Có ít nhất 2 nhóm tin tặc đứng sau các cuộc tấn công nhắm vào các tổ chức quốc phòng, chính phủ, các tổ chức tài chính ở Mỹ và nhiều quốc gia khác, thông qua việc khai thác lỗ hổng trong các thiết bị Pulse Secure VPN để vượt qua cơ chế xác thực đa yếu tố (multi-factor) và xâm nhập vào mạng các tổ chức.
Công ty an ninh mạng FireEye cho biết: "Nhiều lỗ hổng bảo mật đã được biết đến từ trước và một lỗ hổng mới CVE-2021-22893 được phát hiện vào tháng 4/2021. Tin tặc đã kết hợp các lỗ hổng bảo mật để khởi phát tấn công". Công ty này cũng chỉ ra 12 loại mã độc có liên quan đến việc khai thác trên các thiết bị Pulse Secure VPN.
FireEye đã theo dõi các hoạt động của 2 nhóm tấn công chưa được phân loại là UNC2630 và UNC2717. Nhóm đầu tiên có liên quan tới việc đột nhập vào mạng Defense Industrial base (Mỹ), nhóm thứ 2 được phát hiện trong chiến dịch nhắm đến một tổ chức châu Âu từ tháng 3/2021. Báo cáo chỉ ra nhóm UNC2630 hoạt động dưới danh nghĩa của chính phủ Trung Quốc và có khả năng liên quan đến nhóm APT5, dựa trên sự tương đồng trong quá trình tấn công được ghi nhận từ năm 2014, 2015.
Những cuộc tấn công do nhóm UNC2630 thực hiện được cho là bắt đầu từ đầu tháng 8/2020 và kéo dài đến tháng 10/2020. Trong khi nhóm UNC2717 lợi dụng những lỗ hổng này để cài mã độc trên hạ tầng mạng của các cơ quan chính phủ Mỹ và châu Âu và được kéo dài đến tháng 3/2021.
Thông qua việc khai thác nhiều lỗ hổng của Pulse Security VPN: CVE-2019-11510, CVE-2020-8260, CVE-2020-8243 và CVE-2021-22893; nhóm UNC2630 được cho là đã thu thập được các thông tin đăng nhập, từ đó tiến hành leo thang đặc quyền bên trong hệ thống. Để duy trì sự tồn tại các mã độc, nhóm này sử dụng những file binary hợp lệ của Pulse Secure để cho phép thực thi mã bất kì và cài cắm web shell có khả năng trích xuất file và có thể khởi chạy mã độc.
Ivanti, công ty đứng sau Pulse Secure VPN, đã phát hành bản vá để xử lý lỗ hổng cho phép thực thi file bất kì CVE-2021-22893 có điểm CVSS là 10. Công ty này cho biết những lổ hổng này đã ảnh hưởng đến một số ít khách hàng. Ngoài ra, hãng này đã cung cấp công cụ Pulse Connect Secure Integrity tới khách hàng để kiểm tra hệ thống của mình có bị ảnh hưởng hay không.
Những tổ chức sử dụng Pulse Secure được khuyến nghị cập nhật PCS Server phiên bản 9.1R.11.4 khi bản này được phát hành.
Mai Hương
10:00 | 09/02/2018
07:00 | 24/05/2021
09:00 | 25/05/2021
15:00 | 22/04/2021
11:00 | 14/04/2021
11:00 | 29/02/2024
Các nhà nghiên cứu của hãng bảo mật Palo Alto Networks (Mỹ) đã phát hiện một biến thể mới của Trojan ngân hàng Mispadu đang tiến hành các hoạt động khai thác lỗ hổng Windows SmartScreen đã được vá để nhắm mục tiêu đến các nạn nhân ở Mexico. Bài viết sẽ phân tích và thảo luận xoay quanh biến thể mới của Mispadu và tấn công khai thác lỗ hổng Windows SmartScreen dựa trên báo cáo của Palo Alto Networks.
14:00 | 22/02/2024
Các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một dòng phần mềm độc hại mới được phân phối một cách bí mật thông qua các ứng dụng, phần mềm bẻ khóa (crack), nhắm mục tiêu vào ví tiền điện tử của người dùng macOS. Theo các nhà nghiên cứu, mối đe dọa mới này có những tính năng nổi trội hơn so với việc cài đặt trái phép Trojan trên các máy chủ proxy đã được phát hiện trước đó.
14:00 | 16/01/2024
Theo nghiên cứu mới đây của Zimperium (công ty bảo mật di động có trụ sở tại Hoa Kỳ), 29 họ phần mềm độc hại đã nhắm mục tiêu vào 1.800 ứng dụng ngân hàng trên 61 quốc gia vào năm 2023. Nhiều hơn gần gấp 3 lần năm 2022 với 10 dòng phần mềm độc hại nhắm mục tiêu đến 600 ứng dụng ngân hàng. Có thể thấy được sự phát triển và tiện lợi của các ứng dụng ngân hàng trực tuyến, tuy nhiên chúng cũng đi kèm với nguy cơ tiềm ẩn về an toàn thông tin và gian lận tài chính.
12:00 | 15/12/2023
Các nhà nghiên cứu của công ty an ninh mạng Cisco Talos gần đây đã phát hiện một chiến dịch độc hại có khả năng bắt đầu từ tháng 8/2023, phát tán một Trojan truy cập từ xa (RAT) mới có tên gọi là “SugarGh0st”. Cisco Talos cho biết các tin tặc nhắm mục tiêu vào Bộ Ngoại giao Uzbekistan và người dùng tại Hàn Quốc đồng thời quy kết hoạt động này cho tin tặc Trung Quốc.
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024