1. TIN TỨC AN TOÀN THÔNG TIN

- Chiến dịch tấn công APT: Ghi nhận nhóm tấn công thuộc Triều Tiên triển khai mã độc OtterCookie trong chiến dịch tấn công “Contagious Interview”.

- Cảnh báo: Ghi nhận phương thức tấn công “DoubleClickjacking” bỏ qua bảo mật Clickjacking trên website.

Chiến dịch tấn công APT: Ghi nhận nhóm tấn công thuộc Triều Tiên triển khai mã độc OtterCookie trong chiến dịch tấn công “Contagious Interview”

Nhóm đối tượng tấn công thuộc Triều Tiên đằng sau chiến dịch tấn công “Contagious Interview” gần đây đã được quan sát thấy trong lúc phát tán mã độc JavaScript có tên OtterCookie.

Chiến dịch tấn công còn có tên khác là DeceptiveDevelopment sử dụng kỹ thuật social engineering với nhóm đối tượng giả danh thành các nhân viên tuyển dụng để lừa người dùng đang tìm kiếm việc làm tải xuống mã độc như một bước trong quá trình phỏng vấn.

Các mã độc được cài vào trong gói npm hoặc ứng dụng họp video được lưu trên GitHub hoặc registry chính thức của gói, qua đó cho phép đối tượng phát tán mã độc như BeaverTail và InvisibleFerret. Hiện nhóm tấn công này đang được theo dõi dưới tên CL-STA-0240.

Vào tháng 09/2024, cơ quan bảo mật Group-IB đã công bố thông tin chi tiết về chuỗi tấn công, nhằm tô điểm việc sử dụng phiên bản cải tiến của BeaverTail có tính module bằng cách tách rời chức năng đánh cắp dữ liệu của mã độc ra một bộ script Python có tên CivetQ.

Đáng chú ý, chiến dịch Contagious Interview hiện đang đươc cho là tách biệt với chiến dịch “Operation Dream Job”, cũng là một chiến dịch tấn công thực hiện bởi nhóm tấn công Triều Tiên với cùng phương thức lây nhiễm thông qua các mồi nhử liên quan tới việc làm.

Ngoài ra, trong phát hiện mới nhất, mã độc JavaScript được sử dụng để thực thi BeaverTail còn có chức năng tải xuống và thức thi mã độc OtterCookie, được phát hiện vào tháng 09/2024 và có phiên bản mới hơn vào tháng 11/2024.

Mã độc OtterCookie khi được thực thi sẽ kết nối tới máy chủ C&C thông qua thư viện JavaScript “Socket.IO”, sau đó sẽ chờ chỉ thị mới.

Mã độc được thiết kế để thực thi các câu lệnh shell có nhiệm vụ đánh cắp dữ liệu như file, nội dung trong clipboard và khóa ví tiền ảo.

Chiến dịch tấn công này được công bố trong bối cảnh các nhóm tấn công đang gia tăng nỗ lực cập nhật bộ công cụ sử dụng mà vẫn giữ lại chuỗi tấn công, điều này chứng tỏ chiến dịch tấn công có tính hiệu quả cao.

Danh sách một số IoC được ghi nhận

Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/

Cảnh báo: Ghi nhận phương thức tấn công “DoubleClickjacking” bỏ qua bảo mật Clickjacking trên website

Gần đây, các chuyên gia bảo mật đã ghi nhận và công bố chi tiết của một lớp lỗ hổng dựa trên thời gian phổ biến sử dụng trình tự double-click để thực hiện tấn công clickjacking và chiếm dụng tài khoản trên các website.

Kỹ thuật này hiện được đặt tên là DoubleClickjacking. Cụ thể, thay vì dựa vào một lần click, kỹ thuật sử dụng trình tự double-click cho phép thao túng UI để vượt qua các biện pháp bảo mật clickjacking hiện có, bao gồm cả header X-Frame-Options hay cookie SameSite: Lax/Strict. Kỹ thuật tấn công Clickjacking, hay còn gọi là chỉnh sửa UI, là một kỹ thuật trong đó người dùng bị lừa vào việc bấm vào một yếu tố trông như an toàn trên website (thường là nút xác nhận), từ đó dẫn tới việc triển khai mã độc trên hệ thống hoặc trích xuất dữ liệu quan trọng.

Kỹ thuật DoubleClickjacking là một biến thể khai thác khoảng thời gian giữa lúc bắt đầu của lần click và kết thúc của lần click thứ 2 để vượt qua biện pháp bảo mật và chiếm dụng tài khoản của người dùng. Cụ thể các bước như sau:

• Người dùng truy cập vào trang web điều khiển bởi đối tượng tấn công có luồng hoạt động là mở lên một cửa sổ browser hoặc một tab mới mà không cần người dùng tương tác, hoặc chỉ cần một lần click chuột.

• Cửa sổ (tab) mới này có thể giả dạng thành một xác thức Captcha, yêu cầu người dùng click 2 lần để hoàn thành chúng.

