Giao thức ms-appinstaller được sử dụng để quản lý việc cài đặt các tệp MSIX, là một tính năng của Windows cho phép người dùng cài đặt ứng dụng trực tiếp từ máy chủ web. Khi người dùng nhấp vào liên kết ms-appinstaller, hệ thống Windows sẽ tải xuống một tệp XML nhỏ chứa thông tin về ứng dụng (tên, nhà xuất bản và phiên bản) và liên kết đến gói MSIX của ứng dụng.
Kể từ giữa tháng 11/2023, Nhóm Tình báo mối đe dọa của Microsoft đã quan sát thấy các nhóm tin tặc có động cơ tài chính bao gồm: Storm-0569, Storm-1113, Sangria Tempest và Storm-1674, sử dụng lược đồ URI ms-appinstaller (Trình cài đặt ứng dụng - App Installer) để phát tán phần mềm độc hại. Ngoài việc đảm bảo rằng khách hàng được bảo vệ trước các mối đe dọa này, Microsoft đã tắt trình xử lý giao thức ms-appinstaller theo mặc định.
Hoạt động của tác nhân đe dọa được quan sát lạm dụng cách triển khai của trình xử lý giao thức ms-appinstaller như một vectơ truy cập cho phần mềm độc hại có thể dẫn đến phân phối mã độc tống tiền. Nhiều tội phạm mạng cũng đang bán bộ phần mềm độc hại dưới dạng dịch vụ lạm dụng định dạng tệp MSIX và trình xử lý giao thức ms-appinstaller.
Ngoài ra, các cuộc tấn công diễn ra dưới dạng các gói ứng dụng MSIX độc hại đã được ký số và phân phối qua Microsoft Teams hoặc quảng cáo độc hại cho phần mềm phổ biến hợp pháp trên các công cụ tìm kiếm như Google.
Hình 1. Trang web giả mạo Zoom thông qua quảng cáo độc hại trên công cụ tìm kiếm Google
Các tác nhân đe dọa có thể đã chọn vectơ xử lý giao thức ms-appinstaller để khai thác lỗ hổng giả mạo CVE-2021-43890 Windows AppX Installer, vì nó có thể vượt qua các cơ chế bảo mật để giúp giữ an toàn cho người dùng khỏi phần mềm độc hại, chẳng hạn như Microsoft Defender SmartScreen và cảnh báo trình duyệt tích hợp khi tải xuống các định dạng tệp thực thi.
Google đã quan sát thấy ít nhất 4 nhóm tin tặc có động cơ tài chính khác nhau đang lợi dụng Trình cài đặt ứng dụng kể từ giữa tháng 11/2023, sử dụng dịch vụ này làm điểm khởi đầu cho hoạt động mã độc tống tiền.
Thứ nhất, Storm-0569 là một nhóm tin tặc tập trung vào việc tải xuống các payload sau khi xâm phạm trên thiết bị nạn nhân, chẳng hạn như BATLODER thông qua các email quảng cáo và lừa đảo có chứa các liên kết độc hại đến các trang web tải xuống.
Nhóm tin tặc này cũng cung cấp trình cài đặt độc hại bao gồm nhiều chuỗi lây nhiễm thường bắt đầu bằng các tệp Microsoft Installer (MSI) giả mạo là bản cài đặt, hoặc cập nhật phần mềm hợp pháp cho các ứng dụng như TeamViewer, Zoom và AnyDesk, đồng thời sử dụng phần mềm độc hại để phân phối Cobalt Strike cũng như các công cụ quản lý và giám sát từ xa (RMM), đặc biệt là việc chuyển giao cho các tác nhân đe dọa sử dụng mã độc tống tiền như Storm-0846 và Storm-0506.
Thứ hai, Storm-1113 là một tác nhân đe dọa hoạt động vừa là một nhà môi giới truy cập phân phối phần mềm độc hại thông qua các quảng cáo tìm kiếm, vừa là một thực thể “dưới dạng dịch vụ” cung cấp các trình cài đặt độc hại. Trong các chiến dịch phân phối phần mềm độc hại của Storm-1113, nạn nhân được điều hướng đến các trang web giả mạo, thường là các tệp MSI, dẫn đến việc cài đặt các payload độc hại. Storm-1113 cũng là nhà phát triển EugenLoader, một phần mềm độc hại được phát hiện lần đầu tiên vào khoảng tháng 11/2022.
Microsoft cũng mô tả Storm-1113 là nhóm tin tặc cung cấp các trình cài đặt độc hại và các trang web giả mạo một số phần mềm nổi tiếng cho các tác nhân đe dọa khác như Sangria Tempest và Storm-1674.
