Lỗ hổng Microsoft Office bị khai thác để tấn công APT

15:45 | 30/05/2016 | LỖ HỔNG ATTT

Một lỗ hổng Office của Microsoftđã được vá từ năm 2015, đến nay lại bị khai thác để tiến hành tấn công có chủ đích (APT) trong các hoạt động nhằm mục tiêu đến nhiều tổ chức ở châu Á.

Lỗ hổng thực thi mã từ xa, CVE-2015-2545, đã bị khai thác bởi một nhóm APT có tên Platinum hay TwoForOne trước khi Microsoft phát hành bản vá vào tháng 9/2015 và một bản vá toàn diện hơn 2 tháng sau đó. Nhóm tin tặc được cho là nhắm mục tiêu vào các tổ chức tại Nam và Đông Nam Á, đã hoạt động ít nhất là từ năm 2009.

CVE-2015-2545 có thể bị khai thác để thực thi mã tùy ý thông qua các tập tin hình ảnh Encapsulated PostScript (EPS) đặc biệt được chèn vào tài liệu Office. Mã khai thác lỗ hổng này có thể tránh các cơ chế an toàn như ASLR (Address Space Layout Randomization) và DEP (Data Execution Prevention).

Theo Kaspersky Lab, Platinum là nhóm đầu tiên khai thác CVE-2015-2545 để phát tán mã độc, nhưng nhóm này đã dừng sử dụng lỗ hổng sau khi Microsoft phát hành bản vá.

Một trong những nhóm APT đầu tiên lợi dụng CVE-2015-2545 sau khi lỗ hổng đã được vá bởi Microsoft là EvilPost, một nhóm tin tặc có liên hệ với Trung Quốc, sử dụng tài liệu Word làm vũ khí tấn công một nhà thầu quốc phòng của Nhật Bản trong tháng 12/2015.

Vào khoảng thời gian đó, một tin tặc Trung Quốc có tên APT16, sử dụng mã khai thác lỗ hổng Office này để tấn công các cơ quan chính phủ và truyền thông ở Đài Loan. Các tổ chức tại Đài Loan cũng trở thành mục tiêu của một nhóm tin tặc có tên SVCMONDR trong tháng 12/2015.

Các cuộc tấn công của SVCMONDR có điểm tương đồng với các hoạt động do một nhóm tin tặc Danti tiến hành. Tuy nhiên, các nhà nghiên cứu không thể xác định chính xác SVCMONDR và Danti thuộc cùng một nhóm hay đơn giản chỉ sử dụng mã độc tương tự nhau.

Nhóm tin tặc Danti từng nhằm mục tiêu vào Kazakhstan, Kyrgyzstan, Uzbekistan, Myanmar, Nepal và Philippines. Danti được cho là một nhóm mới, có liên quan đến các gián điệp mạng NetTraveler và DragonOK, bắt đầu hoạt động từ 2013 và 2014.

Danti sử dụng CVE-2015-2545 trong tháng 2 và 3/2016 để khởi phát các cuộc tấn công vào các tổ chức ngoại giao Ấn Độ, trong đó có nhiều Đại sứ quán. Các hoạt động của nhóm cũng được Palo Alto Networks phân tích, có kết nối giữa mã độc được sử dụng trong các cuộc tấn công nhằm vào Đại sứ quán Ấn Độ và mã độc được sử dụng năm 2013 trong một chiến dịch mang tên Operation Ke3chang. Nhiều bằng chứng cho thấy tin tặc có trụ sở tại Trung Quốc.

Palo Alto Networks gần đây cũng phân tích một chiến dịch nhóm APT lợi dụng lỗ hổng Office để phát tán biến thể Poison Ivy có tên là SPIVY để nhằm đến các tổ chức ở Hồng Kông.

Theo Kaspersky, tất cả các nhóm từng khai thác CVE-2015-2545 đều nhằm mục tiêu vào các tổ chức ở châu Á.

Ngoài các nhóm APT, tội phạm mạng truyền thống cũng lợi dụng mã khai thác office trong các chiến dịch thư rác.

Các nhà nghiên cứu Kaspersky cho biết, các cuộc tấn công này chủ yếu nhằm mục tiêu tổ chức tài chính ở châu Á. Cụ thể, các cuộc tấn công đã được ghi nhận tại Việt Nam, Philippines và Malaysia. Có nhiều lý do để tin rằng tội phạm mạng Nigeria đứng đằng sau. Trong một số trường hợp, cơ sở hạ tầng được sử dụng giống như những gì họ đã thấy khi phân tích trojan Adwind.

