Cảnh báo nhóm APT SideWinder tấn công nhằm vào vùng Trung Đông và Châu Phi

Các chuyên gia bảo mật đã phát hiện một nhóm APT có tên SideWinder có nguồn gốc từ Ấn Độ, nhóm này thực hiện hàng loạt cuộc tấn công nhắm vào các tổ chức và cơ sở hạ tầng quan trọng tại Trung Đông và châu Phi.

APT.jpeg

Cục An toàn thông tin, Bộ TT&TT cho hay các chuyên gia bảo mật đã phát hiện một nhóm APT có tên SideWinder có nguồn gốc từ Ấn Độ, nhóm này thực hiện hàng loạt cuộc tấn công nhắm vào các tổ chức và cơ sở hạ tầng quan trọng tại Trung Đông và châu Phi.

Nhóm APT SideWinder được biết đến với nhiều tên khác như APT-C-17, Baby Elephant, Hardcore Nationalist, Leafperforator, Rattlesnake, Razor Tiger, and T-APT-04. Các đối tượng bị tấn công chủ yếu thuộc các tổ chức chính phủ, quân đội, các công ty logistics, viễn thông, tài chính, các trường đại học, và các doanh nghiệp giao dịch dầu mỏ tại các quốc gia Bangladesh, Djibouti, Jordan, Malaysia, Maldives, Myanmar, Nepal, Pakistan, Ả Rập Saudi, Sri Lanka, Thổ Nhĩ Kỳ và Các Tiểu vương quốc Ả Rập Thống nhất (UAE). Ngoài ra, SideWinder còn nhắm đến các cơ quan ngoại giao tại Afghanistan, Pháp, Trung Quốc, Ấn Độ, Indonesia, và Ma-rốc.

Chiến dịch tấn công bắt đầu bằng các email giả mạo (spear-phishing) chứa tệp đính kèm độc hại. Các tệp đính kèm này có thể là tệp nén ZIP chứa tệp shortcut Windows (LNK) hoặc tài liệu Microsoft Office. Khi nạn nhân mở tệp, chuỗi tấn công được kích hoạt, bắt đầu từ việc chạy các đoạn mã JavaScript và trình tải .NET, cuối cùng dẫn đến việc cài đặt mã độc StealerBot.

Tài liệu đính kèm trong email sử dụng kỹ thuật chèn mẫu từ xa để tải xuống một tệp RTF từ máy chủ do đối tượng tấn công kiểm soát. Tệp RTF này sẽ khai thác lỗ hổng CVE-2017-11882, cho phép thực thi mã JavaScript có nhiệm vụ kích hoạt thêm mã JavaScript khác từ trang web mofa-gov-sa.direct888[.]net. Trong trường hợp sử dụng tệp .LNK, nó sẽ sử dụng công cụ mshta.exe, một thành phần trên Windows được thiết kế để chạy các tệp Microsoft HTML Application (HTA), nhằm thực thi mã JavaScript độc hại từ máy chủ của đối tượng tấn công.

Mục tiêu cuối cùng của chiến dịch này là phát tán mã độc StealerBot thông qua module Backdoor loader. Mã độc này được lập trình bằng .NET và được mô tả là một “phần cài cắm nâng cao với tính năng mô-đun,” nhằm thực hiện các hoạt động gián điệp thông qua việc tích hợp các plugin cho những hành vi sau:

Cài đặt mã độc mới bằng bộ tải C++

Chụp màn hình

Ghi lại dữ liệu từ việc gõ phím

Đánh cắp mật khẩu từ trình duyệt

Chặn bắt thông tin xác thực RDP

Đánh cắp tệp

Khởi tạo reverse shell

Giả mạo thông tin xác thực của Windows

Leo thang đặc quyền truy cập trên hệ thống và vượt qua bảo mật của UAC.

