Có ít nhất 2 nhóm tin tặc đứng sau các cuộc tấn công nhắm vào các tổ chức quốc phòng, chính phủ, các tổ chức tài chính ở Mỹ và nhiều quốc gia khác, thông qua việc khai thác lỗ hổng trong các thiết bị Pulse Secure VPN để vượt qua cơ chế xác thực đa yếu tố (multi-factor) và xâm nhập vào mạng các tổ chức.
Công ty an ninh mạng FireEye cho biết: "Nhiều lỗ hổng bảo mật đã được biết đến từ trước và một lỗ hổng mới CVE-2021-22893 được phát hiện vào tháng 4/2021. Tin tặc đã kết hợp các lỗ hổng bảo mật để khởi phát tấn công". Công ty này cũng chỉ ra 12 loại mã độc có liên quan đến việc khai thác trên các thiết bị Pulse Secure VPN.
FireEye đã theo dõi các hoạt động của 2 nhóm tấn công chưa được phân loại là UNC2630 và UNC2717. Nhóm đầu tiên có liên quan tới việc đột nhập vào mạng Defense Industrial base (Mỹ), nhóm thứ 2 được phát hiện trong chiến dịch nhắm đến một tổ chức châu Âu từ tháng 3/2021. Báo cáo chỉ ra nhóm UNC2630 hoạt động dưới danh nghĩa của chính phủ Trung Quốc và có khả năng liên quan đến nhóm APT5, dựa trên sự tương đồng trong quá trình tấn công được ghi nhận từ năm 2014, 2015.
Những cuộc tấn công do nhóm UNC2630 thực hiện được cho là bắt đầu từ đầu tháng 8/2020 và kéo dài đến tháng 10/2020. Trong khi nhóm UNC2717 lợi dụng những lỗ hổng này để cài mã độc trên hạ tầng mạng của các cơ quan chính phủ Mỹ và châu Âu và được kéo dài đến tháng 3/2021.
Thông qua việc khai thác nhiều lỗ hổng của Pulse Security VPN: CVE-2019-11510, CVE-2020-8260, CVE-2020-8243 và CVE-2021-22893; nhóm UNC2630 được cho là đã thu thập được các thông tin đăng nhập, từ đó tiến hành leo thang đặc quyền bên trong hệ thống. Để duy trì sự tồn tại các mã độc, nhóm này sử dụng những file binary hợp lệ của Pulse Secure để cho phép thực thi mã bất kì và cài cắm web shell có khả năng trích xuất file và có thể khởi chạy mã độc.
Ivanti, công ty đứng sau Pulse Secure VPN, đã phát hành bản vá để xử lý lỗ hổng cho phép thực thi file bất kì CVE-2021-22893 có điểm CVSS là 10. Công ty này cho biết những lổ hổng này đã ảnh hưởng đến một số ít khách hàng. Ngoài ra, hãng này đã cung cấp công cụ Pulse Connect Secure Integrity tới khách hàng để kiểm tra hệ thống của mình có bị ảnh hưởng hay không.
Những tổ chức sử dụng Pulse Secure được khuyến nghị cập nhật PCS Server phiên bản 9.1R.11.4 khi bản này được phát hành.
Mai Hương
10:00 | 09/02/2018
07:00 | 24/05/2021
09:00 | 25/05/2021
15:00 | 22/04/2021
11:00 | 14/04/2021
07:00 | 08/04/2024
Tháng 01/2024, nhóm nghiên cứu Zero Day Initiative (ZDI) của hãng bảo mật Trend Micro phát hiện chiến dịch phân phối phần mềm độc hại DarkGate. Các tác nhân đe dọa đã khai thác lỗ hổng CVE-2024-21412 trong Windows Defender SmartScreen để vượt qua kiểm tra bảo mật (bypass) và tự động cài đặt phần mềm giả mạo.
09:00 | 02/04/2024
Một chiến dịch phần mềm độc hại trên quy mô lớn có tên Sign1 đã xâm phạm hơn 39.000 trang web WordPress trong 6 tháng qua, sử dụng cách thức chèn mã JavaScript độc hại để chuyển hướng người dùng đến các trang web lừa đảo.
08:00 | 21/03/2024
Phần mềm độc hại mới trên Linux có tên là GTPDOOR được thiết kế để nhắm mục tiêu vào các mạng viễn thông dựa trên khai thác giao thức đường hầm trên GPRS (GPRS Tunneling Protocol-GTP) để thực thi câu lệnh và điều khiển (C2).
07:00 | 11/03/2024
Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024