‹ › ×

Tin liên quan

Hiểm họa tấn công APT từ các cuộc tấn công lừa đảo

09:00 | 31/01/2019

Ngày nay, tấn công có chủ đích đã trở thành mối nguy hiểm thường trực cho các tổ chức, doanh nghiệp, hạ tầng trọng yếu quốc gia. Được đánh giá là một hình thức tấn công “may đo”, dai dẳng và có chủ đích vào một thực thể, nên khi phát hiện tấn công APT thì thiệt hại cho tổ chức, doanh nghiệp là khó ước lượng được. Trong đó, giai đoạn chuẩn bị của vòng đời một cuộc tấn công APT được đánh giá rất quan trọng. Việc thu thập thông tin, nghiên cứu về con người, hạ tầng của mục tiêu trở thành vấn đề then chốt. Kẻ tấn công thường áp dụng kỹ nghệ xã hội, lừa đảo người dùng, lây nhiễm mã độc để khai thác thông tin. Một trojan, backdoor, virus nhiễm vào máy tính người dùng ngày hôm nay, có thể sẽ là mở đầu của một tấn công APT vào những ngày sau đó. Vì vậy, các cuộc tấn công lừa đảo trở thành một trong những dấu hiệu nhận biết của tấn công APT.

Người dùng cần duy trì chế độ Protected View của Microsoft Office

09:00 | 02/07/2019

Chế độ “Xem an toàn” (Protected View) được tích hợp trong phần mềm Microsoft Office từ phiên bản 2010 giúp bảo vệ người dùng khỏi các rủi ro an toàn thông tin như lây nhiễm mã độc hại.

Ứng dụng Microsoft Office dính lỗ hổng nghiêm trọng

10:00 | 21/08/2020

Mới đây, cựu tin tặc Patrick Wardle (NSA) đã phát hiện một lỗ hổng nghiêm trọng bên trong ứng dụng Microsoft Office, cho phép tin tặc có thể chiếm quyền kiểm soát toàn bộ máy Mac.

Tin cùng chuyên mục

Bắt giữ 37 nghi phạm trong đường dây dịch vụ lừa đảo trực tuyến

14:00 | 24/04/2024

Europol đưa ra thông báo, nền tảng cung cấp dịch vụ lừa đảo (PhaaS) LabHost vừa bị triệt phá trong chiến dịch kéo dài 1 năm của các nhà hành pháp toàn cầu, 37 nghi phạm bị bắt giữ.

Tin tặc Mustang Panda nhắm mục tiêu vào các quốc gia châu Á với biến thể mới của PlugX

09:00 | 06/03/2024

Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.

Giải mã chiến dịch Operation Blacksmith: Nhóm tin tặc Triều Tiên Lazarus sử dụng phần mềm độc hại mới dựa trên DLang

07:00 | 27/12/2023

Các nhà nghiên cứu tại Công ty công nghệ an ninh mạng Cisco Talos (Mỹ) mới đây đã phát hiện ra chiến dịch Operation Blacksmith do nhóm tin tặc Lazarus khét tiếng của Triều Tiên thực hiện, sử dụng ba họ phần mềm độc hại dựa trên ngôn ngữ lập trình DLang, bao gồm trojan truy cập từ xa (RAT) có tên là NineRAT tận dụng Telegram để ra lệnh và kiểm soát (C2), DLRAT và trình tải xuống có tên là BottomLoader.

Khám phá Trojan mới của BlueNoroff với mục tiêu tấn công người dùng macOS

17:00 | 22/12/2023

Mới đây, các nhà nghiên cứu tới từ hãng bảo mật Kaspersky đã đưa ra báo cáo về việc phát hiện một loại Trojan mới có liên quan đến nhóm tin tặc APT BlueNoroff và chiến dịch RustBucket đang diễn ra. Trojan này là một trình tải độc hại được thiết kế để tải và thực thi mã độc khác trên hệ thống bị xâm nhập với mục tiêu nhắm vào người dùng macOS. Bài viết này sẽ cùng tìm hiểu, khám phá Trojan BlueNoroff cũng như thông tin xoay quanh nhóm tin tặc này.