Nhóm APT Volt Typhoon từ Trung Quốc khai thác lỗ hổng zero-day trên Versa Director nhằm tấn công lĩnh vực IT ở Mỹ và trên toàn cầu

Chuỗi tấn công của chiến dịch này nổi bật với việc khai thác lỗ hổng để triển khai một webshell độc hại có tên VersaMem (tên tệp “VersaTest.png"), được thiết kế nhằm giám sát và thu thập thông tin xác thực trong các gói tin, cho phép đối tượng tấn công truy cập vào mạng của các khách hàng dưới danh nghĩa người dùng hợp lệ, gây ra một cuộc tấn công vào chuỗi cung ứng.

Picture2.png

Mới đây, các chuyên gia bảo mật đã ghi nhận một chiến dịch tấn công do nhóm Volt Typhoon thực hiện, khai thác một lỗ hổng zero-day trên Versa Director. Mục tiêu của chiến dịch là triển khai webshell độc hại nhằm đánh cắp dữ liệu và xâm nhập vào hệ thống mạng của các doanh nghiệp thuộc các lĩnh vực cung cấp dịch vụ Internet (ISP), nhà cung cấp dịch vụ quản lý (MSP) và công nghệ thông tin (IT), gây ảnh hưởng đến bốn tổ chức tại Mỹ và một tổ chức quốc tế khác từ ngày 12/06/2024.

Lỗ hổng có mã định danh CVE-2024-39717 (điểm CVSS: 6.6), là một lỗi tải lên tệp tin trong Versa Director, cho phép đối tượng tấn công có quyền quản trị viên tải lên các tệp tin độc hại được ngụy trang dưới dạng tệp .PNG thông qua tùy chọn "Change Favicon" trong giao diện của Versa Director.

Chuỗi tấn công của chiến dịch này nổi bật với việc khai thác lỗ hổng để triển khai một webshell độc hại có tên VersaMem (tên tệp “VersaTest.png"), được thiết kế nhằm giám sát và thu thập thông tin xác thực trong các gói tin, cho phép đối tượng tấn công truy cập vào mạng của các khách hàng dưới danh nghĩa người dùng hợp lệ, gây ra một cuộc tấn công vào chuỗi cung ứng. Một điểm nổi bật khác của webshell này là tính năng module, cho phép Volt Typhoon nạp thêm mã Java để thực thi trực tiếp trong bộ nhớ.

Cụ thể, web shell này sử dụng Java instrumentation và Javassist để chèn mã độc vào bộ nhớ của tiến trình máy chủ web Tomcat trên các máy chủ Versa Director đã bị xâm nhập.

Sau khi chèn mã độc thành công, nó sẽ tích hợp vào chức năng xác thực của Versa, cho phép đối tượng tấn công thu thập thông tin xác thực dưới dạng văn bản không qua mã hóa, gây ra các cuộc tấn công vào chuỗi cung ứng. Ngoài ra, web shell còn tích hợp với chức năng lọc yêu cầu của Tomcat, cho phép đối tượng tấn công thực thi mã Java trực tiếp trong bộ nhớ, đồng thời tránh được các phương pháp phát hiện dựa trên tệp tin, bảo vệ webshell, các module và lỗ hổng zero-day mà nó khai thác.

Các chuyên gia bảo mật khuyến nghị nếu người dùng chưa thể cập nhật bản vá thì nên chặn truy cập tới các cổng 4566 và 4570, rà quét các tệp .PNG và lưu lượng mạng từ thiết bị mạng đến cổng 4566 trên các máy chủ Versa Director.

