Bản vá cho trình duyệt Google Chrome được phát hành thông qua tính năng vá lỗi tự động của trình duyệt. Cập nhật này đã khắc phục một lỗ hổng nghiêm trọng trong công cụ V8 của Google (bao gồm JavaScript và WebAssembly engine). Lỗ hổng này có mức độ rủi ro cao, ảnh hưởng đến người dùng sử dụng các hệ điều hành Windows, MacOS và Linux.
Báo cáo của Google không cho biết nhiều chi tiết về lỗ hổng này. Theo Google, lỗ hổng này có định danh CVE-2021-2114, là lỗ hổng tràn bộ đệm heap trong V8, được đánh giá mức độ nghiêm trọng. Lỗ hổng được báo cáo bởi kỹ sư phần mềm Mattias Buelens vào ngày 24/01/2021. Google đã ghi nhận các báo cáo về việc khai thác lỗ hổng này trong thực tế.
Bản vá được phát hành trong bối cảnh có các báo cáo rằng một khai thác lỗ hổng zero-day trong Google Chrome đang bị lợi dụng trong các cuộc tấn công do chính phủ Triều Tiên hậu thuẫn, nhằm vào nhiều nhà nghiên cứu và nhân vật trong lĩnh vực an ninh tấn công và phòng thủ.
Ngoài một bài đăng kèm cảnh báo trên blog của Nhóm phân tích mối đe dọa của Google, thì hãng chưa lên tiếng về việc liệu lỗ hổng Chrome này có được sử dụng trong chiến dịch kỹ thuật xã hội của Triều Tiên, hay liệu bản vá mới nhất này có khắc phục lỗ hổng trong chiến dịch đó hay không.
Theo trang thông tin tin điện tử SecurityWeek, hai lỗ hổng này “không liên quan đến nhau”, nhưng nhấn mạnh rằng cuộc điều tra toàn diện về điều này vẫn chưa được hoàn thành.
Đổ thêm dầu vào lửa, hãng bảo mật ENKI của Hàn Quốc đã tuyên bố rằng, một lỗ hổng zero-day trên trình duyệt Internet Explorer (IE) của Microsoft cũng có thể liên quan đến chiến dịch tấn công của Triều Tiên.
ENKI cho biết, các nhà nghiên cứu của họ cũng đã bị nhắm tới và phương thức tấn công là sử dụng các tệp MHTML độc hại, dẫn đến việc tải xuống các file độc hại bằng trình duyệt IE. Tuy nhiên, dữ liệu công cộng cho thấy trình duyệt IE vẫn tiếp tục được sử dụng rộng rãi ở Hàn Quốc.
Microsoft cũng đã ghi lại những phát hiện của mình về các vụ tấn công của Triều Tiên chống lại các nhà nghiên cứu mũ trắng, các chuyên gia về mối đe dọa và các chuyên gia bảo mật tấn công, nhưng Microsoft không đề cập đến việc khai thác lỗ hổng zero-day trên IE.
Tuy nhiên, Microsoft mô tả việc sử dụng tệp MHTML nhằm cụ thể vào phiên bản IE cũ hơn. Ngoài tấn công kỹ thuật xã hội thông qua các nền tảng mạng xã hội, Microsoft đã quan sát thấy ZINC (nhóm tin tặc được chính phủ Triều Tiên hậu thuẫn) đã gửi cho các nhà nghiên cứu bản sao của trang blog br0vvnn được lưu dưới dạng tệp MHTML kèm theo hướng dẫn để mở bằng IE. Tệp MHTML chứa một số mã JavaScript bị làm rối, sẽ đưa người dùng đến tên miền được kiểm soát bởi ZINC để thực thi thêm mã JavaScript khác. Trang web đã bị ngừng hoạt động tại thời điểm điều tra và hãng không thể truy xuất gói tin để phân tích thêm.
Một phát ngôn viên của Microsoft cho biết, các phát hiện của ENKI ban đầu được báo cáo thông qua “một kênh không chính xác”. Microsoft có cam kết với khách hàng về việc điều tra các vấn đề bảo mật được báo cáo, và họ sẽ cung cấp bản cập nhật cho các thiết bị bị ảnh hưởng sớm nhất.
Các nhà nghiên cứu bảo mật tại Kaspersky đã liên kết các cuộc tấn công với một nhóm nhỏ thuộc Lazarus - nhóm tin tặc khét tiếng của Triều Tiên được biết đến qua các cuộc tấn công mã độc phá hoại và mã độc tống tiền trên toàn cầu.
Đỗ Đoàn Kết
(Theo Security Week)
11:00 | 01/02/2021
14:00 | 08/03/2021
13:00 | 15/03/2021
16:00 | 25/06/2021
09:00 | 11/03/2021
16:00 | 14/09/2020
09:00 | 25/05/2021
08:00 | 22/06/2020
16:00 | 16/03/2021
16:00 | 04/03/2021
09:00 | 06/03/2024
Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.
10:00 | 21/02/2024
Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.
13:00 | 17/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet, các nhà cung cấp dịch vụ công nghệ thông tin (CNTT) và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới được thực hiện bởi một nhóm tin tặc Türkiye-nexus có tên là (Rùa biển).
09:00 | 08/12/2023
Để bổ sung thêm những tính năng dành cho các nền tảng ứng dụng nhắn tin hiện nay, các nhà phát triển bên thứ ba đã đưa ra các bản mod (phiên bản sửa đổi của ứng dụng không chính thức) cung cấp các tính năng mới bên cạnh những nâng cấp về mặt giao diện. Tuy nhiên, một số mod này có thể chứa phần mềm độc hại cùng với các cải tiến hợp pháp. Một trường hợp điển hình đã xảy ra vào năm ngoái khi các nhà nghiên cứu Kaspersky phát hiện ra Trojan Triada bên trong bản mod WhatsApp. Gần đây, các nhà nghiên cứu đã phát hiện một bản mod Telegram có module gián điệp được nhúng và phân phối thông qua Google Play. Câu chuyện tương tự hiện tại xảy ra với WhatsApp, khi một số bản mod trước đây đã được phát hiện có chứa module gián điệp có tên là Trojan-Spy.AndroidOS.CanesSpy.
Trong một chiến dịch tấn công gần đây, các tác nhân đe dọa đã lạm dụng chức năng tìm kiếm của GitHub và sử dụng các kho lưu trữ được thiết kế đặc biệt để phát tán phần mềm độc hại nhằm đánh cắp các khoản thanh toán bằng tiền điện tử.
09:00 | 28/04/2024