Trong tháng 03/2023, qua công tác theo dõi, giám sát, Đội Ứng cứu sự cố an toàn thông tin ngành BHXH Việt Nam phát hiện số lượng tấn công có chủ đích qua thư điện tử như sau:

- Tổng số lượng thư điện tử bị chặn: 125

- Số chiến dịch có chủ đích: 02

- Số mã độc đính kèm trong tệp đính kèm: 91

- Số đường dẫn độc hại: 25

1. Phân tích cách thức tấn công

Tấn công có chủ đích

Tấn công chủ đích (APT) là một chiến dịch tấn công, thường do một nhóm các tin tặc sử dụng những kỹ thuật tấn công nâng cao để có thể hiện diện và tồn tại lâu dài trên mạng Internet nhằm khai thác dữ liệu có độ nhạy cảm cao. Khác với tấn công đại trà, tấn công chủ đích thường được xây dựng kịch bản kĩ lưỡng sau khi đã tìm hiểu về mục tiêu. Đồng thời, loại hình tấn công này cũng nguy hiểm do thường sử dụng mã độc tự phát triển hoặc chưa từng được công bố hoặc kết hợp nhiều loại tấn công khác nhau để xâm nhập hệ thống.

Ngày 27/03/2023, phát hiện chiến dịch tấn công qua thư điện tử phát tán 02 loại mã độc nguỵ trang bằng file xls (Microsoft Excel), đây là mã độc tương đối mới (được phát hiện gần nhất lần lượt từ ngày 28/02/2023 và 05/03/2023). Kẻ tấn công đã gửi thư điện tử giả mạo với nội dung thông báo dung lượng hộp thư của người dùng đã đầy để lừa người dùng tải về và mở file mã độc đính kèm.

Mã độc phát tán qua thư điện tử trong chiến dịch tấn công thứ nhất

Qua phân tích, kẻ tấn công đã chèn các mã thực thi (VBA macros) vào một file xls bình thường để mở các chương trình khác và kết nối đến các máy chủ điều khiển (CNC server). Máy chủ điều khiển đặt tại Cộng hoà Séc và Iran, đã từng được sử dụng để khai thác lỗ hổng Apache Log4j RCE (hay được biết đến với mã CVE-2021-44228 hoặc Log4Shell) vô cùng nguy hiểm được công bố vào cuối năm 2021. Đồng thời, mã độc thực hiện tải một file từ máy chủ điều khiển về và thực thi file này để tạo ra tiến trình đánh cắp thông tin của người dùng đã lưu trên trình duyệt.

Các hành vi của mã độc

Tấn công phát tán mã độc qua tệp đính kèm

Việc phát tán mã độc thông qua tệp đính kèm thường được những kẻ tấn công sử dụng với nhiều mục đích khác nhau như cài đặt phần mềm gián điệp, mã hoá dữ liệu người dùng, thu thập thông tin người dùng…

Trong tháng 3/2023, Đội Ứng cứu sự cố an toàn thông tin ngành BHXH Việt Nam phát hiện 91 tệp đính kèm là mã độc (bao gồm cả mã độc ở 02 chiến dịch trên), gồm những loại đáng chú ý:

- File xlsx (Microsoft Excel) chèn mã thực thi để khai thác lỗ hổng trong ứng dụng Microsoft Office.

Mã độc khai thác

File docx (Microsoft Word) chèn mã thực thi cài đặt phần mềm gián điệp lên máy nạn nhân.

Mã độc cài đặt phần mềm gián điệp

Mục tiêu tấn công của loại tấn công này là những người dùng, cán bộ của BHXH Việt Nam và các Tỉnh/Thành phố nhằm lây lan mã độc.

Tấn công phát tán đường dẫn độc hại

Những kẻ tấn công thường chọn cách thức tấn công này để dẫn người dùng đến những trang giả mạo nhằm lừa người dùng cung cấp thông tin, tải về các phần mềm chứa mã độc.

Trong tháng 3/2023, đã có tổng cộng 25 đường dẫn độc hại bị phát hiện, đa phần trong số đó là những trang web giả mạo các trang thương mại điện tử nhằm đánh cắp thông tin thanh toán của người dùng.

Xử lý, ngăn ngừa tấn công phát tán mã độc qua thư điện tử

Ở thời điểm phát hiện cảnh báo, các thư điện tử trên đều đã bị ngăn chặn qua các chính sách (policy) đã đặt trên các hệ thống bảo đảm an toàn thông tin. Đội Ứng cứu sự cố đã lập tức thực hiện kiểm tra thông tin liên quan đến chiến dịch (Hash /Domain/URL) và xác định đây là hình thức tấn công nguy hiểm, cần theo dõi sát sao và thực hiện các bước ngăn chặn tấn công:

- Ngăn chặn thực thi mã độc bằng các mã hash(mã định danh) đã phát hiện

- Chặn việc gửi, nhận thư từ domain phát tán mã độc

- Ngăn chặn truy cập đến các máy chủ mã độc trên tường lửa

- Kiểm tra các thư điện tử đã gửi đến từ domain, IP phát hiện.