News
Tin tức An toàn thông tin - Tuần 2 - Tháng 8 - 2023
date
Aug 7, 2023
slug
tin-tuc-attt-tuan-2-thang-8-nam-2023
author
status
Public
tags
News
Malware
Ransomware
Daily
Blog
Git
Github
Docs
summary
Tổng hợp các tin tức an toàn thông tin trong tuần 2 tháng 8 - 2023 (7/8-12/8)
type
Post
thumbnail
category
News
updatedAt
Aug 11, 2023 09:27 AM
1. Tác nhân đe dọa mới nhắm mục tiêu vào Bulgaria, Trung Quốc, Việt Nam và các quốc gia khác với phần mềm tống tiền Yashma tùy chỉnh2. Lỗ hổng Microsoft Visual Studio Code cho phép extensions đánh cắp mật khẩu3. Tin tặc lợi dụng Cloudflare Tunnels để liên lạc bí mật4. LOLBAS in the Wild: 11 tệp nhị phân ngoài thực tế có thể được sử dụng cho mục đích xấu5. Các cuộc tấn công Downfall mới vào CPU Intel đánh cắp khóa mã hóa, dữ liệu6. Ứng dụng Google Play với 2.5 triệu lượt cài đặt sẽ tải quảng cáo khi màn hình tắt.7. Tin tặc liên kết với Trung Quốc tấn công toàn cầu: 17 quốc gia bị tấn công trong chiến dịch mạng kéo dài 3 năm8. Chiến dịch lừa đảo EvilProxy nhắm mục tiêu 120.000 người dùng Microsoft 3659. Lỗ hổng mã hóa trong ứng dụng tiếng Trung phổ biến khiến dữ liệu đã nhập của người dùng gặp rủi ro
1. Tác nhân đe dọa mới nhắm mục tiêu vào Bulgaria, Trung Quốc, Việt Nam và các quốc gia khác với phần mềm tống tiền Yashma tùy chỉnh
Cisco Talos đã phát hiện ra một tác nhân đe dọa mới đang tiến hành các hoạt động ransomware sử dụng biến thể của ransomware Yashma. Tác nhân đe dọa có vẻ là từ VietNam và biến thể Yashma có khả năng nhắm mục tiêu vào nhiều quốc gia khác nhau bằng cách bắt chước các đặc điểm của ransomware WannaCry.
Tác nhân đe dọa sử dụng một kỹ thuật không phổ biến để gửi thông báo đòi tiền chuộc. Thay vì nhúng chuỗi ghi chú đòi tiền chuộc vào file nhị phân mà lại tải ghi chú đòi tiền chuộc từ GitHub repo do tác nhân điều khiển bằng cách thực thi file batch được nhúng.
Phân tích tác nhân đe dọa
Talos đánh giá tác nhân đe dọa đang nhắm mục tiêu vào nạn nhận ở các quốc gia nói tiếng Anh, Bulgaria, Trung Quốc và Việt Nam. Tài khoản GitHub của tác nhân đe dọa là “nguyenvietphat” có ghi chú ransomware viết bằng ngôn ngữ của các quốc gia này. Bản ghi tiếng Anh có thể tác nhân có ý định nhắm mục tiêu vào nhiều khu vực khác.
Tác nhân đe dọa có thể là người gốc Việt vì tên tài khoản GitHub và địa chỉ email liên hệ trên các ghi chú ransomware giả mạo tên của 1 tổ chức hợp pháp tại Việt Nam. Thông báo đòi tiền chuộc cũng yêu cầu nạn nhân liên hệ với họ trong khoảng thời gian từ 7 đến 11 giờ tối UTC +7, trùng với múi giờ của Việt Nam. Có 1 sự khác biệt nhỏ trong thông báo đòi tiền chuộc bằng tiếng Việt, bắt đầu bằng “Sorry, your file is encrypted!”, trái ngược với những cái khác bắt đầu bằng “Oops, your files are encrypted!”. Bằng cách nói “sorry”, kẻ đe dọa có thể có ý định thể hiện sự nhạy cảm cao đối với các nạn nhân ở Việt Nam, có thể cho thấy kẻ đe dọa là người Việt Nam.
Tác nhân đe dọa đã bắt đầu chiến dịch này vào khoảng ngày 4 tháng 6 năm 2023, vì họ đã tham gia GitHub và tạo 1 kho lưu trữ public có tên là “Ransomware” vào ngày đó, trùng với ngày viết file nhị phân ransomware. Trong kho lưu trữ, họ đã thêm các file văn bản ghi chú đòi tiền chuộc bằng 5 ngôn ngữ: tiếng Anh, tiếng Bungari, tiếng Việt, tiếng Trung giản thể và tiếng Trung phồn thể.
Ransom note
Kẻ tấn công yêu cầu thanh toán tiền chuộc bằng Bitcoin đến địa chỉ ví “bc1qtd4qv0wmgtu2rdr0wr8tka2jg44cgmz04z5mc7” và chúng sẽ tăng gấp đôi giá ransomware nếu nạn nhân không thanh toán trong vòng ba ngày. Tác nhân đe dọa có địa chỉ email “nguyenvietphat[.]n[at]gmail[.]com” để các nạn nhân liên hệ. Tại thời điểm phân tích, Talos không thấy bất kỳ Bitcoin nào trong ví và ghi chú đòi tiền chuộc không chỉ định số tiền, cho thấy hoạt động của phần mềm tống tiền có thể vẫn đang ở giai đoạn sơ khai ban đầu.
Văn bản ghi chú đòi tiền chuộc giống với ghi chú đòi tiền chuộc của WannaCry, có thể làm xáo trộn danh tính của tác nhân đe dọa và gây nhầm lẫn cho người ứng phó sự cố.