• Khi người dùng thực hiện điều này, trang web độc hại sử dụng đối tượng trên JavaScript là “Window Location” để điều hướng người dùng tới trang độc hại.

• Cửa sổ trên cùng sẽ được đóng, qua đó người dùng đã vô tình cấp quyền truy cập cho đối tượng bằng cách đồng ý với thông báo cấp quyền trên trang chính.

Được biết, lỗ hổng và kỹ thuật này có thể bị loại bỏ bằng cách sử dụng giải pháp client-side cho phép tắt chức năng của các nút quan trọng trên website trừ khi di chuột theo một cách nhất định hoặc khi người dùng bấm nút trên bàn phím.

Thông tin về kỹ thuật này được công bố gần một năm sau khi một chuyên gia bảo mật đã chứng mình một biến thể khác của Clickjacking có tên “Cross window forgery” (hay gesture-jacking) hoạt động dựa trên việc người dùng bấm hoặc giữ nút Enter/Space trên một trang web độc hại để thực hiện các tác vụ độc hại như chiếm dụng tài khoản trên website đó.

2. ĐIỂM YẾU, LỖ HỔNG

Trong tuần, các tổ chức quốc tế đã công bố và cập nhật ít nhất 524 lỗ hổng, trong đó có 143 lỗ hổng mức Cao, 299 lỗ hổng mức Trung bình, 24 lỗ hổng mức Thấp và 58 lỗ hổng chưa đánh giá. Trong đó có ít nhất 47 lỗ hổng cho phép chèn và thực thi mã lệnh.

Ngoài ra, tuần hệ thống kỹ thuật của NCSC cũng đã ghi nhận TOP 10 lỗ hổng đáng chú ý, là những lỗ hổng có mức độ nghiêm trọng cao hoặc đang bị khai thác trong môi trường thực tế bởi các nhóm tấn công.

Trong đó, đáng chú ý có 03 lỗ hổng ảnh hưởng các sản phẩm của Four-Faiths, Palo Alto Networks và Microsoft, cụ thể là như sau:

• CVE-2024-3393 (Điểm CVSS: 8.7 – Cao): Lỗ hổng tồn tại trên chức năng DNS Security của phần mềm Palo Alto Networks PAN-OS cho phép đối tượng tấn công sử dụng các gói tin độc hại để thực hiện tấn công từ chối dịch vụ bằng cách khiến tường lửa khởi động lại. Hiện lỗ hổng đã có mã khai thác và đang bị khai thác trong thực tế.

• CVE-2024-12856 (Điểm CVSS: 7.2 – Cao): Lỗ hổng tồn tại trên router mẫu F3x24 và F3x36 của hãng Four-Faiths. Là lỗi command injection cho phép đối tượng tấn công thực thi lệnh OS tùy ý qua giao thức HTTP khi điều chỉnh thời gian hệ thống trên file apply.cgi. Hiện lỗ hổng chưa có mã khai thác và đang bị khai thác trong thực tế.

• CVE-2018-0802 (Điểm CVSS: 7.8 – Cao): Lỗ hổng tồn tại trên Microsoft Office 2007, 2010, 2013, 2016 trên thành phân Equation Editor do sai sót trong quá trình xử lý đối tượng trên bộ nhớ. Đối tượng tấn công khai thác lỗ hổng có thể thực thi mã từ xa. Hiện lỗ hổng đã có mã khai thác và đang bị khai thác trong thực tế.

Danh sách TOP 10 lỗ hổng đáng chú ý trong tuần

Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/

3. SỐ LIỆU, THỐNG KÊ

Tấn công DRDoS: Trong tuần có 33.165 (giảm so với tuần trước 34.860) thiết bị có khả năng bị huy động và trở thành nguồn tấn công DRDoS.

Tấn công Web: Trong tuần, có 33 trường hợp tấn công vào trang/cổng thông tin điện tử của Việt Nam: 33 trường hợp tấn công lừa đảo (Phishing), 0 trường hợp tấn công cài cắm mã độc.

Danh sách địa chỉ được sử dụng trong các mạng botnet

4. TẤN CÔNG LỪA ĐẢO NGƯỜI DÙNG VIỆT NAM

Trong tuần, hệ thống của Cục An toàn thông tin đã ghi nhận 6.685 phản ánh trường hợp lừa đảo trực tuyến do người dùng Internet Việt Nam gửi về. Trong đó:

- 213 trường hợp phản ánh được tiếp nhận thông qua hệ thống Trang cảnh báo an toàn thông tin Việt Nam (canhbao.khonggianmang.vn).

- 6.472 trường hợp phản ánh cuộc gọi, tin nhắn lừa đảo thông qua tổng đài 156/5656.

Dưới đây là một số trường hợp người dùng cần nâng cao cảnh giác.

Chi tiết báo cáo xem tại: 2025_CBT01.pdf