1. TIN TỨC AN TOÀN THÔNG TIN

- Chiến dịch tấn công APT: Ghi nhận chiến dịch tấn công gây ảnh hưởng tới 16 tiện ích mở rộng trên Chrome dẫn tới lộ lọt dữ liệu.

- Cảnh báo: Apache đưa ra cảnh báo về các lỗ hổng an toàn thông tin nghiêm trọng trên MINA, HugeGraph, Traffic Control.

Chiến dịch tấn công APT: Ghi nhận chiến dịch tấn công gây ảnh hưởng tới 16 tiện ích mở rộng trên Chrome dẫn tới lộ lọt dữ liệu

Gần đây, các chuyên gia bảo mật đã ghi nhận một chiến dịch tấn công nhằm vào các tiện ích mở rộng trên trình duyệt Google Chrome, dẫn tới việc ít nhất 16 tiện ích đã bị ảnh hưởng và khiến dữ liệu của hơn 600.000 người dùng bị lộ lọt, đánh cắp.

Chiến dịch này tấn công nhằm vào các nhà phát hành tiện ích trình duyệt trên Chrome Web Store thông qua hình thức phishing và sử dụng quyền truy cập đạt được từ họ để chèn mã độc vào các tiện ích. Mục tiêu là để đánh cắp cookie và token truy cập của người dùng.

Cụ thể, tiện ích bị ảnh hưởng đầu tiên được ghi nhận thuộc sở hữu của hãng bảo mật Cyberhaven, khi một nhân viên của hãng bị lừa và làm mất quyền truy cập vào tay đối tượng tấn công, cho phép đối tượng phát hành phiên bản độc hại của tiện ích vào ngày 24/12. Phiên bản độc hại của tiện ích có khả năng kết nối tới máy chủ C&C, tải file cấu hình và trích xuất dữ liệu người dùng.

Email phishing được đối tượng sử dụng được cho là tới từ “Google Chrome Web Store Developer Support” có mục đích tạo ra vấn đề cấp bách giả tạo cho người nhận bằng cách nói rằng tiện ích của hãng này đang đứng trước nguy cơ bị gỡ bỏ khỏi Web Store do vi phạm chính sách. Trong email, đối tượng cũng giục người dùng bấm vào đường dẫn độc hại để chấp nhận chính sách mới, khi bấm vào sẽ được điều hướng tới một trang có chức năng cấp quyền tới một ứng dụng Oauth độc hại có tên “Privacy Policy Extension”.

Sau đó, đối tượng tấn công sẽ đạt được quyền truy cập cần thiết để có thể tải lên tiện ích độc hại tới Chrome Web Store.

Một số tiện ích mở rộng khác bị ảnh hưởng gồm có: AI Assistant - ChatGPT and Gemini for Chrome; Bard AI Chat Extension; GPT 4 Summary with OpenAI; Search Copilot AI Assistant for Chrome; TinaMInd AI Assistant; Wayin AI; VPNCity; Internxt VPN; Vindoz Flex Video Recorder; VidHelper Video Downloader; Bookmark Favicon Changer; Castorus; Uvoice; Reader Mode; Parrot Talks; Primus; Tackker - online keylogger tool; AI Shop Buddy; Sort by Oldest; Rewards Search Automator; ChatGPT Assistant - Smart Search; Keyboard History Recorder; Email Hunter; Visual Effects for Google Meet; Earny - Up to 20% Cash Back.

Với việc nhiều tiện ích mở rộng bị ảnh hưởng đã chứng minh được quy mô của chiến dịch tấn công này là rất lớn. Theo ý kiến từ một chuyên gia bảo mật, có khả năng chiến dịch này đã diễn ra kể từ ngày 05/04/2023 hoặc thậm chí là cũ hơn khi một domain C&C được sử dụng có ngày đăng kí từ năm 2021.

Các tiện ích mở rộng một khi bị ảnh hưởng sẽ có phương thức thực hiện hành vi độc hại theo hướng riêng, đối với ghi nhận của hãng Cyberhaven, tiện ích độc hại này nhằm vào dữ liệu danh tính, token truy cập của tài khoản Facebook, cụ thể hơn là tài khoản của Facebook Ads.

Hiện các chuyên gia bảo mật vẫn đang tiếp tục quá trình rà quét nhằm phát hiện thêm các tiện ích mở rộng bị ảnh hưởng, tuy nhiên tính phức tạp và phạm vi của chiến dịch này là một lời cảnh báo cho các nhà phát triển để họ cải thiện khả năng bảo mật của tiện ích do mình phát hành.

Ngoài ra, tại thời điểm hiện tại vẫn chưa phát hiện được nhóm đối tượng tấn công đằng sau chiến dịch này là ai.

Danh sách một số IoC được ghi nhận

Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/

Cảnh báo: Apache đưa ra cảnh báo về các lỗ hổng an toàn thông tin nghiêm trọng trên MINA, HugeGraph, Traffic Control

Gần đây, hãng Apache Software Foundation đã phát hành bản vá nhằm sửa ba lỗ hổng ảnh hưởng tới giải pháp MINA, HugeGraph-Server và Traffic Control.