Các mẫu ghi chú tiền chuộc của biến thể Yashma.
Sau khi mã hóa, biến thể ransomware Yashma đặt hình nền trên máy của nạn nhân. Có vẻ như người điều khiển đã tải ảnh này xuống từ www[.]FXXZ[.]com và nhúng nó vào tệp nhị phân của biến thể Yashma. Hình nền được thiết lập bởi biến thể Yashma trong máy của nạn nhân cũng bắt chước mã độc tống tiền WannaCry.
Biến thể ransomware Yashma tùy chỉnh
Tác nhân đe dọa đã triển khai một biến thể của Yashma ransomware mà họ đã biên soạn vào ngày 4 tháng 6 năm 2023. Yashma là một tệp thực thi 32 bit được viết bằng .Net và là phiên bản được đổi thương hiệu của Chaos ransomware V5, xuất hiện vào tháng 5 năm 2022. Trong biến thể này, hầu hết Các tính năng của Yashma vẫn không thay đổi và đã được các nhà nghiên cứu bảo mật tại Blackberry mô tả , ngoại trừ một số sửa đổi đáng chú ý.
Thông thường, phần mềm tống tiền lưu trữ văn bản ghi chú tiền chuộc dưới dạng chuỗi trong tệp nhị phân. Tuy nhiên, biến thể này của Yashma thực thi một tệp batch được nhúng, tệp này có các lệnh để tải xuống ghi chú đòi tiền chuộc từ kho lưu trữ GitHub do tác nhân đe dọa kiểm soát. Sửa đổi này tránh các giải pháp phát hiện điểm cuối và phần mềm chống virus, thường phát hiện các chuỗi ghi chú đòi tiền chuộc được nhúng trong tệp nhị phân.
Các phiên bản trước của ransomware Yashma đã thiết lập sự tồn tại trên máy nạn nhân trong Run registry key và bằng cách thả tệp shortcut Windows trỏ đến đường dẫn thực thi của ransomware trong thư mục khởi động. Biến thể cũng đã thiết lập tính bền vững trong Run registry key. Tuy nhiên, nó đã được sửa đổi để tạo tệp dấu trang “.url” trong thư mục startup trỏ đến tệp thực thi nằm ở “%AppData%\Roaming\svchost.exe”.
Một tính năng đáng chú ý mà kẻ đe dọa chọn giữ lại trong biến thể này là khả năng chống phục hồi của Yashma. Sau khi mã hóa một tệp, phần mềm tống tiền sẽ xóa sạch nội dung của các tệp không được mã hóa ban đầu, ghi một ký tự đơn “?” và sau đó xóa tập tin. Kỹ thuật này khiến những người ứng phó sự cố và nhà phân tích pháp y gặp nhiều khó khăn hơn trong việc khôi phục các tệp đã xóa khỏi ổ cứng của nạn nhân.
Yashma decryptor: Yashma là một ransomware được phân phối dưới tên "AstraLocker 2.0" và dựa trên trình tạo ransomware Chaos, sử dụng kết hợp AES-128 và RSA-2048 để mã hóa tệp. Nó được phân phối dưới tên "AstraLocker 2.0". Phần mở rộng ".AstraLocker" hoặc phần mở rộng gồm 4 ký tự chữ và số ngẫu nhiên được thêm vào các tệp.
Nguồn 🔗 Cisco Talos
2. Lỗ hổng Microsoft Visual Studio Code cho phép extensions đánh cắp mật khẩu
Môi trường phát triển và soạn thảo mã Microsoft Visual Studio Code (VS Code) chứa một lỗ hổng cho phép các extension độc hại truy xuất authentication tokens được lưu trữ trong quá trình quản lý thông tin đăng nhập Windows, Linux và macOS.
Các token được sử dụng để tích hợp với các dịch vụ và API khác nhau của bên thứ ba, chẳng hạn như Git, GitHub và các nền tảng mã hóa khác, vì vậy việc đánh cắp chúng có thể gây ra hậu quả nghiêm trọng đối với bảo mật dữ liệu của tổ chức bị xâm phạm, có khả năng dẫn đến truy cập hệ thống trái phép, vi phạm dữ liệu.
Đánh cắp bí mật với extension
Sự cố bảo mật do Cycode phát hiện là do thiếu cách ly authentication token trong “Secret Storage” của VS Code, 1 API cho phép extension lưu trữ authentication token trong hệ điều hành.
Sử dụng Keytar, wrapper của VS Code để liên lạc với trình quản lý thông tin đăng nhập Windows (trên Windows), keychain (trên macOS) và keyring (trên Linux).
Mọi extension chạy trong VS Code , kể cả những extension độc hại, đều có thể có quyền truy cập vào Secret Storage và lạm dụng Keytar để lấy bất kỳ token nào được lưu trữ.
Theo Cycode, khác với xác thực được tích hợp sẵn trong GitHub và Microsoft, Azure, Docker/Kubernetes, tất cả các thông tin đăng nhập, token đã lưu trong VS Code đều đến từ việc sử dụng extension của bên thứ ba (CircleCI, GitLab, AWS).
Cycode thử nghiệm bằng cách tạo 1 extension độc hại để đánh cắp token cho CircleCI, một nền tảng mã hóa phổ biến với các extension VS Code. Sửa đổi extension của CircleCI để chạy 1 lệnh sẽ hiển thị token và gửi thẳng đến máy chủ.
Cycode phát triển 1 phương pháp tấn công linh hoạt hơn để trích xuất những thông tin bí mật mà không cần can thiệp vào mã của extension mục tiêu.
