Ngày 11/9/2024, Cục An toàn thông tin (Bộ TT-TT) phát đi cảnh báo về các chiến dịch tấn công mạng có chủ đích mới, nghi ngờ liên quan đến nhiều nhóm hacker nhắm vào các tổ chức và DN, với mục tiêu chính là tấn công mạng, đánh cắp thông tin và phá hoại hệ thống.
Thông tin các nhóm tin tặc phát động các cuộc tấn công có chủ đích
Thời gian gần đây, đã ghi nhận nhiều chiến dịch tấn công nhắm vào các tổ chức và DN từ các nhóm tin tặc, trong số đó nguy hiểm và gây nhiều thiệt hại như: Mallox Ransomware, APT Lazarus, APT Stately Taurus (Mustang Panda).
BHXH Việt Nam rà soát và ngăn chặn các chiến dịch tấn công mạng có chủ đích
Mallox Ransomware nổi lên từ năm 2023, hoạt động dưới dạng RaaS (Ransomware as a Service), cho phép các cuộc tấn công trên phạm vi toàn cầu, đặc biệt tại Brazil, Việt Nam và Trung Quốc. Mallox lây nhiễm qua việc khai thác lỗ hổng phần mềm và brute force trên máy chủ MS SQL hoặc PostgreSQL, sau đó triển khai mã độc như Remcos RAT hoặc bộ tải .NET để tải mã độc giai đoạn tiếp theo. Các phiên bản mới đã tối ưu hóa mã hóa bằng AES-256 và ECC, đồng thời tránh mã hóa trên các hệ thống dùng ngôn ngữ của các nước thuộc khối Liên Xô cũ.
Nhóm APT Lazarus đã phát tán mã độc thông qua phần mềm họp video giả mạo tên FCCCall trong các chiến dịch tấn công chuyên gia blockchain và dự án web game. Lazarus tiếp cận mục tiêu qua các nền tảng tìm kiếm việc làm như LinkedIn và sử dụng Telegram để trích xuất dữ liệu. Mã độc BeaverTail và InvisibleFerret được sử dụng để đánh cắp thông tin từ trình duyệt, ví tiền ảo và ứng dụng quản lý mật khẩu, cũng như cấu hình AnyDesk truy cập từ xa. Mã độc này còn được nhúng vào các dự án Node.js trên GitHub, Gitlab để ẩn mã độc và tránh bị phát hiện.
Nhóm APT Stately Taurus (Mustang Panda) đã khai thác lỗ hổng trên Visual Studio Code, sử dụng tính năng reverse shell để thực thi mã từ xa và tải xuống payload độc hại. Nhóm sử dụng OpenSSH để chuyển file, quét mạng bằng SharpNBTScan và nén dữ liệu qua Listeners.bat trước khi trích xuất lên Dropbox. Các chuyên gia cũng phát hiện sự tham gia của mã độc ShadowPad, gợi ý khả năng hợp tác giữa hai nhóm tấn công.
BHXH Việt Nam thực hiện các biện pháp rà soát, ngăn chặn tấn công
Sau khi tiếp nhận cảnh báo từ các cơ quan chức năng như Cục An toàn thông tin (Bộ TT-TT), Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao (A05, Bộ Công an) và các nguồn tin cảnh báo, Trung tâm CNTT (BHXH Việt Nam) đã áp dụng các quy trình giám sát, xử lý sự cố để thực hiện các hành động nhằm phát hiện sớm, ngăn chặn các hành vi tấn công như sau:
1. Kiểm tra, rà soát hệ thống thông tin đang sử dụng có khả năng bị ảnh hưởng bởi các chiến dịch tấn công trên. Chủ động theo dõi các thông tin liên quan đến đến các chiến dịch tấn công mạng nhằm thực hiện ngăn chặn sớm, tránh nguy cơ bị tấn công.
2. Tăng cường giám sát và sẵn sàng phương án xử lý khi phát hiện có dấu hiệu bị khai thác, tấn công mạng; đồng thời thường xuyên theo dõi kênh cảnh báo của các cơ quan chức năng và các tổ chức lớn về an toàn thông tin để phát hiện kịp thời các nguy cơ tấn công mạng.
3. Giám sát đặc biệt các chiến dịch cụ thể của các nhóm tấn công có chủ đích trên, cài đặt chặn và tự động cảnh báo đến quản trị viên, cụ thể 24 tiến trình, 32 IP và 6 tên miền độc hại.
CNTT