Một trong các lỗ hổng được vá là CVE-2024-52046 (Điểm CVSS: 10.0) gây ảnh hưởng tới giải pháp MINA, cụ thể là trên hàm “ObjectSerializationDecoder” gây ra bởi việc giải tuần tự Java không được bảo mật, qua đó cho phép đối tượng tấn công thực thi mã từ xa. Hãng Apache cũng cho biết, lỗ hổng này chỉ có thể bị khai thác nếu phương thức “IoBuffer#getObject()” được sử dụng kết hợp với một số lớp cụ thể. Ngoài việc cập nhật bản vá, người dùng còn cần phải thiết lập việc từ chối tất cả các lớp, trừ các lớp được ghi trong danh sách cho phép đưa ra bởi Apache.

Lỗ hổng thứ hai có mã CVE-2024-43441, là lỗi cho phép đối tượng tấn coogn bỏ qua biện pháp bảo mật xác thực tồn tại trên HugeGraph-Server. Xảy ra do logic xác thực không được xử lý đúng cách.

Lỗ hổng thứ ba được vá là CVE-2024-43587 tồn tại trên Software Foundation và là lỗi SQL Injection xảy ra do thiếu sót trong không làm sạch dữ liệu đưa vào trên câu truy vấn SQL, từ đó cho phép đối tượng tấn công thực thi lệnh SQL tùy ý thông qua yêu cầu PUT.

Các quản trị viên hệ thống được Apache khuyến nghị nên cập nhật bản vá sớm nhất có thể để tránh rủi ro bị ảnh hưởng bởi tấn công của các nhóm đối tượng khai thác các lỗ hổng này.

2. ĐIỂM YẾU, LỖ HỔNG

Trong tuần, các tổ chức quốc tế đã công bố và cập nhật ít nhất 589 lỗ hổng, trong đó có 79 lỗ hổng mức Cao, 124 lỗ hổng mức Trung bình, 32 lỗ hổng mức Thấp và 354 lỗ hổng chưa đánh giá. Trong đó có ít nhất 43 lỗ hổng cho phép chèn và thực thi mã lệnh.

Ngoài ra, tuần hệ thống kỹ thuật của NCSC cũng đã ghi nhận TOP 10 lỗ hổng đáng chú ý, là những lỗ hổng có mức độ nghiêm trọng cao hoặc đang bị khai thác trong môi trường thực tế bởi các nhóm tấn công.

Trong đó, đáng chú ý có 03 lỗ hổng ảnh hưởng các sản phẩm của Acclaim, Palo Alto Networks và Apache, cụ thể là như sau:

• CVE-2024-56337 (Điểm CVSS: Chưa xác định): Lỗ hổng tồn tại trên Apache Tomcat là lỗi Time-of-check Time-of-use (TOCTOU) Race Condition xảy ra khi người dùng cố truy cập vào một file đang được chỉnh sửa bởi một tiến trình khác. Đối tượng tấn công sau khi khai thác thành công có thể thực thi mã từ xa. Hiện lỗ hổng chưa có mã khai thác và đang bị khai thác trong thực tế.

• CVE-2021-44207 (Điểm CVSS: 8.1 – Cao): Lỗ hổng tồn tại trên Acclaim USAHERDS xảy ra do thông tin xác thực trên giải pháp được sử dụng một cách cố định và định sẵn từ trước. Hiện lỗ hổng chưa có mã khai thác và đang bị khai thác trong thực tế.

• CVE-2024-9474 (Điểm CVSS: 7.2 – Cao): Lỗ hổng tồn tại trên Palo Alto Networks PAN-OS cho phép đối tượng tấn công với quyền quản trị viên có thể truy cập vào giao diện web và thực hiện các hành vi trái phép trên tường lửa với đặc quyền root, từ đó dẫn tới việc leo thang đặc quyền. Hiện lỗ hổng đã có mã khai thác và đang bị khai thác trong thực tế.

Danh sách TOP 10 lỗ hổng đáng chú ý trong tuần

Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/

3. SỐ LIỆU, THỐNG KÊ

Tấn công DRDoS: Trong tuần có 34.860 (tăng so với tuần trước 31.516) thiết bị có khả năng bị huy động và trở thành nguồn tấn công DRDoS.

Tấn công Web: Trong tuần, có 37 trường hợp tấn công vào trang/cổng thông tin điện tử của Việt Nam: 37 trường hợp tấn công lừa đảo (Phishing), 0 trường hợp tấn công cài cắm mã độc.

Danh sách địa chỉ được sử dụng trong các mạng botnet

4. TẤN CÔNG LỪA ĐẢO NGƯỜI DÙNG VIỆT NAM

Trong tuần, hệ thống của Cục An toàn thông tin đã ghi nhận 7.083 phản ánh trường hợp lừa đảo trực tuyến do người dùng Internet Việt Nam gửi về. Trong đó:

- 174 trường hợp phản ánh được tiếp nhận thông qua hệ thống Trang cảnh báo an toàn thông tin Việt Nam (canhbao.khonggianmang.vn).

- 6.909 trường hợp phản ánh cuộc gọi, tin nhắn lừa đảo thông qua tổng đài 156/5656.

Dưới đây là một số trường hợp người dùng cần nâng cao cảnh giác.

Chi tiết báo cáo xem tại: 2024_CBT52.pdf