Chìa khóa của quy trình này là phát hiện mọi extension VS Code đều được phép truy cập vào keychain vì nó chạy từ bên trong ứng dụng mà hệ điều hành đã cấp quyền truy cập vào keychain.
Tiếp theo, token đã truy xuất phải được giải mã và thuật toán được sử dụng để mã hóa token là AES-256-GCM - đây là 1 thuật toán an toàn. Tuy nhiên, khóa được sử dụng để mã hóa token được lấy từ đường dẫn thực thi hiện tại và ID máy, giúp dễ dàng tạo lại khóa.
Token đã truy xuất được giải mã bằng tập lệnh JS tùy chỉnh chạy trong tệp thực thi Electron của VS Code, giải mã và in tất cả mật khẩu của các extension được cài đặt cục bộ.
Lỗ hổng thứ hai là chức năng “getFullKey” truy xuất các bí mật theo một “extensionId” nhất định, bắt nguồn từ tên của extension và publisher.
Lỗ hổng này cho phép mọi người sửa đổi các trường và giả mạo VS Code cấp cho họ quyền truy cập vào token của extension khác.
Cycode thử nghiệm bằng cách sử dụng extension PoC mô phỏng lại CircleCI, tuy nhiên việc sao chép bất kỳ extension nào khác và giành quyền truy cập vào các bí mật là không đáng kể.
Nghiên cứu thử nghiệm của Cycode
Nguồn 🔗 BleepingComputer
3. Tin tặc lợi dụng Cloudflare Tunnels để liên lạc bí mật
Nghiên cứu mới tiết lộ rằng các tác nhân đe dọa đang lạm dụng Cloudflare Tunnels để thiết lập các kênh liên lạc bí mật từ các máy chủ bị xâm nhập và duy trì quyền truy cập liên tục.
Cloudflare có chức năng rất giống với ngrok. Cloudflare khác ngrok ở chỗ cung cấp miễn phí nhiều khả năng sử dụng hơn, bao gồm khả năng lưu trữ kết nối TCP qua cloudflared.
Một công cụ dòng lệnh cho Cloudflare Tunnels, cloudflared cho phép người dùng tạo các kết nối an toàn giữa máy chủ web gốc và trung tâm dữ liệu gần nhất của Cloudflare để ẩn địa chỉ IP của máy chủ web cũng như chặn từ chối dịch vụ phân tán (DDoS) và tấn công brute-force đăng nhập.
Đối với tác nhân đe dọa có quyền truy cập cao trên máy chủ bị nhiễm, tính năng này đưa ra một cách tiếp cận để thiết lập chỗ đứng bằng cách tạo token cần thiết để thiết lập đường hầm từ máy nạn nhân.
Đường hầm cập nhật ngay khi thay đổi cấu hình được thực hiện trong Cloudflare Dashboard, cho phép TA chỉ kích hoạt chức năng khi muốn tiến hành các hoạt động trên máy nạn nhân, sau đó tắt chức năng để ngăn cơ sở hạ tầng bị lộ.
Ví dụ: TA có thể kích hoạt kết nối RDP, thu thập thông tin từ máy nạn nhân, sau đó vô hiệu hóa RDP cho đến ngày hôm sau, do đó làm giảm cơ hội phát hiện hoặc khả năng quan sát domain được sử dụng để thiết lập kết nối.
Kẻ tấn công có thể lợi dụng chức năng Private Networks của đường hầm để lén lút truy cập vào một dải địa chỉ IP (các điểm cuối trong mạng cục bộ) như việc đối chiếu vật lý với máy nạn nhân.
Kỹ thuật này đã được phát hiện trong hai cuộc tấn công chuỗi cung ứng phần mềm khác nhau nhắm mục tiêu vào kho lưu trữ Python Package Index (PyPI), trong đó các gói lừa đảo tải xuống cloud để truy cập điểm cuối từ xa thông qua ứng dụng web Flask.
Các tổ chức sử dụng dịch vụ Cloudflare một cách hợp pháp có khả năng giới hạn dịch vụ ở các trung tâm dữ liệu cụ thể và tạo khả năng phát hiện lưu lượng truy cập như định tuyến Cloudflare Tunnels đến bất kỳ đâu ngoại trừ trung tâm dữ liệu được chỉ định. Phương pháp này có thể hỗ trợ phát hiện các đường hầm trái phép.
Để xác định khả năng lạm dụng cloudflared có thể xảy ra, các tổ chức nên triển khai cơ chế ghi log đầy đủ để giám sát các lệnh, truy vấn DNS và kết nối gửi đi bất thường, đồng thời chặn các nỗ lực tải xuống tệp thực thi.
Báo cáo của GuidePoint Security
Nguồn 🔗 TheHackerNews
4. LOLBAS in the Wild: 11 tệp nhị phân ngoài thực tế có thể được sử dụng cho mục đích xấu
11 tập lệnh và mã nhị phân ngoài thực tế (LOLBAS) có thể bị các tác nhân đe dọa lạm dụng với mục đích xấu để tiến hành các hoạt động sau khai thác.
LOLBAS là một phương thức tấn công sử dụng các file nhị phân và tập lệnh đã có sẵn trong hệ thống cho các mục đích xấu. Khiến các nhóm bảo mật khó phân biệt giữa các hoạt động hợp pháp và độc hại, vì chúng được thực hiện bởi các tiện ích hệ thống đáng tin cậy.
Công ty an ninh mạng của Israel đã phát hiện ra 9 trình tải xuống LOLBAS và 3 trình thực thi có thể cho phép kẻ tấn công tải xuống và thực thi phần mềm độc hại mạnh hơn trên các máy chủ bị nhiễm.
