Lỗ hổng bảo mật có mã định danh là CVE-2023-29360, cho phép kẻ tấn công giành được đặc quyền hệ thống mà không yêu cầu tương tác của người dùng.
Lỗ hổng CVE-2023-29360 trước đó đã được chuyên gia bảo mật Thomas Imbert của công ty bảo mật Synactiv (Pháp) phát hiện có trong MSKSSRV.SYS và đã báo cáo cho Microsoft thông qua chương trình Sáng kiến Zero Day của Trend Micro. Redmond đã vá lỗi này vào tháng 6/2023 và đã chứng minh cũng như đánh giá tính khả thi được xuất bản trên GitHub vào ngày 24/9/2023.
CISA không cung cấp thông tin chi tiết về các cuộc tấn công đang diễn ra, nhưng họ xác nhận rằng không có bằng chứng nào cho thấy lỗ hổng này được sử dụng trong các cuộc tấn công mã độc tống tiền.
CISA cũng đã thêm lỗi này vào danh mục các lỗ hổng bị khai thác đã biết và cảnh báo rằng các lỗi bảo mật như vậy là “các vectơ tấn công thường xuyên cho các tác nhân mạng độc hại gây ra rủi ro đáng kể cho doanh nghiệp liên bang”. Theo quy định của Chỉ thị hoạt động ràng buộc (BOD 22-01) được ban hành vào tháng 11/2021, các cơ quan liên bang phải vá lỗi bảo mật này cho hệ thống Windows của họ trong vòng ba tuần, tức là trước ngày 21/3.
Mặc dù danh mục các lỗ hổng khai thác đã biết của CISA chủ yếu tập trung vào việc cảnh báo các cơ quan liên bang về các lỗi bảo mật cần được giải quyết càng sớm càng tốt, các tổ chức tư nhân trên toàn thế giới cũng được khuyên nên ưu tiên vá lỗ hổng này để ngăn chặn các cuộc tấn công đang diễn ra.
Công ty an ninh mạng Hoa Kỳ - Israel là Check Point đã cung cấp thêm thông tin về lỗ hổng này và cho biết các cuộc tấn công bằng phần mềm độc hại Raspberry Robin đã khai thác CVE-2023-29360 kể từ tháng 8/2023.
Check Point cho biết: “Sau khi xem xét các mẫu Raspberry Robin trước tháng 10, chúng tôi phát hiện ra rằng nó cũng sử dụng lỗ hổng CVE-2023-29360. Lỗ hổng này đã được tiết lộ công khai vào tháng 6 và được Raspberry Robin sử dụng vào tháng 8”.
Raspberry Robin là một phần mềm độc hại xuất hiện vào tháng 9/2021 và có khả năng lây lan qua ổ USB. Mặc dù chưa rõ người tạo ra nó nhưng nó đã được liên kết với nhiều nhóm tội phạm mạng, bao gồm Evil Corp và nhóm tin tặc Evil Corp.
Microsoft cho biết vào tháng 7/2022 rằng họ đã phát hiện phần mềm độc hại Raspberry Robin trên mạng của hàng trăm tổ chức thuộc nhiều lĩnh vực công nghiệp khác nhau. Kể từ khi được phát hiện, phần mềm này đã liên tục phát triển, áp dụng các chiến thuật phân phối và bổ sung các tính năng mới.
Quốc An
09:00 | 04/03/2024
13:00 | 05/04/2024
13:00 | 23/01/2024
07:00 | 18/01/2024
16:00 | 15/03/2024
Ngày 11/3, Văn phòng Thủ tướng Pháp thông báo một số cơ quan nhà nước của Pháp đã bị tấn công mạng với cường độ chưa từng có đồng thời nhấn mạnh rằng chính phủ đã có thể hạn chế tác động từ vụ việc này.
08:00 | 12/03/2024
Mới đây, các nhà nghiên cứu từ Trung tâm Ứng phó khẩn cấp bảo mật AhnLab - ASEC (Hàn Quốc) phát hiện phần mềm độc hại mới có tên WogRAT, đang được các tác nhân đe dọa triển khai trong các cuộc tấn công lạm dụng nền tảng Notepad trực tuyến có tên là aNotepad để bí mật lưu trữ và truy xuất mã độc trên cả Windows và Linux.
14:00 | 01/03/2024
Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.
10:00 | 21/02/2024
Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.
Trong một chiến dịch tấn công gần đây, các tác nhân đe dọa đã lạm dụng chức năng tìm kiếm của GitHub và sử dụng các kho lưu trữ được thiết kế đặc biệt để phát tán phần mềm độc hại nhằm đánh cắp các khoản thanh toán bằng tiền điện tử.
09:00 | 28/04/2024