Tin tức An toàn thông tin tuần 43, năm 2022 (25-31/10)

05/11/2022 09:35 PM


  1. Tin tức trong nước

  1. Cảnh báo các chiêu trò lừa đảo

Tình trạng người dân liên tục trình báo về các trường hợp nghi có dấu hiệu lừa đảo, chiếm đoạt tài sản qua việc đóng phí để nhận quà có giá trị gửi từ nước ngoài đã không còn xa lạ trên các kênh truyền thông đại chúng. Một số chiêu trò lừa đảo phổ biến hiện nay là thông qua kêu gọi đầu tư tài chính, tiền ảo hay lừa đảo nhận quả từ nước ngoài khiến nhiều người nhẹ dạ cả tin mắc bẫy.1

Lừa đảo kêu gọi đầu tư tài chính, tiền ảo bằng cách kêu gọi người chơi bỏ tiền tham gia đầu tư, mua - bán, giao dịch các loại "tiền ảo", "tiền kỹ thuật số", "tiền mã hóa" trên các sàn giao dịch nhị phân (Binary Option - BO), sàn đầu tư ngoại hối… không phải là một hình thức lừa đảo mới nữa. Tuy nhiên, vẫn còn rất nhiều người thiếu hiểu biết, mù quáng tin theo và trở thành nạn nhân của chiêu trò lừa đảo này.

Đánh vào lòng tham cũng như tâm lý muốn làm giàu nhanh của một số người, những kẻ lừa đảo tạo ra hàng loạt quảng cáo mời chào đầu tư hấp dẫn, hứa hẹn giúp người chơi làm giàu nhanh chóng với lãi suất khổng lồ, thậm chí còn cam kết hoàn tiền nếu người chơi gặp rủi ro khi đầu tư,…

Các nhóm, quảng cáo với lời chào mời đầu tư hấp dẫn

Lừa đảo nhận quà từ nước ngoài là chiêu trò lừa đảo qua mạng đã xuất hiện tại Việt Nam trong vài năm trở lại đây. Mặc dù được cơ quan chức năng cảnh báo rộng rãi nhưng đến nay vẫn có rất nhiều người nhẹ dạ cả tin mà đánh mất cả trăm triệu với hy vọng nhận được món quà giá trị từ nước ngoài gửi về. Sau một thời gian quen biết, trò chuyện, các đối tượng lừa đảo sẽ ngỏ ý gửi các món quà đắt tiền, có giá trị lớn về Việt Nam. Đáng chú ý, mặc dù chưa từng gặp ngoài đời nhưng nhiều nạn nhân lại dễ dàng đánh mất cả trăm triệu với hy vọng được nhận quà có giá trị do bạn ở nước ngoài gửi về.

Từ các vụ việc được nạn nhân trình báo, có thể nhận thấy quy trình đặc trưng trong hình thức lừa đảo này:

  • Các đối tượng lừa đảo tự xưng là người nước ngoài hoặc Việt kiều đang sinh sống ở nước ngoài kết bạn qua mạng xã hội như Facebook, Skype

  • Ngỏ ý gửi quà có giá trị từ nước ngoài về Việt Nam

  • Gặp rắc rối về thủ tục nhận quà, phải nộp tiền để chuộc

  • Cắt đứt liên lạc với nạn nhân sau khi nhận tiền

  1. Dự án “Chống lừa đảo” hợp tác cùng Cisco, Viettel, Cyradar để chống lừa đảo trực tuyến

Sản phẩm của dự án này là ChongLuaDao - một công cụ được cung cấp dưới dạng app và tiện ích mở rộng (add-on) trên các trình duyệt phổ biến như Chrome, Cốc Cốc, Brave, Kiwi Browser. Chức năng của công cụ này là cảnh báo cho người dùng về độ an toàn của các website cũng như tài khoản mạng xã hội.

Mới đây, dự án trên đã được công ty bảo mật Cisco Talos Intelligence cấp tài khoản để truy cập vào cơ sở dữ liệu blacklist (danh sách đen) các website lừa đảo do đơn vị này thu thập. Đồng thời, Cisco Talos Intelligence cũng sẽ cập nhật cơ sở dữ liệu blacklist của dự án Chống lừa đảo để chủ động ngăn chặn các website lừa đảo ngay trên các trình duyệt web.

