Lỗ hổng Microsoft Office bị khai thác để tấn công APT

15:45 | 30/05/2016 | LỖ HỔNG ATTT

Một lỗ hổng Office của Microsoftđã được vá từ năm 2015, đến nay lại bị khai thác để tiến hành tấn công có chủ đích (APT) trong các hoạt động nhằm mục tiêu đến nhiều tổ chức ở châu Á.

Lỗ hổng thực thi mã từ xa, CVE-2015-2545, đã bị khai thác bởi một nhóm APT có tên Platinum hay TwoForOne trước khi Microsoft phát hành bản vá vào tháng 9/2015 và một bản vá toàn diện hơn 2 tháng sau đó. Nhóm tin tặc được cho là nhắm mục tiêu vào các tổ chức tại Nam và Đông Nam Á, đã hoạt động ít nhất là từ năm 2009.

CVE-2015-2545 có thể bị khai thác để thực thi mã tùy ý thông qua các tập tin hình ảnh Encapsulated PostScript (EPS) đặc biệt được chèn vào tài liệu Office. Mã khai thác lỗ hổng này có thể tránh các cơ chế an toàn như ASLR (Address Space Layout Randomization) và DEP (Data Execution Prevention).

Theo Kaspersky Lab, Platinum là nhóm đầu tiên khai thác CVE-2015-2545 để phát tán mã độc, nhưng nhóm này đã dừng sử dụng lỗ hổng sau khi Microsoft phát hành bản vá.

Một trong những nhóm APT đầu tiên lợi dụng CVE-2015-2545 sau khi lỗ hổng đã được vá bởi Microsoft là EvilPost, một nhóm tin tặc có liên hệ với Trung Quốc, sử dụng tài liệu Word làm vũ khí tấn công một nhà thầu quốc phòng của Nhật Bản trong tháng 12/2015.

Vào khoảng thời gian đó, một tin tặc Trung Quốc có tên APT16, sử dụng mã khai thác lỗ hổng Office này để tấn công các cơ quan chính phủ và truyền thông ở Đài Loan. Các tổ chức tại Đài Loan cũng trở thành mục tiêu của một nhóm tin tặc có tên SVCMONDR trong tháng 12/2015.

Các cuộc tấn công của SVCMONDR có điểm tương đồng với các hoạt động do một nhóm tin tặc Danti tiến hành. Tuy nhiên, các nhà nghiên cứu không thể xác định chính xác SVCMONDR và Danti thuộc cùng một nhóm hay đơn giản chỉ sử dụng mã độc tương tự nhau.

Nhóm tin tặc Danti từng nhằm mục tiêu vào Kazakhstan, Kyrgyzstan, Uzbekistan, Myanmar, Nepal và Philippines. Danti được cho là một nhóm mới, có liên quan đến các gián điệp mạng NetTraveler và DragonOK, bắt đầu hoạt động từ 2013 và 2014.

Danti sử dụng CVE-2015-2545 trong tháng 2 và 3/2016 để khởi phát các cuộc tấn công vào các tổ chức ngoại giao Ấn Độ, trong đó có nhiều Đại sứ quán. Các hoạt động của nhóm cũng được Palo Alto Networks phân tích, có kết nối giữa mã độc được sử dụng trong các cuộc tấn công nhằm vào Đại sứ quán Ấn Độ và mã độc được sử dụng năm 2013 trong một chiến dịch mang tên Operation Ke3chang. Nhiều bằng chứng cho thấy tin tặc có trụ sở tại Trung Quốc.

Palo Alto Networks gần đây cũng phân tích một chiến dịch nhóm APT lợi dụng lỗ hổng Office để phát tán biến thể Poison Ivy có tên là SPIVY để nhằm đến các tổ chức ở Hồng Kông.

Theo Kaspersky, tất cả các nhóm từng khai thác CVE-2015-2545 đều nhằm mục tiêu vào các tổ chức ở châu Á.

Ngoài các nhóm APT, tội phạm mạng truyền thống cũng lợi dụng mã khai thác office trong các chiến dịch thư rác.

Các nhà nghiên cứu Kaspersky cho biết, các cuộc tấn công này chủ yếu nhằm mục tiêu tổ chức tài chính ở châu Á. Cụ thể, các cuộc tấn công đã được ghi nhận tại Việt Nam, Philippines và Malaysia. Có nhiều lý do để tin rằng tội phạm mạng Nigeria đứng đằng sau. Trong một số trường hợp, cơ sở hạ tầng được sử dụng giống như những gì họ đã thấy khi phân tích trojan Adwind.