Danh sách một số IoC được ghi nhận

Screenshot 2024-09-06 110030.png

Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/

Cùng chuyên mục

Tin khác

Ba nhóm tấn công của Trung Quốc đứng sau chiến dịch tấn công mạng nhằm vào các quốc gia Đông Nam Á

Ba nhóm tấn công của Trung Quốc đứng sau chiến dịch tấn công mạng nhằm vào các quốc gia Đông Nam Á

Ba nhóm tấn công có liên quan với Trung Quốc đã được ghi nhận thực hiện các chiến dịch tấn công nhằm vào nhiều tổ chức chính phủ tại Đông Nam Á trong một chiến dịch do nhà nước hậu thuẫn mang tên "Crimson Palace", cho thấy sự mở rộng phạm vi hoạt động gián điệp không gian mạng của Trung Quốc.
Ngày 6/8 là Ngày An ninh mạng Việt Nam

Ngày 6/8 là Ngày An ninh mạng Việt Nam

Thủ tướng Chính phủ Phạm Minh Chính vừa ký Quyết định số 1013/QĐ-TTg ngày 20/9/2024 lấy ngày 6/8 hằng năm là Ngày An ninh mạng Việt Nam.
Thủ tướng Chính phủ chỉ thị xây dựng đề án chuyển đổi số của các bộ, ngành, địa phương

Thủ tướng Chính phủ chỉ thị xây dựng đề án chuyển đổi số của các bộ, ngành, địa phương

Thủ tướng Chính phủ ban hành Chỉ thị số 34/CT-TTg ngày 16/9/2024 về việc xây dựng đề án chuyển đổi số của các bộ, ngành, địa phương.
Lỗ hổng bảo mật có mức ảnh hưởng cao và nghiêm trọng trong các sản phẩm Microsoft công bố tháng 9/2024

Lỗ hổng bảo mật có mức ảnh hưởng cao và nghiêm trọng trong các sản phẩm Microsoft công bố tháng 9/2024

Ngày 10/9/2024, Microsoft đã phát hành danh sách bản vá tháng 9 với 79 lỗ hổng an toàn thông tin trong các sản phẩm của mình. Trong đó có 7 lỗ hổng mức Nghiêm trọng và 71 lỗ hổng mức độ Cao. Ngoài ra, Microsoft cũng đã khắc phục được 4 lỗ hổng zero-day đang bị khai thác trong thực tế.
Livestream giúp doanh nghiệp đạt được các mục tiêu kinh doanh và thúc đẩy liên kết vùng trong phát triển thương mại điện tử

Livestream giúp doanh nghiệp đạt được các mục tiêu kinh doanh và thúc đẩy liên kết vùng trong phát triển thương mại điện tử

Theo các chuyên gia về thương mại điện tử, livestream là con đường nhanh nhất giúp người bán tiếp cận với nhiều đối tượng hơn, đem lại doanh thu cao hơn với mức đầu tư tương đối thấp.
Ứng dụng công nghệ quản lý chất lượng, truy xuất nguồn gốc sản phẩm, hàng hóa

Ứng dụng công nghệ quản lý chất lượng, truy xuất nguồn gốc sản phẩm, hàng hóa

Tại dự thảo Luật sửa đổi, bổ sung một số điều của Luật Chất lượng sản phẩm, hàng hóa, Bộ Khoa học và Công nghệ đề xuất bổ sung quy định về ứng dụng công nghệ trong quản lý chất lượng, truy xuất nguồn gốc sản phẩm, hàng hóa.
Chung tay thúc đẩy liên kết vùng trong phát triển thương mại điện tử các tỉnh vùng Tây Nguyên

Chung tay thúc đẩy liên kết vùng trong phát triển thương mại điện tử các tỉnh vùng Tây Nguyên

Cục Thương mại điện tử và Kinh tế số, Bộ Công Thương vừa phối hợp với Sở Công Thương tỉnh Gia Lai tổ chức “Hội nghị thúc đẩy liên kết vùng trong phát triển thương mại điện tử (TMĐT) các tỉnh vùng Tây Nguyên” tại thành phố Pleiku, tỉnh Gia Lai.
Xem thêm

Đọc nhiều / Mới nhận