Để làm bằng chứng cho việc truy cập vào dữ liệu, tội phạm mạng đứng sau các vụ tấn công gần đây nhắm mục tiêu vào các máy chủ của Accellion FTA đã chia sẻ ảnh chụp màn hình các tệp thuộc về khách hàng của công ty trên một trang web rò rỉ dữ liệu có thể truy cập công khai do băng nhóm CLOP ransomware điều hành.
Xác nhận về vụ việc, Giám đốc An ninh thông tin Qualys Ben Carr cho biết một cuộc điều tra chi tiết "đã xác định được quyền truy cập trái phép vào các tệp được lưu trữ trên máy chủ Accellion FTA" nằm trong môi trường DMZ (khu phi quân sự) được tách biệt với phần còn lại của mạng nội bộ.
Carr nói:"Dựa trên cuộc điều tra này, chúng tôi đã thông báo ngay cho những khách hàng bị ảnh hưởng bởi hành vi truy cập trái phép này. Cuộc điều tra xác nhận rằng việc truy cập trái phép chỉ giới hạn ở máy chủ FTA và không ảnh hưởng đến bất kỳ dịch vụ nào được cung cấp hoặc có quyền truy cập vào dữ liệu khách hàng do nền tảng đám mây Qualys lưu trữ".
Trong tháng 2/2021, Mandiant (nhóm cảnh báo về các mối đe doạ của FireEye, công ty an ninh không gian mạng) đã tiết lộ chi tiết về bốn lỗ hổng zero-day trong ứng dụng FTA đã bị những kẻ đe dọa lợi dụng để thực hiện một chiến dịch đánh cắp dữ liệu và tống tiền trên diện rộng, liên quan đến việc triển khai một web shell có tên DEWMODE trên các mạng mục tiêu nhằm lấy cắp dữ liệu nhạy cảm. Tiếp đó là gửi email tống tiền để đe dọa nạn nhân trả tiền chuộc bằng bitcoin nếu không sẽ bị đăng trên trang web rò rỉ dữ liệu
Trong khi hai lỗ hổng định danh CVE-2021-27101 và CVE-2021-27104 đã được Accellion giải quyết vào ngày 20/12/2020, hai lỗ hổng khác định danh CVE-2021-27102 và CVE-2021-27103 đã được xác định và vá trước đó vào ngày 25/1/2021.
Qualys cho biết họ đã nhận được một cảnh báo về tính toàn vẹn về một cuộc xâm phạm có thể xảy ra vào ngày 24/12/2020, sau hai ngày áp dụng bản vá ban đầu. Công ty không cho biết liệu họ có nhận được tin nhắn tống tiền sau vi phạm hay không, nhưng họ cho biết một cuộc điều tra về vụ việc đang được tiến hành.
Mandiant cho biết trong một đánh giá bảo mật của phần mềm FTA được công bố vào đầu tháng 3/2021: "Các lỗ hổng bị khai thác có mức độ nghiêm trọng vì chúng bị khai thác thông qua thực thi mã từ xa không được xác thực".
Ngoài ra, phân tích mã nguồn của Mandiant đã phát hiện thêm hai lỗ hổng bảo mật chưa từng được biết đến trước đây trong phần mềm FTA. Cả hai đều đã được sửa trong một bản vá được phát hành vào ngày 01/3/2021. Lỗ hổng định danh CVE-2021-27730 có số điểm CVSS 6,6 có thể truy cập được đối với những người dùng đã xác thực có đặc quyền quản trị. Một lỗ hổng tập lệnh trên nhiều trang web được lưu trữ có điểm CVSS 8.1 định danh CVE-2021-27731 chỉ người dùng đã được xác thực thường xuyên mới có thể truy cập được.
Công ty con thuộc sở hữu của FireEye đang theo dõi hoạt động khai thác và kế hoạch tống tiền tiếp theo, theo hai nhóm mối đe dọa riêng biệt được gọi là UNC2546 và UNC2582. Sự đan xen được xác định giữa hai nhóm và các cuộc tấn công trước đó được thực hiện bởi một kẻ đe dọa có động cơ tài chính có tên FIN11. Nhưng vẫn chưa rõ mối liên hệ nào, nếu có, hai cụm này có thể có liên quan với những người điều hành ransomware Clop.
Thanh Bùi ( Theo The Hacker News)
10:00 | 18/02/2021
12:00 | 03/01/2021
08:00 | 17/07/2019
08:00 | 04/05/2024
Mới đây, Cisco cảnh báo rằng một nhóm tin tặc được nhà nước bảo trợ đã khai thác hai lỗ hổng zero-day trong tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11/2023 để cài đặt phần mềm độc hại trên các hệ thống mạng viễn thông và năng lượng bị ảnh hưởng tại nhiều quốc gia.
09:00 | 17/04/2024
Một nhà nghiên cứu bảo mật có biệt danh Marco Croc từ Kupia Security đã được thưởng 250,000 USD vì phát hiện ra một lỗ hổng mà trong lịch sử đã cho phép tin tặc rút hàng triệu USD từ các giao thức tiền điện tử. Lỗ hổng này tái xuất hiện trong giao thức tài chính phi tập trung (DeFi) Curve Finance.
14:00 | 05/03/2024
Một sự cố an ninh mạng nghiêm trọng gần đây đã xảy ra khi một trình cài đặt trong phần mềm của Chính phủ Nga bị cài đặt backdoor để phát tán trojan truy cập từ xa có tên Konni RAT (còn gọi là UpDog).
14:00 | 23/02/2024
Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024