* Cảnh báo chiến dịch tấn công mạng có chủ đích nhằm tới Việt Nam

Chiến dịch tấn công có chủ đích này nhằm vào các Doanh nghiệp cung cấp dịch vụ mạng Internet, gây ảnh hưởng tới dịch vụ DNS của doanh nghiệp, để thực hiện hình thức tấn công DNS poisoning (giả mạo DNS để điều hướng lưu lượng Internet từ máy chủ hợp pháp sang máy chủ giả mạo).

Mục đích của nhóm nhằm triển khai phần mềm độc hại trên các hệ thống macOS và Windows của người dùng, qua đó chiếm quyền kiểm soát và đánh cắp thông tin quan trọng.

Nhóm APT StormBamboo (hay còn gọi là Evasive Panda) đã khai thác thành công lỗ hổng an toàn thông tin trong cơ chế cập nhật phần mềm để tấn công hệ thống thông qua các ISP. Vào giữa năm 2023, đã ghi nhận và phát hiện nhiều hệ thống bị nhiễm mã độc do nhóm này tấn công.

Các mã độc này được phát tán thông qua việc thay đổi phản hồi DNS để hướng yêu cầu cập nhật phần mềm tới máy chủ độc hại, từ đó tải về mã độc như: MACMA và POCOSTICK (hay còn gọi là MgBot).

Trong quá trình tấn công, StormBamboo đã tận dụng việc cấu hình DNS của các ISP để thực hiện DNS poisoning. Điều này cho phép nhóm điều hướng yêu cầu cập nhật phần mềm hợp pháp tới máy chủ của họ, nơi chứa file mã độc. Các ứng dụng bị ảnh hưởng sẽ tải về tập tin giả mạo chứa mã độc mà không cần sự can thiệp của người dùng.

Tiện ích này được sử dụng để trích xuất cookies và dữ liệu từ trình duyệt người dùng, sau đó mã hóa và gửi đến tài khoản Google Drive của kẻ tấn công.

Một số IoC liên quan đến các tấn công gần đây:

Nhằm đảm bảo an toàn thông tin cho hệ thống thông tin của Quý Đơn ,vị góp phần bảo đảm an toàn cho không gian mạng Việt Nam, Cục An toàn thông tin khuyến nghị Quý Đơn vị thực hiện:

1. Kiểm tra, rà soát hệ thống thông tin đang sử dụng có khả năng bị ảnh hưởng bởi chiến dịch tấn công trên. Chủ động theo dõi các thông tin liên quan đến chiến dịch nhằm thực hiện ngăn chặn nhằm tránh nguy cơ bị tấn công.

2. Tăng cường giám sát và sẵn sàng phương án xử lý khi phát hiện có dấu hiệu b khai thác, tấn công mạng; đang thi thường xuyên theo dõi kênh cảnh báo của các cơ quan chức năng và các tổ chức lớn về an toàn thông tin để phát hiện kịp thời các nguy cơ tấn công mạng.

3. Trong trường hợp cần thiết có thể liên hệ đầu mối hỗ trợ của Cục An toàn thông tin: Trung tâm Giám sát an toàn không gian mạng quốc gia, điện thoại 02432091616, thư điện tử: ncsc@ais.gov.vn.