xuống các tệp độc hại.

Để tránh trở thành nạn nhân của của các cuộc tấn công này, người dùng nên cẩn thận trước khi tải xuống bất kỳ tệp nào cũng như chỉ cài đặt các phần mềm, ứng dụng từ những nguồn đáng tin cậy.

Nguồn tham khảo:
[1] tinnhiemmang.vn
[2] antoanthongtin.vn
[3] thehackernews.com
[4] bleepingcomputer.com