Thứ ba, Sangria Tempest (còn gọi là Carbon Spider và FIN7) là một nhóm tội phạm mạng có động cơ tài chính hiện đang tập trung vào việc thực hiện các cuộc tấn công đánh cắp dữ liệu, hoặc triển khai mã độc tống tiền như Clop. Ngoài ra, nhóm này đã dựa vào quảng cáo của Google để dụ người dùng tải xuống các gói ứng dụng MSIX độc hại từ các trang lừa đảo để phân phối POWERTRASH - một tập lệnh Powershell độc hại, sau đó được sử dụng để tải NetSupport RAT và Gracewire.
Thứ tư, Storm-1674 một trình trung gian truy cập ban đầu gửi các trang đích trông vô hại giả dạng Microsoft OneDrive và SharePoint thông qua tin nhắn Teams bằng công cụ TeamsPhisher, kêu gọi người nhận mở các tệp PDF mà khi nhấp vào sẽ nhắc họ cập nhật Adobe Acrobat Reader để tải xuống trình cài đặt MSIX độc hại có chứa payload SectopRAT hoặc DarkGate.
Hình 2. Các nạn nhân sẽ được chuyển hướng đến trang web giả mạo SharePoint thông qua các URL độc hại được gửi qua Teams
Hình 3. Lỗi giả mạo mà nạn nhân nhận được khi nhấp vào bất kỳ tệp PDF nào trong SharePoint
Vào tháng 10/2023, nhóm bảo mật Elastic Security Labs đã trình bày chi tiết một chiến dịch mà trong đó các tệp gói ứng dụng MSIX Windows giả mạo cho Google Chrome, Microsoft Edge, Brave, Grammarly và Cisco Webex đã được sử dụng để phân phối trình tải phần mềm độc hại có tên là GHOSTPULSE.
Đây không phải là lần đầu tiên Microsoft vô hiệu hóa trình xử lý giao thức MSIX ms-appinstaller trong Windows. Vào tháng 02/2022, gã khổng lồ công nghệ đã thực hiện bước tương tự để ngăn chặn các tác nhân đe dọa sử dụng nó để phân phối các phần mềm độc hại như Emotet, TrickBot và Bazaloader.
Khuyến nghị
Microsoft khuyến nghị người dùng cài đặt Trình cài đặt ứng dụng phiên bản 1.21.3421.0 để giảm thiểu rủi ro tiềm ẩn. Bên cạnh đó, gã khổng lồ công nghệ khuyến cáo các tổ chức nên sử dụng các phương pháp xác thực chống lừa đảo và cấu hình các chính sách truy cập có điều kiện (Conditional Access).
Điều quan trọng nữa là kích hoạt các cơ chế bảo mật nâng cao trong Microsoft Defender dành cho Office 365, cũng như đào tạo người dùng và nhân viên về cách sử dụng Microsoft Teams và trình duyệt web một cách an toàn.
Hồng Đạt
(Tổng hợp)
16:00 | 18/12/2023
10:00 | 21/11/2023
16:00 | 15/03/2024
14:00 | 24/10/2023
15:00 | 01/03/2024
Microsoft đã phát triển Python Risk Identification Tool (PyRIT) như một công cụ hỗ trợ quan trọng cho các đội ngũ Red Teaming trong việc đánh giá và phát hiện rủi ro trong hệ thống AI tạo sinh.
16:00 | 18/12/2023
Nhóm tình báo mối đe dọa của Microsoft mới đây vừa cho biết nhóm tin tặc Cold River đã tiếp tục tham gia vào các hoạt động đánh cắp thông tin xác thực chống lại các mục tiêu có lợi ích chiến lược đối với Nga, đồng thời chỉ ra rằng nhóm này cũng cải thiện khả năng trốn tránh phát hiện của mình.
13:00 | 20/11/2023
Cradlepoint, công ty hàng đầu thế giới về các giải pháp kết nối biên không dây 5G và LTE được quản lý trên đám mây đã công bố giải pháp Biên dịch vụ truy cập an toàn (Secure Access Service Edge - SASE) được tối ưu hóa cho 5G vào cuối tháng 7/2023. 5G SASE của Cradlepoint được thiết kế cho các loại hình doanh nghiệp và được xây dựng có mục đích triển khai mạng diện rộng (WAN) không dây. Việc triển khai theo từng giai đoạn giải pháp 5G SASE sẽ cho phép các doanh nghiệp tạo môi trường SD-WAN và không dây kết hợp nhằm tối ưu hóa tính khả dụng, chất lượng dịch vụ và bảo mật cho các vị trí biên, phân tán và di động.
18:00 | 22/09/2023
Mới đây, Google vừa phát hành phiên bản Chrome 117 để kỷ niệm 15 năm ra mắt của trình duyệt này. Trong bản cập nhật này, Google đã bổ sung thêm nhiều tính năng mới cũng như áp dụng ngôn ngữ Material You để trình duyệt Chrome tiện lợi và dễ sử dụng hơn.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Công ty được mệnh danh là “Google của Trung Quốc” - Baidu cho biết chatbot AI của hãng này, Ernie Bot đã có hơn 200 triệu người dùng trong bối cảnh cạnh tranh ngày càng khốc liệt.
19:00 | 30/04/2024