Nhóm APT SideWinder đang mở rộng phạm vi tấn công và sử dụng các công cụ phức tạp mới, trùng hợp với báo cáo từ Cyfirma về nhóm APT36 (Transparent Tribe) có nguồn gốc từ Pakistan. APT36 phát tán tệp Linux giả mạo dưới dạng PDF để tải xuống mã độc và duy trì kết nối lâu dài trên hệ thống mục tiêu. Nhóm này đã gia tăng nhắm vào các hệ thống Linux, đặc biệt là các hệ điều hành dựa trên Debian như BOSS OS và Maya OS, thường được sử dụng trong các cơ quan chính phủ Ấn Độ. Sự tương đồng trong hoạt động giữa hai nhóm cho thấy một xu hướng đáng lo ngại trong việc tấn công các mục tiêu quan trọng.

Danh sách một số IoC được ghi nhận

danh sách IoC.png

Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/

Lỗ hổng nghiêm trọng trên Kubernetes Image Builder khiến các Nodes trên giải pháp chịu rủi ro từ việc truy cập Root trái phép

cảnh báo.jpeg

Các chuyên gia bảo mật đã ghi nhận lỗ hổng an toàn thông tin mức nghiêm trọng tồn tại trên Kubernetes Image Builder khi khai thác thành công sẽ cho phép đối tượng tấn công đạt được quyền truy cập root.

Lỗ hổng có mã CVE-2024-9486 (Điểm CVSS: 9.8) hiện đã được vá trong phiên bản 0.1.38. Cụ thể, lỗ hổng là lỗi thông tin xác thực mặc định được sử dụng trong quá trình xây dựng ảnh của máy ảo. Ngoài ra, các ảnh của máy ảo được dựng bởi Proxmox không vô hiệu hóa các thông tin xác thực này và các node sử dụng ảnh được tạo có thể bị truy cập sử dụng thông tin này vào thẳng quyền root.

Lỗ hổng chỉ gây ảnh hưởng tới các cụm Kubernetes có node sử dụng ảnh của máy ảo (VM) được tạo thông qua Image Builder do Proxmox cung cấp. Để tạm thời ngăn chặn lỗ hổng, người dùng được khuyến nghị nên tắt các tài khoản dựng ảnh trên các VM. Người dùng cũng nên xây lại các ảnh của máy ảo bằng phiên bản đã được vá của Image Builder rồi triển khai lại chúng trên máy ảo của mình.

Cụ thể, đối tượng tấn công có thể đọc nội dung trong cơ sở dữ liệu Expedition, truy cập các file tùy ý và ghi file tùy ý vào bộ nhớ tạm trên hệ thống Expedition. Điều này giúp đối tượng tấn công thu thập thông tin như tên người dùng, mật khẩu dưới dạng văn bản không mã hóa, cấu hình thiết bị và các khóa API của tường lửa PAN-OS.

Thông tin về lỗ hổng được công bố trong lúc Microsoft phát hành bản vá phía server cho ba lỗ hổng nghiêm trọng trên Dataverse, Imagine Cup, và Power Platform có thể dẫn tới lộ lọt thông tin, cho phép đối tượng tấn công leo thang đặc quyền.

• CVE-2024-38139 (Điểm CVSS: 8.7) – Xác thực sai cách trên Microsoft Dataverse cho phép đối tượng tấn công leo thang đặc quyền qua hệ thống mạng

• CVE-2024-38204 (Điểm CVSS: 7.5) - Access Control sai cách trên Imagine Cup cho phép đối tượng tấn công leo thang đặc quyền qua hệ thống mạng

• CVE-2024-38190 (Điểm CVSS: 8.6) – Thiếu ủy quyền trên Power Platform cho phép đối tượng tấn công truy cập thông tin trái phép

Đồng thời, thông tin về lỗ hổng nghiêm trọng trên Apache Solr (CVE-2024-45216, điểm CVSS: 9.8) cũng đã được công bố, lỗ hổng này có thể dẫn tới việc bỏ qua xác thực.