MsoHtmEd.exe, Mspub.exe, ProtocolHandler.exe, ConfigSecurityPolicy.exe, InstallUtil.exe, Mshta.exe, Presentationhost.exe, Outlook.exe, MSAccess.exe, scp.exe và sftp.exe.
Trong một chuỗi tấn công hoàn chỉnh, tin tặc sẽ sử dụng trình tải xuống LOLBAS để tải xuống phần mềm độc hại mạnh hơn. Sau đó, chúng sẽ cố gắng thực thi một cách lén lút. Những kẻ thực thi LOLBAS cho phép kẻ tấn công thực thi các công cụ độc hại của chúng như một phần của quy trình tìm kiếm hợp pháp trên hệ thống.
Những kẻ tấn công cũng có thể sử dụng các tệp thực thi khác từ phần mềm bên ngoài, những phần mềm liên quan đến Microsoft để đạt được các mục tiêu tương tự.
Các phát hiện được đưa ra khi Vectra tiết lộ một vectơ tấn công mới tiềm năng tận dụng tính năng đồng bộ hóa giữa các bên thuê Microsoft Entra ID (trước đây là Azure Active Directory) ( CTS ) để tạo điều kiện để mở rộng tấn công cho những bên thuê khác giả định rằng danh tính đặc quyền đã bị xâm phạm trong môi trường đám mây.
Kẻ tấn công hoạt động trong môi trường bị xâm phạm có thể khai thác một đối tượng thuê cấu hình CTS hiện có để mở rộng tấn công từ đối tượng thuê này sang đối tượng thuê được kết nối khác. Kẻ tấn công hoạt động trong đối tượng thuê bị xâm phạm có thể triển khai cấu hình Cross Tenant Access giả mạo để duy trì quyền truy cập liên tục.
Kịch bản khai thác TheHackerNews
Nguồn 🔗 TheHackerNews
5. Các cuộc tấn công Downfall mới vào CPU Intel đánh cắp khóa mã hóa, dữ liệu
Một nhà khoa học nghiên cứu cấp cao tại Google đã nghĩ ra các cuộc tấn công CPU mới để khai thác lỗ hổng có tên là Downfall ảnh hưởng đến nhiều dòng bộ vi xử lý Intel và cho phép đánh cắp mật khẩu, khóa mã hóa và dữ liệu riêng tư như email, tin nhắn hoặc thông tin ngân hàng từ những người dùng dùng chung máy tính.
Lỗ hổng này có tên là CVE-2022-40982, là vấn đề tạm thời thực thi side-channel và ảnh hưởng đến tất cả các bộ xử lý dựa trên vi kiến trúc Skylake của Intel cho đến Ice Lake.
Kẻ đe dọa khai thác vấn đề bảo mật có thể trích xuất thông tin nhạy cảm được bảo vệ bởi Software Guard eXtensions (SGX) , mã hóa bộ nhớ dựa trên phần cứng của Intel để tách mã bộ nhớ và dữ liệu khỏi phần mềm trên hệ thống.
SGX hiện chỉ được hỗ trợ trên các đơn vị xử lý trung tâm của máy chủ và cung cấp một môi trường biệt lập đáng tin cậy cho phần mềm mà ngay cả hệ điều hành cũng không thể truy cập.
Thu thập dữ liệu bí mật
Nhà nghiên cứu của Google đã phát hiện ra lỗ hổng và báo cáo nó một cách có trách nhiệm với Intel, nói rằng các kỹ thuật tấn công Downfall lợi dụng lệnh gather để làm rò rỉ nội dung của vector register bên trong trong quá trình thực thi.
Gather là một phần của tối ưu hóa bộ nhớ trong bộ xử lý Intel, được sử dụng để tăng tốc độ truy cập dữ liệu phân tán trong bộ nhớ.
gather dường như sử dụng bộ đệm tạm thời được chia sẻ giữa các luồng CPU và nó tạm thời chuyển tiếp dữ liệu sang các hướng dẫn phụ thuộc sau này và dữ liệu thuộc về một quy trình khác và gather thực thi chạy trên cùng một core.
Moghimi đã phát triển hai kỹ thuật tấn công Downfall, Gather Data Sampling (GDS) - cũng là tên mà Intel sử dụng để chỉ vấn đề và Gather Value Injection (GVI) - kết hợp GDS với kỹ thuật Load Value Injection (LVI) được tiết lộ vào năm 2020.
Sử dụng kỹ thuật GDS, Moghimi đã có thể đánh cắp các khóa mật mã AES 128-bit và 256-bit trên một máy ảo (VM) riêng biệt từ máy ảo được kiểm soát, với mỗi hệ thống nằm trên các luồng của cùng một CPU core.
Trong vòng chưa đầy 10 giây, tám byte mỗi lần, nhà nghiên cứu đã đánh cắp được các khóa vòng AES và kết hợp chúng để phá mã hóa.
Đối với 100 khóa khác nhau, lần tấn công đầu tiên đã thành công 100% đối với AES-128. Lần chạy đầu tiên của cuộc tấn công đã thành công 86% đối với AES-256.
Nhà nghiên cứu lưu ý rằng những nỗ lực thất bại có nghĩa là việc khôi phục toàn bộ khóa cần phải thực hiện cuộc tấn công nhiều lần vì dữ liệu cho khóa chính không xuất hiện với tần suất cao trong vòng 10 giây.
Ngoài các khóa mã hóa, Moghimi cung cấp các biến thể của cuộc tấn công GDS có thể đánh cắp dữ liệu tùy ý ở trạng thái nghỉ do hai điều kiện mà CPU tìm nạp trước loại thông tin này vào bộ đệm thanh ghi SIMD.