Cũng trong dịp này, dự án Chống lừa đảo đã chính thức ký thỏa thuận hợp tác chiến lược với Viettel Cyber Security và CyRadar. Đây là 2 công ty hoạt động lâu năm trong lĩnh vực an ninh mạng tại Việt Nam.

Theo thỏa thuận, các công ty an ninh mạng nói trên sẽ cùng dự án Chống lừa đảo triển khai các chương trình hỗ trợ cộng đồng, nâng cao nhận thức về an toàn thông tin và giúp người dùng Việt phòng tránh khỏi các nguy cơ về vấn nạn lừa đảo trực tuyến như đánh cắp tài khoản, định danh, giả mạo vay tiền...

  1. Tin nước ngoài

  1. Nhóm tấn công APT SideWinder sử dụng backdoor WarHawk nhằm mục tiêu vào Pakistan

Kể từ tháng 4 năm 2020 đến tháng 6 năm 2022, các nhà nghiên cứu đã phát hiện hơn 1.000 cuộc tấn công của nhóm APT SideWinder. Gần đây, nhóm này đã trở lại tấn công vào Pakistan.

Thuật ngữ tấn công APT được dùng để chỉ một tập hợp các quá trình tấn công hệ thống máy tính bí mật và liên tục, thường được sắp xếp bởi một người hoặc một nhóm người nhắm vào một thực thể cá biệt. Tấn công APT thường nhắm tới các tổ chức tư nhân, nhà nước hoặc cả hai vì các động cơ kinh doanh hoặc chính trị.

Tấn công APT (Advanced Persistent Threat) là loại tấn công nguy hiểm do có sự chuẩn bị kĩ càng để đánh vào một mục tiêu cụ thể

Mục tiêu nhằm đến lần này là trang web chính thức của Cơ quan Quản lý Điện lực Quốc gia (NEPRA), Pakistan với backdoor có tên là WarHawk. Backdoor này mạo danh các ứng dụng hợp pháp để lừa người dùng thực hiện tải về payload độc hại. Nhóm sử dụng tệp ISO độc hại được lưu trữ trên trang web của NEPRA để thực hiện triển khai hoạt động WarHawk. Ứng dụng thường được giả danh là Realtek HD Audio Manager và ASUS Update (LAUSD) ở Hoa Kỳ. Ngoài ra có Đại học Y khoa Innsbruck ở Áo, trường đã phải thay đổi tất cả 3.400 mật khẩu tài khoản của sinh viên và 2.200 nhân viên sau khi dịch vụ CNTT bị gián đoạn nghiêm trọng.

      2. Nhóm tấn công Vice Society nhằm mục tiêu vào trường học với nhiều biến chủng ransomware

Gần đây, nhóm tấn công có tên là Vice Society được phát hiện sử dụng phần mềm tống tiền ransomware nhằm mục tiêu vào lĩnh vực giáo dục ở Hoa Kỳ và trên toàn thế giới. Nhóm này được biết đến trước đây với việc sử dụng nhiều chủng loại ransomware khác nhau trong các cuộc tấn công của mình.

Theo các nhà phân tích, Vice Society đã có sự hoán đổi giữa BlackCat, QuantumLocker, Zeppelin và một biến thể của nó. Ngoài ra, nhóm cũng triển khai ransomware HelloKitty/Five Hands. Kể từ tháng 9, nhóm đã chuyển sang phiên bản sửa đổi của payload có tên là Red (LAUSD) ở Hoa Kỳ. Ngoài ra có Đại học Y khoa Innsbruck ở Áo, trường đã phải thay đổi tất cả 3.400 mật khẩu tài khoản của sinh viên và 2.200 nhân viên sau khi dịch vụ CNTT bị gián đoạn nghiêm trọng.

  1. Nhà sản xuất đồng lớn nhất EU Aurubis bị tấn công mạng

Nhà sản xuất đồng của Đức - Aurubis đã thông báo rằng họ bị một cuộc tấn công mạng buộc phải ngừng cung cấp các hệ thống thông tin để ngăn chặn sự lây lan của cuộc tấn công. Tại thời điểm này, công ty này vẫn đang đánh giá tác động của cuộc tấn công mạng và đang hợp tác chặt chẽ với chính quyền để tăng tốc quá trình xử lý.