Cùng chuyên mục

Tin khác

Ông Donald Trump đắc cử Tổng thống Mỹ

Ông Donald Trump đắc cử Tổng thống Mỹ

Trưa 6/11 theo giờ Việt Nam, sắc đỏ (biểu tượng của đảng Cộng hòa) đã thống trị trên bản đồ bầu cử Mỹ khi ứng cử viên tổng thống Donald Trump giành chiến thắng thuyết phục trước Phó Tổng thống Kamala Harris của đảng Dân chủ tại hầu hết các bang chiến địa.
Bộ trưởng Nguyễn Hồng Diên tham gia đoàn Thủ tướng Chính phủ Phạm Minh Chính thăm chính thức Qatar

Bộ trưởng Nguyễn Hồng Diên tham gia đoàn Thủ tướng Chính phủ Phạm Minh Chính thăm chính thức Qatar

Tiếp nối chuyến công tác tại Ả-rập Xê-út, tối ngày 30/10/2024, Bộ trưởng Nguyễn Hồng Diên cùng đoàn đại biểu cấp cao Việt Nam do Thủ tướng Chính phủ làm Trưởng đoàn đã đến Thủ đô Doha, bắt đầu chuyến thăm chính thức Qatar từ ngày 30 – 01/11/2024.
UAE bắn 21 phát đại bác chào đón Thủ tướng Phạm Minh Chính

UAE bắn 21 phát đại bác chào đón Thủ tướng Phạm Minh Chính

Sáng 28/10, theo giờ địa phương, tại Cung điện Hoàng gia ở Thủ đô Abu Dhabi, Phó Tổng thống Các Tiểu vương quốc Arab Thống nhất (UAE) Sheikh Mansour Bin Zayed Al Nahyan đã chủ trì Lễ đón chính thức Thủ tướng Chính phủ Phạm Minh Chính và Phu nhân cùng Đoàn đại biểu cấp cao Việt Nam thăm chính thức UAE.
Xử lý, ngăn chặn tên miền quốc tế vi phạm, lừa đảo trên Internet Việt Nam

Xử lý, ngăn chặn tên miền quốc tế vi phạm, lừa đảo trên Internet Việt Nam

Nhằm tăng cường triển khai các giải pháp xử lý kịp thời các lừa đảo, vi phạm sử dụng tên miền, tên miền quốc tế, ngày 21/10/2024, Bộ Thông tin và Truyền thông đã phê duyệt "Kế hoạch tăng cường công tác quản lý, giảm thiểu lạm dụng tên miền để vi phạm pháp luật", ban hành kèm Quyết định số 1811/QĐ-BTTTT.
Tình hình kinh tế Gambia và quan hệ thương mại với Việt Nam

Tình hình kinh tế Gambia và quan hệ thương mại với Việt Nam

Triển vọng kinh tế của Gambia được WB dự báo tương đối sáng sủa với mức tăng trưởng GDP là 5,6% giai đoạn 2024-2026. Kết quả này có được nhờ hoạt động kinh tế tăng trong tất cả các lĩnh vực, dựa trên cam kết của chính quyền về ổn định kinh tế vĩ mô.
Thủ tướng dự Lễ bế mạc Hội nghị Cấp cao ASEAN

Thủ tướng dự Lễ bế mạc Hội nghị Cấp cao ASEAN

Chiều 11/10, Thủ tướng Phạm Minh Chính cùng Lãnh đạo các nước ASEAN đã tham dự Lễ bế mạc Hội nghị Cấp cao ASEAN lần thứ 44, 45 và các Hội nghị Cấp cao liên quan và Lễ chuyển giao cương vị Chủ tịch ASEAN từ Lào sang Malaysia.
Thủ tướng Phạm Minh Chính lần đầu hội kiến tân Thủ tướng Nhật Bản Shigeru Ishiba

Thủ tướng Phạm Minh Chính lần đầu hội kiến tân Thủ tướng Nhật Bản Shigeru Ishiba

Ngày 11/10, nhân dịp dự Hội nghị Cấp cao ASEAN lần thứ 44, 45 và các Hội nghị liên quan tại Vientiane, Lào, Thủ tướng Chính phủ Phạm Minh Chính đã hội kiến với Thủ tướng Nhật Bản Shigeru Ishiba. Đây là cuộc hội kiến đầu tiên của Thủ tướng hai nước kể từ khi ông Ishiba nhậm chức Thủ tướng Nhật Bản.
Xem thêm

Đọc nhiều / Mới nhận