1. TIN TỨC AN TOÀN THÔNG TIN

- Chiến dịch tấn công APT: Nhóm APT PlushDaemon nhằm vào nhà cung cấp VPN của Hàn Quốc trong chiến dịch tấn công gây ảnh hưởng tới chuỗi cung ứng.

- Cảnh báo: Cisco vá lỗ hổng leo thang đặc quyền tồn tại trên giải pháp Meeting Management.

Chiến dịch tấn công APT: Nhóm APT PlushDaemon nhằm vào nhà cung cấp VPN của Hàn Quốc trong chiến dịch tấn công gây ảnh hưởng tới chuỗi cung ứng

Gần đây, các chuyên gia đã bảo mật đã ghi nhận nhóm APT có nguồn gốc từ Trung Quốc với tên PlushDaemon đã được gán với chiến dịch tấn công nhằm vào chuỗi cung ứng nhằm vào nhà cung cấp VPN của Hàn Quốc kể từ năm 2023.

Chiến dịch tấn công diễn ra với việc nhóm APT này thay thế bộ cài chính thống của hãng bằng bộ cài gài mã độc có chức năng triển khai mã độc SlowStepper, đây là một backdoor có nhiều chức năng cùng với hơn 30 thành phần được thích hợp. Nhóm APT PlushDaemon là một nhóm tấn công có nguồn gốc Trung Quốc đã đi vào hoạt động kể từ năm 2019 nhằm vào các tổ chức, cá nhân tại Trung Quốc, Đài Loan, Hồng Kông, Hàn Quốc, Mỹ và New Zealand.

Điểm đáng chú ý của nhóm này là việc sử dụng mã độc SlowStepper, được mô tả là một bộ toolkit lớn với hơn 30 module được lập trình sử dụng ngôn ngữ C++, Python và Go. Một điểm khác của chiến dịch tấn công lần này của nhóm là việc chiếm dụng các kênh cập nhật phần mềm chính thống cũng hãng VPN, khai thác lỗ hổng tồn tại trên máy chủ web để xâm nhập vào hệ thống mục tiêu.

Phiên bản độc hại của bộ cài, hiện đã được gỡ bỏ khỏi website của hãng VPN bị ảnh hưởng, có chức năng phát tán mã độc SlowStepper cùng với phần mềm chính thống. Hiện chưa rõ chính xác mục tiêu trích xuất thông tin của hình thức tấn công chuỗi cung ứng này là gì, tuy nhiên các tổ chức, cá nhân tải xuống file .ZIP này đều đứng trước nguy cơ bị ảnh hưởng. Dữ liệu Telemetry được thu thập bởi ESET cho thấy có nhiều người dùng đã cố cài đặt phiên bản độc hại của phần mềm thuộc một công ty bán dẫn và một công ty phát triển phần mềm tại Hàn Quốc.

Chuỗi tấn công của chiến dịch này bắt đầu bắt việc thực thi bộ cài “IPanyVPNsetup.exe”, sau đó sẽ thiết lập kết nối duy trì trên hệ thống giữa các lần khởi động lại và thực thi loader “AutoMsg.dll” có chức năng thực thi shellcode nạp vào hệ thống DLL “EncMgr.pkg”. DLL này sẽ trích xuất ra hai file có tác dụng nạp vào DLL độc hại “lregdll.dll” có tên PerfWatson.exe.

Mục tiêu cuối của quá trình này là để triển khai mã độc SlowStepper từ file winlogin.gif tồn tại trên file FeatureFlag.pkg. Mã độc này có sử dùng nhiều công cụ khác nhau được viết bởi ngôn ngữ Python và Go cho phép thu thập dữ liệu và che giấu hành vi giám sát thông qua việc ghi âm và video.

Các thông tin được nhóm tấn công này nhằm tới gồm có:

• Trình duyệt web: dữ liệu lưu trên trình duyệt Google Chrome, Microsoft Edge, Cốc Cốc, Firefox,…Camera hệ thống, thiết bị.

• Các file văn bản (.txt, .doc, .docx, .xls,…)

• Các ứng dụng nhắn tin như DingTalk, Telegram, WeChat.

• Các thông tin liên quan tới mạng wifi.

Tính phức tạp của nhóm tấn công còn được thể hiện thông qua sự đa dạng trong chuỗi tấn công sử dụng bởi nhóm này, vượt ra khỏi phạm vi gây ảnh hưởng tới chuỗi cung ứng hay khai thác lỗ hổng web để triển khai hình thức tấn công adversary-in-the-middle (AitM) cho truy cập đầu vào. Điều này được thực hiện thông qua việc chiếm dụng cơ chế cập nhật phần mềm của các ứng dụng sau khi chiếm dụng DNS mức router.

Danh sách một số IoC được ghi nhận

Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/

Cảnh báo: Cisco vá lỗ hổng leo thang đặc quyền tồn tại trên giải pháp Meeting Management

Gần đây, Cisco đã phát hành bản vá cho lỗ hổng an toàn thông tin mức nghiêm trọng tồn tại trên Meeting Management, cho phép đối tượng tấn công sau khi khai thác thành công có thể đạt được quyền quản trị trên các phiên làm việc bị ảnh hưởng.

