Nhóm APT Volt Typhoon từ Trung Quốc khai thác lỗ hổng zero-day trên Versa Director nhằm tấn công lĩnh vực IT ở Mỹ và trên toàn cầu
Mới đây, các chuyên gia bảo mật đã ghi nhận một chiến dịch tấn công do nhóm Volt Typhoon thực hiện, khai thác một lỗ hổng zero-day trên Versa Director. Mục tiêu của chiến dịch là triển khai webshell độc hại nhằm đánh cắp dữ liệu và xâm nhập vào hệ thống mạng của các doanh nghiệp thuộc các lĩnh vực cung cấp dịch vụ Internet (ISP), nhà cung cấp dịch vụ quản lý (MSP) và công nghệ thông tin (IT), gây ảnh hưởng đến bốn tổ chức tại Mỹ và một tổ chức quốc tế khác từ ngày 12/06/2024.
Lỗ hổng có mã định danh CVE-2024-39717 (điểm CVSS: 6.6), là một lỗi tải lên tệp tin trong Versa Director, cho phép đối tượng tấn công có quyền quản trị viên tải lên các tệp tin độc hại được ngụy trang dưới dạng tệp .PNG thông qua tùy chọn "Change Favicon" trong giao diện của Versa Director.
Chuỗi tấn công của chiến dịch này nổi bật với việc khai thác lỗ hổng để triển khai một webshell độc hại có tên VersaMem (tên tệp “VersaTest.png"), được thiết kế nhằm giám sát và thu thập thông tin xác thực trong các gói tin, cho phép đối tượng tấn công truy cập vào mạng của các khách hàng dưới danh nghĩa người dùng hợp lệ, gây ra một cuộc tấn công vào chuỗi cung ứng. Một điểm nổi bật khác của webshell này là tính năng module, cho phép Volt Typhoon nạp thêm mã Java để thực thi trực tiếp trong bộ nhớ.
Cụ thể, web shell này sử dụng Java instrumentation và Javassist để chèn mã độc vào bộ nhớ của tiến trình máy chủ web Tomcat trên các máy chủ Versa Director đã bị xâm nhập.
Sau khi chèn mã độc thành công, nó sẽ tích hợp vào chức năng xác thực của Versa, cho phép đối tượng tấn công thu thập thông tin xác thực dưới dạng văn bản không qua mã hóa, gây ra các cuộc tấn công vào chuỗi cung ứng. Ngoài ra, web shell còn tích hợp với chức năng lọc yêu cầu của Tomcat, cho phép đối tượng tấn công thực thi mã Java trực tiếp trong bộ nhớ, đồng thời tránh được các phương pháp phát hiện dựa trên tệp tin, bảo vệ webshell, các module và lỗ hổng zero-day mà nó khai thác.
Các chuyên gia bảo mật khuyến nghị nếu người dùng chưa thể cập nhật bản vá thì nên chặn truy cập tới các cổng 4566 và 4570, rà quét các tệp .PNG và lưu lượng mạng từ thiết bị mạng đến cổng 4566 trên các máy chủ Versa Director.