Đánh giá mối đe dọa và tác động hiệu suất microcode
Các cuộc tấn công Downfall yêu cầu kẻ tấn công phải sử dụng cùng core bộ xử lý vật lý với nạn nhân, bối cảnh được cung cấp bởi mô hình điện toán dùng chung ngày nay.
Tuy nhiên, một chương trình cục bộ, chẳng hạn như phần mềm độc hại, có khả năng khai thác lỗ hổng để đánh cắp thông tin nhạy cảm.
Intel đã biết về lỗ hổng Downfall/GDS vào tháng 8 năm ngoái và đã hợp tác với Moghimi để phát hiện ra. Hiện đã có bản cập nhật vi mã để giảm thiểu sự cố.
Thông tin chi tiết về lỗ hổng được giữ kín trong gần một năm để các nhà sản xuất thiết bị gốc (OEM) và nhà cung cấp dịch vụ truyền thông (CSP) có thời gian kiểm tra và xác thực giải pháp, cũng như chuẩn bị các bản cập nhật cần thiết cho khách hàng của họ.
Sự cố không ảnh hưởng đến Alder Lake, Raptor Lake và Sapphire Rapids và sự cố Downfall đó ảnh hưởng đến ba dòng bộ xử lý sau:
- Skylake family (Skylake, Cascade Lake, Cooper Lake, Amber Lake, Kaby Lake, Coffee Lake, Whiskey Lake, Comet Lake)
- Tiger Lake family
- Ice Lake family (Ice Lake, Rocket Lake)
Intel cho biết khách hàng có thể xem lại hướng dẫn đánh giá rủi ro từ công ty và quyết định vô hiệu hóa việc giảm thiểu vi mã thông qua các cơ chế có sẵn trong Windows và Linux cũng như các trình quản lý máy ảo (VMM).
Một quyết định như vậy có thể xuất phát từ những lo ngại về các vấn đề hiệu suất tiềm ẩn từ việc giảm thiểu Sự cố/GDS hoặc do vấn đề không thể hiện mối đe dọa đối với môi trường.
Intel cung cấp cho khách hàng cả thông tin đánh giá mối đe dọa và phân tích hiệu suất, từ đó kết luận rằng tác động của sự cố trong một số môi trường nhất định có thể là tối thiểu.
Một tác động tiềm tàng tồn tại trong các điều kiện mà các lệnh gather được thực thi thường xuyên, đặc biệt đối với môi trường điện toán hiệu năng cao (HPC).
Tuy nhiên, nhà sản xuất chip cho biết vấn đề có thể không được coi là mối đe dọa trong bối cảnh HPC do các điều kiện tấn công và cấu hình điển hình của các môi trường này.
Ví dụ: kẻ tấn công sẽ cần phải chạy trên cùng một core vật lý như mục tiêu và có thể chạy mã không đáng tin cậy, vốn không điển hình trong những môi trường này
Giảm thiểu dựa trên phần mềm
Việc loại bỏ nguy cơ bị tấn công Downfall/GDS yêu cầu phải thiết kế lại phần cứng, điều này dẫn đến chi phí mà ngành công nghiệp chưa sẵn sàng chi trả.
Các giải pháp thay thế dựa trên phần mềm vẫn tồn tại, mặc dù những giải pháp này đi kèm với các cảnh báo và là giải pháp tạm thời cho vấn đề. Moghimi đề xuất bốn phương án như vậy, ba trong số đó có những nhược điểm đáng kể:
- Vô hiệu hóa đa luồng đồng thời - simultaneous multithreading (SMT) có thể giảm thiểu một phần các cuộc tấn công GDS và GVI, nhưng việc cắt giảm hyperthreading dẫn đến giảm 30% hiệu suất và vẫn xảy ra rò rỉ khi chuyển bối cảnh
- Không cho phép các hướng dẫn bị ảnh hưởng thông qua hệ điều hành và trình biên dịch để ngăn chúng tiết lộ bí mật để gather; nhược điểm là một số ứng dụng có thể bị gián đoạn và rò rỉ vẫn xảy ra nếu một số hướng dẫn bị bỏ sót
- Vô hiệu hóa gather. Hạn chế là các ứng dụng sử dụng lệnh có thể trở nên chậm hoặc thậm chí bị hỏng.
- Việc ngăn chuyển tiếp dữ liệu tạm thời sau lệnh gather (thêm load fence, ví dụ như lfence) có thể giảm thiểu Sự cố và là giải pháp mà Intel đã áp dụng với bản cập nhật vi mã mới nhất
Tuy nhiên, Moghimi cảnh báo rằng nếu không loại bỏ nguyên nhân cốt lõi của vấn đề thì “thử nghiệm tự động trên thực tế có thể tìm ra các lỗ hổng mới trong CPU”.
Những công cụ như vậy không dễ tạo ra vì chúng cần bao quát tốt hơn phần cứng và các hướng dẫn được hỗ trợ, một nhiệm vụ đầy thách thức do độ phức tạp của phần cứng và các rào cản độc quyền.
Nhà nghiên cứu đã phát hành mã cho Downfall để những người khác có thể xem lại và dùng thử.
Daniel Moghimi sẽ nói về lỗ hổng Downfall và các kỹ thuật tấn công tại hội nghị bảo mật Black Hat USA
Intel đã đưa ra một lời khuyên bảo mật cho CVE-2022-40982 , hiện có xếp hạng mức độ nghiêm trọng trung bình là 6,5. Một bài báo kỹ thuật của công ty cũng có sẵn cùng với cuộc phỏng vấn với Moghimi về Downfall.
