Nhóm ứng phó khẩn cấp máy tính của Pháp cho biết: “Các chiến dịch tấn công này dường như khai thác lỗ hổng CVE-2021-21974 đã có bản vá từ ngày 23/2/2021”.
VMware trong cảnh báo riêng được phát hành vào thời điểm đó đã mô tả sự cố này là lỗ hổng tràn bộ đệm OpenSLP có thể dẫn đến việc thực thi mã tùy ý.
Nhà cung cấp dịch vụ ảo hóa lưu ý: “Một tác nhân độc hại nằm trong cùng một phân đoạn mạng với ESXi có quyền truy cập vào cổng 427, có thể kích hoạt sự cố tràn bộ nhớ trong dịch vụ OpenSLP dẫn đến thực thi mã từ xa”.
Nhà cung cấp dịch vụ đám mây của Pháp OVHcloud cho biết, các cuộc tấn công đang được phát hiện trên toàn cầu và chủ yếu nhắm vào châu Âu. Người ta nghi ngờ rằng các vụ xâm phạm có liên quan đến một chủng ransomware mới dựa trên Rust có tên là Nevada xuất hiện vào tháng 12/2022.
Các dòng ransomware khác được biết là đã sử dụng Rust trong những tháng gần đây bao gồm BlackCat, Hive, Luna, Nokoyawa, RansomExx và Agenda.
Các tác nhân đang mời cả các bên sử dụng tiếng Nga và tiếng Anh cộng tác với một số lượng lớn một số nhà môi giới truy cập ban đầu (IABs) trên web đen.
Đáng chú ý, nhóm đứng sau ransomware Nevada cũng đang tự mua quyền truy cập đã bị xâm phạm, nhóm này có một nhóm chuyên trách việc hậu khai thác và tiến hành xâm nhập mạng vào các mục tiêu mà chúng quan tâm.
Tuy nhiên, theo báo cáo của Bleeping Computer, các ghi chú đòi tiền chuộc trong các cuộc tấn công không có điểm tương đồng với phần mềm tống tiền Nevada, thêm vào đó, chủng này đang được theo dõi dưới tên ESXiArgs.
Người dùng được khuyến nghị nâng cấp lên phiên bản ESXi mới nhất để giảm thiểu các mối đe dọa tiềm ẩn cũng như hạn chế quyền truy cập vào dịch vụ OpenSLP đối với các địa chỉ IP đáng tin cậy.
OVHcloud đã xác nhận rằng các cuộc tấn công ransomware đã tận dụng lỗ hổng trong OpenSLP làm phương tiện thỏa hiệp ban đầu. Tuy nhiên, công ty cho biết họ không thể xác nhận liệu nó có dẫn đến việc lạm dụng CVE-2021-21974 ở giai đoạn này hay không. Nó cũng quay ngược lại những phát hiện ban đầu cho thấy mối liên hệ hợp lý với phần mềm tống tiền Nevada.
Nguyễn Chân
09:59 | 16/12/2014
09:00 | 04/05/2023
14:00 | 14/06/2023
14:34 | 14/10/2009
09:00 | 08/08/2023
13:00 | 23/06/2022
10:00 | 07/07/2023
14:00 | 23/02/2024
Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.
08:00 | 11/01/2024
Các nhà nghiên cứu bảo mật từ Đại học Ruhr Bochum (Đức) phát hiện ra một lỗ hổng trong giao thức mạng mật mã Secure Shell (SSH) có thể cho phép kẻ tấn công hạ cấp bảo mật của kết nối bằng cách phá vỡ tính toàn vẹn của kênh an toàn.
09:00 | 10/01/2024
Song song với mức độ phổ biến toàn cầu của tiền điện tử và có nhiều cách thức lưu trữ mới thì các kho công cụ tấn công được sử dụng bởi những tác nhân đe dọa tiền kỹ thuật số cũng ngày càng được mở rộng. Bài viết này dựa trên báo cáo của Kaspersky đề cập đến các phương pháp tấn công email khác nhau được tội phạm mạng sử dụng trong các chiến dịch lừa đảo nhắm vào hai cách lưu trữ tiền điện tử phổ biến nhất: ví nóng và ví lạnh.
09:00 | 08/12/2023
Để bổ sung thêm những tính năng dành cho các nền tảng ứng dụng nhắn tin hiện nay, các nhà phát triển bên thứ ba đã đưa ra các bản mod (phiên bản sửa đổi của ứng dụng không chính thức) cung cấp các tính năng mới bên cạnh những nâng cấp về mặt giao diện. Tuy nhiên, một số mod này có thể chứa phần mềm độc hại cùng với các cải tiến hợp pháp. Một trường hợp điển hình đã xảy ra vào năm ngoái khi các nhà nghiên cứu Kaspersky phát hiện ra Trojan Triada bên trong bản mod WhatsApp. Gần đây, các nhà nghiên cứu đã phát hiện một bản mod Telegram có module gián điệp được nhúng và phân phối thông qua Google Play. Câu chuyện tương tự hiện tại xảy ra với WhatsApp, khi một số bản mod trước đây đã được phát hiện có chứa module gián điệp có tên là Trojan-Spy.AndroidOS.CanesSpy.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024