‹ › ×

Tin liên quan

Hiểm họa tấn công APT từ các cuộc tấn công lừa đảo

09:00 | 31/01/2019

Ngày nay, tấn công có chủ đích đã trở thành mối nguy hiểm thường trực cho các tổ chức, doanh nghiệp, hạ tầng trọng yếu quốc gia. Được đánh giá là một hình thức tấn công “may đo”, dai dẳng và có chủ đích vào một thực thể, nên khi phát hiện tấn công APT thì thiệt hại cho tổ chức, doanh nghiệp là khó ước lượng được. Trong đó, giai đoạn chuẩn bị của vòng đời một cuộc tấn công APT được đánh giá rất quan trọng. Việc thu thập thông tin, nghiên cứu về con người, hạ tầng của mục tiêu trở thành vấn đề then chốt. Kẻ tấn công thường áp dụng kỹ nghệ xã hội, lừa đảo người dùng, lây nhiễm mã độc để khai thác thông tin. Một trojan, backdoor, virus nhiễm vào máy tính người dùng ngày hôm nay, có thể sẽ là mở đầu của một tấn công APT vào những ngày sau đó. Vì vậy, các cuộc tấn công lừa đảo trở thành một trong những dấu hiệu nhận biết của tấn công APT.

Người dùng cần duy trì chế độ Protected View của Microsoft Office

09:00 | 02/07/2019

Chế độ “Xem an toàn” (Protected View) được tích hợp trong phần mềm Microsoft Office từ phiên bản 2010 giúp bảo vệ người dùng khỏi các rủi ro an toàn thông tin như lây nhiễm mã độc hại.

Ứng dụng Microsoft Office dính lỗ hổng nghiêm trọng

10:00 | 21/08/2020

Mới đây, cựu tin tặc Patrick Wardle (NSA) đã phát hiện một lỗ hổng nghiêm trọng bên trong ứng dụng Microsoft Office, cho phép tin tặc có thể chiếm quyền kiểm soát toàn bộ máy Mac.

Tin cùng chuyên mục

Công bố chi tiết lỗ hổng Zero-Click Shortcut mới được phát hiện gần đây của Apple

09:00 | 08/03/2024

Thông tin chi tiết về một lỗ hổng có độ nghiêm trọng mức cao trong ứng dụng Shortcut của Apple đã được công bố, trong đó lỗ hổng có thể cho phép một Shortcut truy cập thông tin nhạy cảm trên thiết bị mà không có sự đồng ý của người dùng.

Phát hiện lỗ hổng nghiêm trọng trong công cụ giải nén WinRAR

16:00 | 06/09/2023

Chuyên gia an ninh mạng của Zero Day Initiative phát hiện lỗ hổng nghiêm trọng trong WinRAR - công cụ giải nén phổ biến được hàng triệu người dùng Windows sử dụng. Lỗ hổng này đã được báo cáo lỗ hổng cho nhà cung cấp RARLAB. Đáng lưu ý, tin tặc có thể thực thi các lệnh trên máy tính từ xa nếu người dùng vô tình mở một file nén có mã độc.

Phát hiện lỗ hổng bảo mật hợp đồng thông minh trên nền tảng Ethereum dựa trên kỹ thuật thực thi tượng trưng

15:00 | 03/09/2023

Với sự phát triển mạnh mẽ của Blockchain, công nghệ hợp đồng thông minh (Smart Contract) đã và đang được triển khai một cách rộng rãi. Tuy nhiên, việc đảm bảo tính chính xác và an toàn của công nghệ này là một thách thức vô cùng lớn đối với các nhà phát triển, bởi một khi lỗ hổng hợp đồng thông minh bị khai thác, nó có thể gây ra hậu quả nghiêm trọng về kinh tế đối với các tổ chức, cá nhân. Bài viết sẽ trình bày về một kỹ thuật phát hiện một số loại lỗ hổng phổ biến của hợp đồng thông minh trên nền tảng Ethereum dựa trên kỹ thuật Thực thi tượng trưng (Symbolic Execution).

Phần mềm gián điệp Android ngụy trang thành ứng dụng trò chuyện và VPN trên Google Play

13:00 | 29/06/2023

Ba ứng dụng Android trên cửa hàng ứng dụng Google Play đã được các tin tặc sử dụng để thu thập thông tin tình báo từ các thiết bị được nhắm mục tiêu, bao gồm dữ liệu vị trí và danh sách liên hệ của nạn nhân.