Aurubis bị tấn công mạng phải ngưng hoạt động hệ thống thông tin

  1. Tin kỹ thuật chung

  1. Apple phát hành bản vá cho lỗ hổng zero-day mới đã bị khai thác trong iOS và iPadOS

Trong ngày 27/10, Apple đã phát hành các bản cập nhật để khắc phục một lỗ hổng zero-day trong iOS và iPadOS mà họ cho rằng đã bị khai thác trong thực tế.

Lỗ hổng có định danh CVE-2022-42827, do một nhà nghiên cứu ẩn danh phát hiện và báo cáo, liên quan đến lỗi ‘out-of-bounds write’ trong kernel, có thể bị một ứng dụng độc hại lợi dụng để thực thi mã tùy ý với các đặc quyền cao nhất. Out-of-bounds write thường xảy ra khi một một ứng dụng cố gắng ghi dữ liệu vào một vị trí bộ nhớ mà nó không được phép truy cập, có thể dẫn đến hỏng dữ liệu, sự cố hệ thống hoặc thực thi mã trái phép.

Apple cho biết đã nhận được báo cáo về việc “lỗ hổng có thể đã bị khai thác trong thực tế" và không tiết lộ thêm chi tiết về lỗ hổng này để tránh việc lỗ hổng bị lạm dụng nhiều hơn.

CVE-2022-42827 là lỗ hổng out-of-bound liên quan đến Kernel thứ ba liên tiếp được Apple vá sau CVE-2022-32894 và CVE-2022-32917, đều được báo cáo là đã bị khai thác trong thực tế.

Bản cập nhật bảo mật này đã có sẵn cho iPhone 8 trở lên, iPad Pro (tất cả các mẫu), iPad Air thế hệ thứ 3 trở lên, iPad/iPad mini thế hệ thứ 5 trở lên.

Với bản vá mới nhất, Apple đã giải quyết tổng cộng tám lỗ hổng zero-day đã bị khai thác và một lỗ hổng zero-day được công khai rộng rãi kể từ đầu năm nay, bao gồm:

  • CVE-2022-22587 (IOMobileFrameBuffer), CVE-2022-22675 (AppleAVD), CVE-2022-32894 và CVE-2022-32917 (Kernel) – các lỗ hổng cho phép ứng dụng độc hại có thể thực thi mã tùy ý với đặc quyền kernel.

  • CVE-2022-22594 (WebKit Storage) - lỗ hổng cho phép một trang web thu thập thông tin nhạy cảm của người dùng (đã được công khai rộng rãi).

  • CVE-2022-22620 và CVE-2022-32893 (WebKit) - các lỗ hổng cho phép thực thi mã tùy ý.

CVE-2022-22674 (Intel Graphics Driver) - lỗ hổng cho phép ứng dụng độc hại truy cập đọc trái phép vào bộ nhớ kernel.

  1. Google phát hành bản cập nhật khẩn cấp cho Chrome để vá lỗ hổng zero-day đang bị khai thác

Ngày 27/10, Google đã phát hành các bản cập nhật bảo mật khẩn cấp để ngăn chặn một lỗ hổng zero-day đang bị tin tặc khai thác trong trình duyệt web Chrome. Lỗ hổng có định danh CVE-2022-3723, do các nhà nghiên cứu Jan Vojtěšek, Milánek và Przemek Gmerek của Avast phát hiện và báo cáo vào ngày 25 tháng 10 năm 2022, liên quan đến vấn đề nhầm lẫn kiểu (type confusion) trong V8 : center;">

Google phát hành bản vá khẩn cấp cho Chrome

Trong một tư vấn bảo mật, Google cho biết “đã nhận được các báo cáo về việc khai thác CVE-2022-3723 trong thực tế” và không tiết lộ thêm chi tiết cụ thể hơn về bản chất của các cuộc tấn công để tránh việc lỗ hổng bị lạm dụng nhiều hơn.

Đây cũng là zero-day thứ bảy đã được phát hiện và khắc phục trong Google Chrome kể từ đầu năm nay, 6 lỗ hổng trước đó bao gồm:

Người dùng nên nâng cấp lên phiên bản 107.0.5304.87 dành cho macOS và Linux và 107.0.5304.87/.88 cho (điểm CVSS: 7,5), ‘lỗ hổng 22 tuổi’ ảnh hưởng đến các phiên bản SQLite từ 1.0.12 đến 3.39.1 và đã được giải quyết trong phiên bản 3.39.2 được phát hành vào ngày 21 tháng 7 năm 2022.