Nguồn 🔗 BleepingComputer
6. Ứng dụng Google Play với 2.5 triệu lượt cài đặt sẽ tải quảng cáo khi màn hình tắt.
Cửa hàng Google Play đã bị xâm nhập bởi 43 ứng dụng Android với 2,5 triệu lượt cài đặt bí mật hiển thị quảng cáo trong khi màn hình điện thoại tắt, làm cạn kiệt pin của thiết bị.
Nhóm nghiên cứu di động của McAfee đã phát hiện ra các ứng dụng Android độc hại và báo cáo chúng với Google vì chúng vi phạm chính sách của Cửa hàng Google Play. Google sau đó đã xóa các ứng dụng khỏi cửa hàng chính thức của Android.
Các ứng dụng này chủ yếu là các ứng dụng phát trực tuyến phương tiện truyền thông và tổng hợp tin tức, và đối tượng mục tiêu chủ yếu là người Hàn Quốc. Tuy nhiên, các chiến thuật lừa đảo tương tự có thể rất dễ dàng được áp dụng cho các danh mục ứng dụng khác và người dùng đa dạng hơn.
Mặc dù các ứng dụng này được coi là phần mềm quảng cáo, nhưng chúng vẫn gây rủi ro cho người dùng khi chúng mở ra cơ hội cho những rủi ro tiềm ẩn trong hồ sơ người dùng, làm cạn kiệt thời lượng pin của thiết bị, tiêu thụ dữ liệu internet đáng kể và thực hiện hành vi gian lận đối với các nhà quảng cáo.
Ẩn trong Google Play
Báo cáo của McAfee cho biết phần mềm quảng cáo đã bị ẩn trong các ứng dụng Google Play mạo danh các ứng dụng TV/DMB Player, Music Downloader, News và Calendar.
Sau khi được cài đặt trên thiết bị, các ứng dụng phần mềm quảng cáo sẽ đợi vài tuần trước khi kích hoạt hoạt động gian lận quảng cáo của chúng để đánh lừa người dùng và tránh bị những người đánh giá của Google phát hiện.
McAfee cho biết cấu hình của phần mềm quảng cáo có thể được sửa đổi và cập nhật từ xa thông qua Firebase Storage hoặc Messaging, vì vậy những người vận hành phần mềm này có thể điều chỉnh thời gian ngủ đông và các thông số khác.
Android sử dụng tính năng tiết kiệm năng lượng để đặt ứng dụng ở chế độ chờ khi thiết bị không được sử dụng, ngăn ứng dụng chạy ngầm và sử dụng tài nguyên CPU, bộ nhớ và mạng.
Khi các ứng dụng phần mềm quảng cáo độc hại được cài đặt, người dùng sẽ được nhắc thêm chúng dưới dạng loại trừ vào hệ thống tiết kiệm năng lượng của Android, cho phép các ứng dụng độc hại chạy trong nền.
Loại trừ này cho phép các ứng dụng phần mềm quảng cáo tìm nạp và tải quảng cáo ngay cả khi màn hình của thiết bị tắt, tạo doanh thu một cách gian lận và khiến người dùng không có cách nào rõ ràng để nhận ra điều gì đang xảy ra.
McAfee nhận xét rằng người dùng có thể nhìn thoáng qua các quảng cáo được tải khi họ bật màn hình của thiết bị trước khi chúng tự động đóng lại.
Tuy nhiên, dấu hiệu thỏa hiệp chắc chắn nhất vẫn là mức tiêu thụ pin cao không thể giải thích được trong khi thiết bị không hoạt động.
Để kiểm tra ứng dụng nào tiêu thụ nhiều năng lượng nhất trên thiết bị Android của bạn, hãy đi tới "Cài đặt → Pin → Sử dụng pin", trong đó mức sử dụng "tổng" và "nền" được chỉ định.
McAfee nói rằng các ứng dụng phần mềm quảng cáo cũng yêu cầu quyền sử dụng các ứng dụng khác, thường được sử dụng bởi các trojan ngân hàng phủ các trang lừa đảo lên trên các ứng dụng ngân hàng điện tử hợp pháp; tuy nhiên, không có hành vi lừa đảo nào được quan sát thấy trong trường hợp này.
Người dùng Android nên luôn đọc các bài đánh giá trước khi cài đặt ứng dụng và xem xét kỹ lưỡng các quyền được yêu cầu trong khi cài đặt ứng dụng mới trước khi cho phép chúng cài đặt.
Nguồn 🔗 BleepingComputer
7. Tin tặc liên kết với Trung Quốc tấn công toàn cầu: 17 quốc gia bị tấn công trong chiến dịch mạng kéo dài 3 năm
Các tin tặc liên kết với Ministry of State Security của Trung Quốc (MSS) có liên quan đến các cuộc tấn công ở 17 quốc gia khác nhau ở Châu Á, Châu Âu và Bắc Mỹ từ năm 2021 đến năm 2023.
Công ty an ninh mạng Recorded Future quy kết vụ xâm nhập cho một nhóm quốc gia mà họ theo dõi dưới tên RedHotel (trước đây là Threat Activity Group-22 hoặc TAG-222), trùng lặp với một cụm hoạt động được giám sát rộng rãi như Aquatic Panda, Bronze University, Charcoal Typhoon, Earth Lusca, and Red Scylla (or Red Dev 10).
Hoạt động từ năm 2019, một số lĩnh vực nổi bật được nhắm mục tiêu bởi tác nhân bao gồm học viện, hàng không vũ trụ, chính phủ, truyền thông, viễn thông và nghiên cứu. Phần lớn các nạn nhân trong à các tổ chức chính phủ.
