Hiện tại, FireEye chưa tìm thấy mối liên hệ giữa nhóm tin tặc này với bất kỳ nhóm tin tặc nào đã biết trước đó. Công ty này cũng nhấn mạnh các tin tặc dường như hiểu rất rõ về cách thức hoạt động của sản phẩm thuộc SonicWall.
Một trong những lỗ hổng nghiêm trọng đang bị khai thác có định danh CVE-2021-20021, cho phép tin tặc tấn công từ xa, không cần xác thực tạo tài khoản quản trị bằng cách gửi các truy vấn HTTP đặc biệt tới hệ thống mục tiêu.
Hai lỗ hổng khác gồm CVE-2021-20022 và CVE-2021-20023, có thể đã bị tin tặc lợi dụng để tải lên các tệp và đọc các tệp tùy ý tương ứng từ máy chủ. Hai lỗ hổng này được đánh giá có mức độ trung bình dựa trên điểm CVSS. Tuy nhiên, sẽ rất nguy hiểm khi chúng được kết hợp với CVE-2021-20021.
SonicWall cho biết, các lỗ hổng ảnh hưởng đến Email Security trên Windows, cũng như phần cứng và thiết bị ảo ESXi. Hosted Email Security cũng bị ảnh hưởng nhưng đã được vá tự động. Ngoài các bản vá, nhà cung cấp đã phát hành chữ ký trên IPS để phát hiện và chặn các cuộc tấn công.
Ngày 13/4, nhà nghiên cứu Kevin Beaumont đã cảnh báo các tổ chức về mức độ nghiêm trọng của các lỗ hổng bảo mật. Sau đó, vào ngày 16/4, ông cho biết có thể SonicWall đã không liên hệ và cảnh báo khách hàng cập nhật bản vá trước khi thông tin các lỗ hổng bị khai thác được công bố.
Trong một bài đăng mô tả các lỗ hổng và các cuộc tấn công, FireEye cho biết tin tặc đã nhắm mục tiêu vào phiên bản mới nhất của ứng dụng Email Security trên Windows Server 2012. Bằng việc khai thác thành công lỗ hổng CVE-2021-20021 chiếm quyền truy cập quản trị vào hệ thống SonicWall, tin tặc tiếp tục khai thác lỗ hổng CVE -2021-20023 để lấy các tệp chứa thông tin về tài khoản hiện có, thông tin đăng nhập Active Directory. Cuối cùng, tin tặc thông qua lỗ hổng CVE-2021-20022 để triển khai web shell có tên BEHINDER.
BEHINDER tương tự như web shell khét tiếng của nhóm China Chopper, giúp kẻ tấn công truy cập không hạn chế vào máy chủ bị xâm nhập.
Các nhà nghiên cứu của FireEye giải thích: “Dựa vào các kỹ thuật “living off the land” mà tin tặc sử dụng các công cụ hoặc tính năng đã có sẵn trong môi trường mục tiêu, hơn là đưa các công cụ riêng của mình vào môi trường nạn nhân. Điều này giúp kẻ tấn công có thể tránh bị các sản phẩm bảo mật phát hiện.
Đây là lần thứ hai SonicWall vá các lỗ hổng bị khai thác trong năm 2021. Vào tháng 01/2021, công ty tiết lộ các hệ thống nội bộ của hãng đã bị tin tặc trình độ cao khai thác các lỗ hổng zero-day trong các sản phẩm Truy cập Di động Bảo mật (SMA).
SonicWall cho biết, hãng đã xác minh một số lỗ hổng zero-day cụ thể, trong đó có ít nhất một lỗ hổng đang bị khai thác trong thực tế. SonicWall đã thiết kế, thử nghiệm và công bố các bản vá để khắc phục sự cố và thông báo những biện pháp giảm thiểu nguy cơ bị tấn công tới các khách hàng và đối tác. Cùng với đó, SonicWall đặc biệt khuyến nghị khách hàng cũng như các tổ chức trên toàn thế giới thường xuyên cập nhật bản vá để tránh các rủi ro không mong muốn.
Mai Hương
09:00 | 11/03/2021
09:00 | 03/06/2021
13:00 | 27/04/2022
09:00 | 15/10/2021
08:00 | 30/03/2020
14:00 | 24/03/2021
15:00 | 11/04/2024
Vừa qua, phiên bản mới nhất của FortiOS được công bố. Đây là hệ điều hành duy nhất hội tụ liền mạch mạng và bảo mật, cùng với các bản cập nhật Fortinet Security Fabric mang đến những tính năng AI tạo sinh thế hệ mới, khả năng bảo vệ dữ liệu, quản lý dịch vụ và tác nhân hợp nhất.
21:00 | 01/04/2024
Trong tháng 3, ông Won-Kyun Cho, Giám đốc quốc gia của Fortinet Hàn Quốc đại diện cho Fortinet - một trong những công ty hàng đầu thế giới về kiến tạo và thúc đẩy sự hội tụ của mạng và bảo mật và CEO Sung-An Choi, đại diện cho Samsung Heavy Industries - công ty hàng đầu thế giới trong ngành đóng tàu, mới đây đã thông báo hai bên chính thức ký kết Biên bản ghi nhớ đánh dấu hợp tác trong lĩnh vực an ninh mạng hàng hải.
08:00 | 11/01/2024
Hãng sản xuất thiết bị chip hàng đầu thế giới - ASML đã hủy một số lô hàng sang Trung Quốc theo yêu cầu của chính phủ Mỹ vào thời điểm trước khi lệnh cấm xuất khẩu có hiệu lực.
16:00 | 08/12/2023
Nhằm tăng cường, trực quan hoá các kiến thức, kỹ năng tự bảo vệ, phòng ngừa trước các nguy cơ xâm hại trẻ em trên môi trường mạng, Cục C02, Bộ Công an đã tham gia xây dựng phần mềm “Phòng, chống xâm hại trẻ em”. Ứng dụng có thể cài đặt trên thiết bị thông minh chạy điều hành Androi và IOS, với các bộ câu hỏi liên quan đến lĩnh vực: Xâm hại trẻ em, bạo lực học đường, phòng, chống ma tuý, căn cước công dân, an toàn giao thông…, các hình ảnh hướng dẫn kỹ năng phòng, chống xâm hại trẻ em; đường dây nóng của các đơn vị và những câu chuyện liên quan đến tình huống xâm hại trẻ em.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Oracle dự kiến sẽ đầu tư 1.200 tỷ Yen (khoảng 8 tỷ USD) trong 10 năm, bắt đầu từ năm nay, để mở rộng các trung tâm dữ liệu của mình tại Nhật Bản. Thông báo này được hãng đưa ra vào ngày 18/4 vừa qua, cơ sở chủ yếu ở hai khu vực mà Oracle hiện đang vận hành các trung tâm dữ liệu là Tokyo và Osaka.
10:00 | 26/04/2024