Nhà nghiên cứu Andreas Kellas của Trail of Bits cho biết CVE-2022-35737 có thể bị khai thác trên các hệ thống 64 bit và khả năng khai thác phụ thuộc vào cách chương trình được biên dịch (compile). “Việc thực thi mã tùy ý chỉ xảy ra khi thư viện được biên dịch mà không có stack canaries, và vấn đề từ chối dịch vụ được xác nhận trong mọi trường hợp.”

Được lập trình bằng ngôn ngữ C, SQLite là công cụ cơ sở dữ liệu được sử dụng rộng rãi nhất, được dùng theo mặc định trong Android, iOS, (integer overflow) xảy ra khi các chuỗi dữ liệu đầu vào rất lớn được truyền dưới dạng tham số cho hàm printf của SQLite, dẫn đến cần sử dụng một hàm khác ("sqlite3_str_vappendf") để xử lý định dạng chuỗi.

Tuy nhiên, nếu chuỗi truyền vào chứa các kiểu thay thế định dạng %Q, %q, hoặc %w, có khả năng dẫn đến sự cố chương trình khi dữ liệu do người dùng kiểm soát được ghi vượt quá giới hạn mà stack buffer được cấp phát.

Kellas giải thích rằng “nếu chuỗi định dạng chứa '!', ký tự đặc biệt để kích hoạt tính năng quét ký tự unicode, có thể dẫn đến thực thi mã tùy ý trong trường hợp xấu nhất hoặc khiến chương trình bị treo và lặp (gần như) vô thời hạn”.

Lỗ hổng này là ví dụ cho một kịch bản tấn công từng được coi là không thực tế trong nhiều thập kỷ trước - cấp phát chuỗi 1GB làm đầu vào - được cho là khả thi với sự ra đời của hệ thống máy tính 64-bit. Kellas cho biết “lỗ hổng này có thể không phải là lỗi tại thời điểm nó được viết ra (năm 2000) khi các hệ thống chủ yếu là kiến ​​trúc 32-bit”.

  1. Lỗ hổng Juniper SSLVPN / JunOS RCE

- Lỗ hổng CVE-2022-22241:

Các tệp Phar File (PHP Archive) chứa metadata ở định dạng nối tiếp (serialized), khi được phân tích cú pháp bởi chức năng hoạt động tệp PHP dẫn đến metadata bị giải phóng. Kẻ tấn công có thể lạm dụng hành vi này để khai thác lỗ hổng khởi tạo đối tượng bên trong mã nguồn của Juniper.

Đặc điểm duy nhất về các tệp phar là sự giải phóng metadata này sẽ xảy ra ngay cả khi sử dụng các hàm PHP không đánh giá mã PHP như file_get_contents (), fopen (), file () hoặc file_exists (), md5_file (), fileMtime () hoặc fileSize () , is_dir (), nếu đầu vào của người dùng được chuyển đến các chức năng.

Lỗ hổng này có thể được khai thác bởi một kẻ tấn công từ xa mà không cần xác thực để có được các tệp Phar từ xa, từ đó ghi tệp tùy ý, dẫn đến lỗ hổng thực thi mã từ xa (RCE). Đây là lý do lỗ hổng này không được đánh giá là nghiêm trọng – CVSS 9,8.

Thông tin nguồn tham khảo:

[1] Cảnh báo chiêu trò lừa đảo thông qua kêu gọi đầu tư tài chính, tiền ảo

[2] Lừa đảo nhận quà từ nước ngoài khiến nhiều người nhẹ dạ cả tin mà đánh mất cả trăm triệu đồng

[3] Hiếu PC “bắt tay” Cisco, Viettel, CyRadar để chống lừa đảo trực tuyến

[4] SideWinder APT Uses New WarHawk Backdoor Against Pakistan

[5] Microsoft: Vice Society targets schools with multiple ransomware families

[6] Largest EU copper producer Aurubis suffers cyberattack, IT outage

[7] Apple Releases Patch for New Actively Exploited iOS and iPadOS Zero-Day Vulnerability

[8] Google Issues Urgent Chrome Update to Patch Actively Exploited Zero-Day Vulnerability

[9] 22-Year-Old Vulnerability Reported in Widely Used SQLite Database Library

[10] Juniper SSLVPN / JunOS RCE and Multiple Vulnerabilities

Trung tâm CNTT