Danh sách một số IoC được ghi nhận
Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/
Cùng chuyên mục
Tin khác
![Phát động Chương trình “Khuyến mại tập trung quốc gia 2024 - Vietnam Grand Sale 2024”](https://qltt.vn/stores/news_dataimages/khuyenntm/122024/02/15/z6089318971721-a8d8029f7ce2e246fcf46ebca61143f4-69da920241202153616.3329880.jpg)
Phát động Chương trình “Khuyến mại tập trung quốc gia 2024 - Vietnam Grand Sale 2024”
![Nghiêm cấm buôn bán hàng giả, hàng xâm phạm quyền sở hữu trí tuệ tại Online Friday 2024](https://qltt.vn/stores/news_dataimages/khuyenntm/112024/29/08/1840_hang_xam_phYm.jpg?rt=20241129081841)
Nghiêm cấm buôn bán hàng giả, hàng xâm phạm quyền sở hữu trí tuệ tại Online Friday 2024
![Đẩy mạnh công tác quản lý nhà nước về thương mại điện tử](https://qltt.vn/stores/news_dataimages/hanhnth3/032024/13/10/kiem-soat-thuong-mai-dien-tu-dam-bao-quyen-loi-nguoi-tieu-dung.jpg?rt=20241125161349)
Đẩy mạnh công tác quản lý nhà nước về thương mại điện tử
![Kế hoạch hành động quốc gia về phát triển kinh tế số giai đoạn 2024 - 2025](https://qltt.vn/stores/news_dataimages/khuyenntm/112024/21/08/phat-trien-kinh-te-so-o-viet-nam-173209924354211987175320241121082100.5278320.jpg)
Kế hoạch hành động quốc gia về phát triển kinh tế số giai đoạn 2024 - 2025
![Xử lý gần 14.000 sản phẩm mỹ phẩm, phụ kiện làm đẹp vi phạm trên thương mại điện tử](https://qltt.vn/stores/news_dataimages/khuyenntm/112024/10/07/5914_hang_lYu.jpg?rt=20241110075915)
Xử lý gần 14.000 sản phẩm mỹ phẩm, phụ kiện làm đẹp vi phạm trên thương mại điện tử
![Bộ Công Thương "chỉ đạo nóng" về các sàn thương mại điện tử không phép](https://qltt.vn/stores/news_dataimages/khuyenntm/102024/28/07/5735_thYYng_mYi_YiYn_tY10.jpg?rt=20241028075736)
Bộ Công Thương "chỉ đạo nóng" về các sàn thương mại điện tử không phép
![Người dân, doanh nghiệp phải được hưởng lợi ích thiết thực từ chuyển đổi số mang lại](https://qltt.vn/stores/news_dataimages/khuyenntm/102024/25/09/4404_vneid.jpg?rt=20241025094406)
Người dân, doanh nghiệp phải được hưởng lợi ích thiết thực từ chuyển đổi số mang lại
![Bộ Công Thương đang đánh giá tác động của sàn thương mại điện tử Temu](https://qltt.vn/stores/news_dataimages/khuyenntm/102024/24/06/5831_san_thYYng_mYi_temu.png?rt=20241024065831)
Bộ Công Thương đang đánh giá tác động của sàn thương mại điện tử Temu
Đọc nhiều / Mới nhận
![Quy định mới về xem xét, xử lý, từ chối, dừng xử lý đơn yêu cầu xử lý xâm phạm trong xử phạt VPHC](https://qltt.vn/stores/news_dataimages/khuyenntm/122024/09/08/medium/2817_sY_hYu_tri_tuY1.jpg?rt=20241209082818)
Quy định mới về xem xét, xử lý, từ chối, dừng xử lý đơn yêu cầu xử lý xâm phạm trong xử phạt VPHC
![Ngăn chặn gần một tấn sản phẩm động vật không đảm bảo yêu cầu vệ sinh thú y và an toàn thực phẩm](https://qltt.vn/stores/news_dataimages/khuyenntm/122024/06/17/medium/1402_Hoa_Binh2.jpg?rt=20241206171404)
Ngăn chặn gần một tấn sản phẩm động vật không đảm bảo yêu cầu vệ sinh thú y và an toàn thực phẩm
![Quyết tâm hoàn thành tinh gọn tổ chức bộ máy theo đúng mục tiêu, yêu cầu đề ra](https://qltt.vn/stores/news_dataimages/khuyenntm/122024/01/12/medium/a7-1733028656584191301963220241201121008.5551690.jpg)
Quyết tâm hoàn thành tinh gọn tổ chức bộ máy theo đúng mục tiêu, yêu cầu đề ra
![Kỳ họp thứ 8, Quốc hội khóa XV thông qua nhiều luật, vấn đề quan trọng của đất nước](https://qltt.vn/stores/news_dataimages/khuyenntm/122024/01/10/medium/301120240412-z6084158589352ff93d38de13be2b02622fa65600fd516-173296036022281122323720241201101224.4053870.jpg)