Lỗ hổng có mã định danh CVE-2025-20156 (Điểm CVSS: 9.9) được phân loại là lỗ hổng leo thang đặc quyền trên REST API của giải pháp Cisco Meeting Management. Lỗ hổng này xảy ra do sự thiếu sót trong quá trình ủy quyền cho người dùng REST API.

Ngoài ra, Cisco cũng đã thực hiện vá lỗ cho lỗ hổng cho phép đối tượng tấn công thực hiện tấn công từ chối dịch vụ trên BroadWorks, lỗi này phát sinh do việc xử lý bộ nhớ thiếu bảo mật cho các yêu cầu SIP (CVE-2025-20165, Điểm CVSS: 7.5).

Lỗ hổng thứ ba được vá bởi Cisco có mã CVE-2025-20128 (Điểm CVSS: 5.3), là lỗi integer underflow gây ảnh hưởng tới quy trình giải mã “Object Linking and Embedding 2 (OLE2)” trên ClamAV có thể dẫn tới tấn công từ chối dịch vụ.

Được biết, các lỗ hổng trên đã được hãng Cisco ghi nhận tồn tại mã khai thác, nhưng chưa có chứng cứ nào cho thấy các lỗ hổng này bị khai thác trong môi trường thực tế.

2. ĐIỂM YẾU, LỖ HỔNG

Trong tuần, các tổ chức quốc tế đã công bố và cập nhật ít nhất 870 lỗ hổng, trong đó có 337 lỗ hổng mức Cao, 400 lỗ hổng mức Trung bình, 20 lỗ hổng mức Thấp và 113 lỗ hổng chưa đánh giá. Trong đó có ít nhất 94 lỗ hổng cho phép chèn và thực thi mã lệnh.

Ngoài ra, tuần hệ thống kỹ thuật của NCSC cũng đã ghi nhận TOP 10 lỗ hổng đáng chú ý, là những lỗ hổng có mức độ nghiêm trọng cao hoặc đang bị khai thác trong môi trường thực tế bởi các nhóm tấn công.

Trong đó, đáng chú ý có 03 lỗ hổng ảnh hưởng các sản phẩm của Mitel, Windows và Apple, cụ thể là như sau:

• CVE-2024-41710 (Điểm CVSS: 6.8 – Cao): Lỗ hổng tồn tại trên các thiết bị SIP của hãng Mitel cho phép đối tượng tấn công với quyền quản trị có thể thực hiện tấn công argument injection để dẫn tới việc thực thi mã từ xa. Hiện lỗ hổng chưa có mã khai thác và đang bị khai thác trong thực tế.

• CVE-2025-21298 (Điểm CVSS: 9.8 – Nghiêm trọng): Lỗ hổng tồn tại trên Windows OLE (Object Linking and Embedding) cho phép đối tượng tấn công thực thi mã từ xa. Hiện lỗ hổng đã có mã khai thác và đang bị khai thác trong thực tế.

• CVE-2025-24118 (Điểm CVSS: 9.8 – Nghiêm trọng): Lỗ hổng tồn tại trên các thiết bị Apple sử dụng hệ điều hành iPadOS, macOS Sequoia/ Sonoma. Đây là lỗi phát sinh trong quy trình xử lý bộ nhớ cho phép các ứng dụng độc hại gây ra việc sập hệ thống hoặc ghi lên bộ nhớ kernel. Hiện lỗ hổng chưa có mã khai thác và đang bị khai thác trong thực tế.

Danh sách TOP 10 lỗ hổng đáng chú ý trong tuần

Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/

3. SỐ LIỆU, THỐNG KÊ

Tấn công DRDoS: Trong tuần có 35.155 (giảm so với tuần trước 36.516) thiết bị có khả năng bị huy động và trở thành nguồn tấn công DRDoS.

Tấn công Web: Trong tuần, có 32 trường hợp tấn công vào trang/cổng thông tin điện tử của Việt Nam: 32 trường hợp tấn công lừa đảo (Phishing), 0 trường hợp tấn công cài cắm mã độc.

Danh sách địa chỉ được sử dụng trong các mạng botnet

4. TẤN CÔNG LỪA ĐẢO NGƯỜI DÙNG VIỆT NAM

Trong tuần, hệ thống của Cục An toàn thông tin đã ghi nhận 5.367 phản ánh trường hợp lừa đảo trực tuyến do người dùng Internet Việt Nam gửi về. Trong đó:

- 222 trường hợp phản ánh được tiếp nhận thông qua hệ thống Trang cảnh báo an toàn thông tin Việt Nam (canhbao.khonggianmang.vn).

- 5.145 trường hợp phản ánh cuộc gọi, tin nhắn lừa đảo thông qua tổng đài 156/5656.

Dưới đây là một số trường hợp người dùng cần nâng cao cảnh giác.

Chi tiết báo cáo xem tại: 2025_CBT04.pdf