Ngay sau khi phát hiện, ESET đã báo cáo với Trung tâm ứng cứu an toàn của Microsoft để phát hành bản vá khẩn cấp khắc phục lỗ hổng này.
Theo Microsoft, đây là lỗ hổng cho phép leo thang đặc quyền tồn tại trong Windows, khi thành phần Win32k không xử lý đúng các đối tượng trong bộ nhớ. Lỗ hổng được dịnh danh CVE-2019-132. Nếu khai thác thành công lỗ hổng này, kẻ tấn công có thể thực thi mã tùy ý trong chế độ nhân (kernel), từ đó có thể cài đặt chương trình; xem, thay đổi hoặc xóa dữ liệu; tạo tài khoản với người dùng đặc quyền. Để thực hiện, kẻ tấn công cần đăng nhập thành công vào hệ thống và thực thi một ứng dụng tự tạo nhằm khai thác lỗ hổng và kiểm soát hệ thống bị ảnh hưởng.
Các nhà nghiên cứu cho rằng, các hành vi tấn công này xuất phát từ nhóm tội phạm mạng Buhtrap. Trong nhiều năm qua, nhóm tin tặc này được biết đến với các hoạt động gián điệp ở Đông Âu và Trung Á. Đây là lần đầu tiên, Buhtrap khai thác lỗ hổng zero-day sử dụng trong chiến dịch tấn công của nhóm. Hoạt động từ cuối năm 2015, Buhtrap nhắm mục tiêu vào các tổ chức tài chính và doanh nghiệp ở Nga. Tuy nhiên, trong thời gian gần đây, các nhà nghiên cứu đã phát hiện có sự thay đổi đáng kể về mục tiêu hoạt động của Buhtrap.
Ông Jean-Ian Boutin, Trưởng phòng Nghiên cứu mối đe dọa tại ESET cho rằng, việc tìm ra kẻ đứng sau một chiến dịch tấn công là điều khó khăn khi các công cụ khai thác của tin tặc ngày càng trở phổ biến và miễn phí trên Internet. Tuy nhiên, do sự thay đổi về mục tiêu trước khi mã nguồn bị rò rỉ, nên ESET chắc chắn rằng, Buhtrap đang nhắm mục tiêu tới các tổ chức chính phủ. Chưa rõ nguyên nhân vì sao nhóm tin tặc này lại thay đổi mục tiêu, nhưng đây chắc chắn là sự chuyển hướng trong tương lai.
An Dương
Theo Infosecurity
08:00 | 26/03/2019
08:00 | 25/10/2018
14:00 | 05/02/2021
13:00 | 15/03/2021
10:00 | 07/08/2019
09:00 | 31/05/2018
07:00 | 08/04/2024
Tháng 01/2024, nhóm nghiên cứu Zero Day Initiative (ZDI) của hãng bảo mật Trend Micro phát hiện chiến dịch phân phối phần mềm độc hại DarkGate. Các tác nhân đe dọa đã khai thác lỗ hổng CVE-2024-21412 trong Windows Defender SmartScreen để vượt qua kiểm tra bảo mật (bypass) và tự động cài đặt phần mềm giả mạo.
10:00 | 21/02/2024
Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.
08:00 | 12/01/2024
Trung tuần tháng 12, các nhà nghiên cứu của hãng bảo mật Kaspersky phát hiện một mối đe dọa đa nền tảng mới có tên là NKAbuse. Phần mềm độc hại này được viết bằng ngôn ngữ Golang, sử dụng công nghệ NKN (New Kind of Network) để trao đổi dữ liệu giữa các thiết bị mạng ngang hàng, được trang bị khả năng tạo backdoor và phát động các cuộc tấn công từ chối dịch vụ phân tán (DDoS), bên cạnh đó NKAbuse cũng có đủ sự linh hoạt để tạo các tệp nhị phân tương thích với nhiều kiến trúc khác nhau.
09:00 | 08/12/2023
Để bổ sung thêm những tính năng dành cho các nền tảng ứng dụng nhắn tin hiện nay, các nhà phát triển bên thứ ba đã đưa ra các bản mod (phiên bản sửa đổi của ứng dụng không chính thức) cung cấp các tính năng mới bên cạnh những nâng cấp về mặt giao diện. Tuy nhiên, một số mod này có thể chứa phần mềm độc hại cùng với các cải tiến hợp pháp. Một trường hợp điển hình đã xảy ra vào năm ngoái khi các nhà nghiên cứu Kaspersky phát hiện ra Trojan Triada bên trong bản mod WhatsApp. Gần đây, các nhà nghiên cứu đã phát hiện một bản mod Telegram có module gián điệp được nhúng và phân phối thông qua Google Play. Câu chuyện tương tự hiện tại xảy ra với WhatsApp, khi một số bản mod trước đây đã được phát hiện có chứa module gián điệp có tên là Trojan-Spy.AndroidOS.CanesSpy.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024