Nhóm APT Volt Typhoon từ Trung Quốc khai thác lỗ hổng zero-day trên Versa Director nhằm tấn công lĩnh vực IT ở Mỹ và trên toàn cầu

Chuỗi tấn công của chiến dịch này nổi bật với việc khai thác lỗ hổng để triển khai một webshell độc hại có tên VersaMem (tên tệp “VersaTest.png"), được thiết kế nhằm giám sát và thu thập thông tin xác thực trong các gói tin, cho phép đối tượng tấn công truy cập vào mạng của các khách hàng dưới danh nghĩa người dùng hợp lệ, gây ra một cuộc tấn công vào chuỗi cung ứng.

Picture2.png

Mới đây, các chuyên gia bảo mật đã ghi nhận một chiến dịch tấn công do nhóm Volt Typhoon thực hiện, khai thác một lỗ hổng zero-day trên Versa Director. Mục tiêu của chiến dịch là triển khai webshell độc hại nhằm đánh cắp dữ liệu và xâm nhập vào hệ thống mạng của các doanh nghiệp thuộc các lĩnh vực cung cấp dịch vụ Internet (ISP), nhà cung cấp dịch vụ quản lý (MSP) và công nghệ thông tin (IT), gây ảnh hưởng đến bốn tổ chức tại Mỹ và một tổ chức quốc tế khác từ ngày 12/06/2024.

Lỗ hổng có mã định danh CVE-2024-39717 (điểm CVSS: 6.6), là một lỗi tải lên tệp tin trong Versa Director, cho phép đối tượng tấn công có quyền quản trị viên tải lên các tệp tin độc hại được ngụy trang dưới dạng tệp .PNG thông qua tùy chọn "Change Favicon" trong giao diện của Versa Director.

Chuỗi tấn công của chiến dịch này nổi bật với việc khai thác lỗ hổng để triển khai một webshell độc hại có tên VersaMem (tên tệp “VersaTest.png"), được thiết kế nhằm giám sát và thu thập thông tin xác thực trong các gói tin, cho phép đối tượng tấn công truy cập vào mạng của các khách hàng dưới danh nghĩa người dùng hợp lệ, gây ra một cuộc tấn công vào chuỗi cung ứng. Một điểm nổi bật khác của webshell này là tính năng module, cho phép Volt Typhoon nạp thêm mã Java để thực thi trực tiếp trong bộ nhớ.

Cụ thể, web shell này sử dụng Java instrumentation và Javassist để chèn mã độc vào bộ nhớ của tiến trình máy chủ web Tomcat trên các máy chủ Versa Director đã bị xâm nhập.

Sau khi chèn mã độc thành công, nó sẽ tích hợp vào chức năng xác thực của Versa, cho phép đối tượng tấn công thu thập thông tin xác thực dưới dạng văn bản không qua mã hóa, gây ra các cuộc tấn công vào chuỗi cung ứng. Ngoài ra, web shell còn tích hợp với chức năng lọc yêu cầu của Tomcat, cho phép đối tượng tấn công thực thi mã Java trực tiếp trong bộ nhớ, đồng thời tránh được các phương pháp phát hiện dựa trên tệp tin, bảo vệ webshell, các module và lỗ hổng zero-day mà nó khai thác.

Các chuyên gia bảo mật khuyến nghị nếu người dùng chưa thể cập nhật bản vá thì nên chặn truy cập tới các cổng 4566 và 4570, rà quét các tệp .PNG và lưu lượng mạng từ thiết bị mạng đến cổng 4566 trên các máy chủ Versa Director.