"RedHotel có một nhiệm vụ kép là thu thập thông tin tình báo và gián điệp kinh tế", công ty an ninh mạng cho biết , chỉ ra sự bền bỉ, cường độ hoạt động và phạm vi toàn cầu của nó. "Nó nhắm mục tiêu vào cả các tổ chức chính phủ và các tổ chức tham gia vào nghiên cứu COVID-19 và công nghệ R&D."
Trend Micro, vào đầu tháng 1 năm 2022, đã mô tả "tác nhân đe dọa có kỹ năng cao và nguy hiểm, chủ yếu được thúc đẩy bởi hoạt động gián điệp mạng và lợi ích tài chính."
Nhóm này có liên quan đến việc khai thác các lỗ hổng Log4Shell cũng như các cuộc tấn công nhằm vào các tổ chức viễn thông, học viện, nghiên cứu và phát triển và chính phủ ở Nepal, Philippines, Đài Loan và Hồng Kông để triển khai các cửa hậu nhằm truy cập lâu dài.
Các chuỗi tấn công do RedHotel thiết lập đã vũ khí hóa các ứng dụng tiếp xúc với công chúng để truy cập ban đầu, tiếp theo là sử dụng kết hợp các công cụ bảo mật tấn công như Cobalt Strike và Brute Ratel C4 (BRc4) và các dòng phần mềm độc hại đặt trước như FunnySwitch , ShadowPad , Spyder và Winnti .
Một khía cạnh đáng chú ý trong phương thức hoạt động của kẻ tấn công là việc sử dụng cơ sở hạ tầng nhiều tầng, mỗi tầng tập trung vào việc do thám ban đầu và truy cập mạng dài hạn thông qua các máy chủ chỉ huy và kiểm soát. Nó chủ yếu sử dụng NameCheap để đăng ký tên miền.
Trong một chiến dịch vào cuối năm 2022, RedHotel được cho là đã tận dụng chứng chỉ ký mã bị đánh cắp thuộc về một công ty trò chơi Đài Loan để ký tệp DLL chịu trách nhiệm tải BRc4. Về phần mình, bộ công cụ sau khai thác được định cấu hình để giao tiếp với cơ sở hạ tầng của chính phủ Việt Nam bị xâm phạm.
"RedHotel đã minh họa phạm vi và quy mô không ngừng của hoạt động gián điệp mạng rộng lớn hơn do nhà nước CHND Trung Hoa bảo trợ bằng cách duy trì nhịp độ hoạt động cao và nhắm mục tiêu vào các tổ chức khu vực công và tư nhân trên toàn cầu", Recorded Future.
Diễn biến này diễn ra khi tờ Washington Post đưa tin tin tặc Trung Quốc có "quyền truy cập sâu, liên tục" vào các mạng phòng thủ mật ở Nhật Bản, khiến Cơ quan An ninh Quốc gia Hoa Kỳ (NSA), cơ quan đã phát hiện ra vụ vi phạm vào cuối năm 2020, phải đích thân báo cáo vấn đề cho chính phủ.
Nguồn 🔗 TheHackerNews
8. Chiến dịch lừa đảo EvilProxy nhắm mục tiêu 120.000 người dùng Microsoft 365
EvilProxy đang trở thành một trong những nền tảng lừa đảo phổ biến nhắm mục tiêu vào các tài khoản được bảo vệ bởi MFA, các nhà nghiên cứu đã thấy 120.000 email lừa đảo được gửi tới hơn một trăm tổ chức để đánh cắp tài khoản Microsoft 365.
Nghiên cứu mới này đến từ Proofpoint, cảnh báo về sự gia tăng mạnh mẽ các vụ chiếm đoạt tài khoản đám mây thành công trong 5 tháng qua, chủ yếu ảnh hưởng đến các giám đốc điều hành cấp cao.
Công ty an ninh mạng đã quan sát thấy một chiến dịch quy mô rất lớn được hỗ trợ bởi EvilProxy, chiến dịch này kết hợp mạo danh thương hiệu, trốn tránh phát hiện bot và chuyển hướng mở.
Tấn công EvilProxy
EvilProxy là một nền tảng lừa đảo dưới dạng dịch vụ sử dụng reverse proxy để chuyển tiếp các yêu cầu xác thực và thông tin đăng nhập của người dùng giữa người dùng (mục tiêu) và trang web dịch vụ hợp pháp.
Vì máy chủ lừa đảo ủy quyền biểu mẫu đăng nhập hợp pháp nên nó có thể đánh cắp cookie xác thực sau khi người dùng đăng nhập vào tài khoản của họ.
Hơn nữa, vì người dùng đã phải vượt qua các thử thách MFA khi đăng nhập vào tài khoản, cookie bị đánh cắp cho phép các tác nhân đe dọa bỏ qua xác thực đa yếu tố.
Theo báo cáo vào tháng 9 năm 2022 của Resecurity, EvilProxy được bán cho bọn tội phạm mạng với giá 400 đô la/tháng , hứa hẹn khả năng nhắm mục tiêu các tài khoản Apple, Google, Facebook, Microsoft, Twitter, GitHub, GoDaddy và PyPI.
Một chiến dịch lừa đảo mới được Proofpoint quan sát kể từ tháng 3 năm 2023 đang sử dụng dịch vụ EvilProxy để gửi email mạo danh các thương hiệu nổi tiếng như Adobe, DocuSign và Concur.
Nếu nạn nhân nhấp vào liên kết được nhúng, họ sẽ chuyển hướng mở qua YouTube hoặc SlickDeals, sau đó là một loạt các chuyển hướng tiếp theo nhằm giảm cơ hội khám phá và phân tích.