Danh sách một số IoC được ghi nhận

Screenshot 2024-09-06 110030.png

Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/

Cùng chuyên mục

Tin khác

Phát động Chương trình “Khuyến mại tập trung quốc gia 2024 - Vietnam Grand Sale 2024”

Phát động Chương trình “Khuyến mại tập trung quốc gia 2024 - Vietnam Grand Sale 2024”

Ngày 02 tháng 12 năm 2024, tại Hà Nội, Bộ Công Thương đã tổ chức Lễ phát động Chương trình “Khuyến mại tập trung quốc gia 2024 - Vietnam Grand Sale 2024” tới các cơ quan, tổ chức, doanh nghiệp và người tiêu dùng cùng các cơ quan, đơn vị truyền thông trên cả nước. Thứ trưởng Bộ Công Thương Nguyễn Sinh Nhật Tân dự và phát biểu khai mạc Chương trình.
Nghiêm cấm buôn bán hàng giả, hàng xâm phạm quyền sở hữu trí tuệ tại Online Friday 2024

Nghiêm cấm buôn bán hàng giả, hàng xâm phạm quyền sở hữu trí tuệ tại Online Friday 2024

Cục Thương mại điện tử và Kinh tế số (Bộ Công Thương) vừa có Quyết định số 367/QĐ-TMĐT ban hành Quy chế dành cho các đối tác tham gia Online Friday 2024.
Đẩy mạnh công tác quản lý nhà nước về thương mại điện tử

Đẩy mạnh công tác quản lý nhà nước về thương mại điện tử

Thủ tướng Chính phủ Phạm Minh Chính ký Công điện số 119/CĐ-TTg ngày 25/11/2024 yêu cầu một số Bộ liên quan và các địa phương tiếp tục đẩy mạnh công tác quản lý nhà nước về thương mại điện tử.
Kế hoạch hành động quốc gia về phát triển kinh tế số giai đoạn 2024 - 2025

Kế hoạch hành động quốc gia về phát triển kinh tế số giai đoạn 2024 - 2025

Phó Thủ tướng Thường trực Nguyễn Hòa Bình ký Quyết định số 1437/QĐ-TTg ngày 20/11/2024 ban hành Kế hoạch hành động quốc gia về phát triển kinh tế số giai đoạn 2024 - 2025.
Xử lý gần 14.000 sản phẩm mỹ phẩm, phụ kiện làm đẹp vi phạm trên thương mại điện tử

Xử lý gần 14.000 sản phẩm mỹ phẩm, phụ kiện làm đẹp vi phạm trên thương mại điện tử

Qua theo dõi, nắm bắt thông tin hoạt động kinh doanh trên các nền tảng mạng xã hội và triển khai các biện pháp nghiệp vụ, QLTT tỉnh Hải Dương đã kiểm tra đột xuất 2 hộ kinh doanh, phát hiện, thu giữ, xử lý gần 14.000 sản phẩm mỹ phẩm, phụ kiện làm đẹp là hàng hoá không rõ nguồn gốc xuất xứ.
Bộ Công Thương "chỉ đạo nóng" về các sàn thương mại điện tử không phép

Bộ Công Thương "chỉ đạo nóng" về các sàn thương mại điện tử không phép

Bộ trưởng Bộ Công Thương Nguyễn Hồng Diên vừa ký ban hành Văn bản số 8598/BCT-TMĐT ngày 26/10/2024 chỉ đạo các đơn vị thuộc Bộ đẩy mạnh công tác quản lý nhà nước về thương mại điện tử.
Người dân, doanh nghiệp phải được hưởng lợi ích thiết thực từ chuyển đổi số mang lại

Người dân, doanh nghiệp phải được hưởng lợi ích thiết thực từ chuyển đổi số mang lại

Thủ tướng Chính phủ, Chủ tịch Ủy ban Quốc gia về chuyển đổi số yêu cầu yêu cầu các bộ, các ngành, các địa phương tập trung xây dựng cơ sở dữ liệu "đúng, đủ, sạch, sống" để kết nối, chia sẻ dữ liệu với nhau và kết nối với Cơ sở dữ liệu quốc gia về dân cư.
Bộ Công Thương đang đánh giá tác động của sàn thương mại điện tử Temu

Bộ Công Thương đang đánh giá tác động của sàn thương mại điện tử Temu

Chiều 23/10, Bộ Công Thương tổ chức họp báo thường kỳ quý 3. Thứ trưởng Bộ Công Thương Nguyễn Sinh Nhật Tân đã trả lời câu hỏi liên quan tới việc quản lý các sàn thương mại điện tử xuyên biên giới đang hoạt động tại Việt Nam, đặc biệt gần đây là sự xuất hiện của sàn Temu.
Xem thêm

Đọc nhiều / Mới nhận