Cuối cùng, nạn nhân truy cập vào một trang lừa đảo EvilProxy, trang này reverse proxy trang đăng nhập Microsoft 365, trang này cũng có chủ đề tổ chức của nạn nhân để có vẻ xác thực.
Proofpoint giải thích: “Để ẩn email của người dùng khỏi các công cụ quét tự động, những kẻ tấn công đã sử dụng mã hóa đặc biệt cho email của người dùng và sử dụng các trang web hợp pháp đã bị tấn công để tải lên mã PHP của chúng nhằm giải mã địa chỉ email của một người dùng cụ thể”.
"Sau khi giải mã địa chỉ email, người dùng được chuyển tiếp đến trang web cuối cùng - trang lừa đảo thực sự, được thiết kế riêng cho tổ chức của mục tiêu đó."
Nhắm mục tiêu đặc thù
Các nhà nghiên cứu đã phát hiện ra rằng chiến dịch mới nhất chuyển hướng người dùng có địa chỉ IP của Thổ Nhĩ Kỳ đến một trang web hợp pháp, về cơ bản là ngừng cuộc tấn công, điều đó có thể có nghĩa là hoạt động này có trụ sở tại Thổ Nhĩ Kỳ.
Ngoài ra, Proofpoint nhận thấy rằng những kẻ tấn công rất chọn lọc những trường hợp chúng sẽ tiến hành giai đoạn tiếp quản tài khoản, ưu tiên các mục tiêu "VIP" và bỏ qua những mục tiêu thấp hơn trong hệ thống phân cấp.
Trong số những người có tài khoản bị xâm phạm, 39% là giám đốc điều hành cấp C, 9% là CEO và phó chủ tịch, 17% là giám đốc tài chính và phần còn lại là nhân viên có quyền truy cập vào tài sản tài chính hoặc thông tin nhạy cảm.
Sau khi tài khoản Microsoft 365 bị xâm phạm, các tác nhân đe dọa sẽ thêm phương thức xác thực đa yếu tố của riêng chúng (thông qua Ứng dụng Authenticator có Thông báo và Mã) để thiết lập tính bền vững.
Bộ công cụ lừa đảo reverse proxy và đặc biệt là EvilProxy, là mối đe dọa ngày càng tăng có khả năng thực hiện hành vi lừa đảo chất lượng cao ở quy mô nguy hiểm trong khi bỏ qua các biện pháp bảo mật và bảo vệ tài khoản.
Các tổ chức chỉ có thể chống lại mối đe dọa này thông qua nhận thức bảo mật cao hơn, quy tắc lọc email chặt chẽ hơn và áp dụng các khóa vật lý dựa trên FIDO.
Nguồn 🔗 BleepingComputer
9. Lỗ hổng mã hóa trong ứng dụng tiếng Trung phổ biến khiến dữ liệu đã nhập của người dùng gặp rủi ro
Một ứng dụng nhập liệu tiếng Trung được sử dụng phổ biến cho Windows và Android đã phát hiện có lỗ hổng bảo mật nghiêm trọng có thể cho phép kẻ tấn công giải mã văn bản được nhập bởi người dùng.
Cơ chế mã hóa được sử dụng trong Phương thức nhập liệu Sogou của Tencent, một ứng dụng có hơn 455 triệu người dùng hoạt động hàng tháng trên Windows, Android và iOS.
Các lỗ hổng bắt nguồn từ EncryptWall, hệ thống mã hóa tùy chỉnh của dịch vụ, cho phép những kẻ nghe lén trích xuất nội dung văn bản và truy cập dữ liệu nhạy cảm.
Phương thức nhập liệu của phiên bản Windows và Android bao gồm các lỗ hổng trong hệ thống mã hóa, bao gồm lỗ hổng CBC padding oracle attack, cho phép kẻ nghe lén khôi phục văn bản gốc của việc truyền mạng được mã hóa, lộ thông tin nhạy cảm bao gồm những gì người dùng đã nhập vào.
CBC - cipher block chaining, là một phương thức mã hóa trong đó mỗi khối bản rõ được XOR với khối bản mã trước đó trước khi được mã hóa.
Một khối mật mã hoạt động trên các khối bản rõ có kích thước cố định, một cuộc tấn công padding oracle có thể được sử dụng để rò rỉ dữ liệu về các bản mã nhận được, khi được giải mã có phần đệm hợp lệ hay không. Khi làm như vậy, kẻ tấn công có thể giải mã một tin nhắn mà không thực sự biết khóa mã hóa.
Phiên bản iOS của Phương thức nhập liệu Sogou được phát hiện là an toàn trước việc nghe lén, mặc dù phiên bản sẽ dễ bị tấn công nhất do lỗi thứ hai trong triển khai EncryptWall, trong đó nửa đầu của khóa mã hóa có thể được phục hồi.
Phạm vi không chỉ giới hạn ở Trung Quốc mà lượt truy cập vào trang web của ứng dụng - shurufa.sogou[.]com cũng đến từ Hoa Kỳ, Đài Loan, Hồng Kông và Nhật Bản.
Tencent đã khắc phục trong phiên bản 13.7 (Windows), 11.26 (Android) và 11.25 (iOS).
Lỗ hổng này có thể dễ dàng tránh được bằng cách sử dụng TLS thay vì sử dụng mật mã homebrew, một giao thức mật mã phổ biến với tính khả dụng phổ biến và hỗ trợ cập nhật.
Nghiên cứu của Citizenlab
Nguồn 🔗 TheHackerNews