Ngày 05/01/2023, Cục An toàn thông tin – Bộ TT&TT đã ban hành Công văn số 324/CATTT-NCSC cảnh báo nguy cơ tấn công APT vào các cơ quan, tổ chức Việt Nam.
Công văn cảnh báo được gửi đến các đơn vị chuyên trách về CNTT các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ; các Sở TT&TT; các tập đoàn, tổng công ty nhà nước, ngân hàng thương mại cổ phần, tổ chức tài chính và hệ thống các đơn vị chuyên trách an toàn thông tin.
Công văn nêu rõ, qua công tác theo dõi thông tin trên không gian mạng và hoạt động hợp tác, chia sẻ thông tin với các tổ chức lớn về an toàn thông tin trong và ngoài nước, Cục An toàn thông tin phát hiện thời gian gần đây, lợi dụng tình hình dịch bệnh, nhiều nhóm APT đang tích cực hoạt động, để thực hiện tấn công vào hệ thống thông tin của nhiều quốc gia trên thế giới, trong đó có Việt Nam.
Cảnh báo nguy cơ tấn công APT vào các cơ quan, tổ chức Việt Nam (Ảnh minh họa. Nguồn internet)
Theo đánh giá của Cục An toàn thông tin, các nhóm APT vẫn bắt đầu cuộc tấn công bằng thủ đoạn đính kèm mã khai thác điểm yếu, lỗ hổng vào các tập tin tài liệu và phát tán tập tin này qua thư điện tử. Tuy nhiên, tài liệu lợi dụng để phát tán mã độc thường ở mỗi thời điểm được lựa chọn kỹ lưỡng, thường là tài liệu được nhiều người qua tâm hoặc người dùng mục tiêu quan tâm như: văn bản, tài liệu của các cơ quan tổ chức, gần đây là các tài liệu liên quan đến phòng, chống dịch bệnh Covid-19.
Nhằm đảm bảo an toàn thông tin cho hệ thống thông tin của công ty, Công ty yêu cầu các đơn vị phổ biến thông tin trên đến CBCNV-NLĐ, yêu cầu thực hiện nghiêm các qui định về ATTT, các đơn vị chỉ đạo nhân viên IT thực hiện rà soát và khắc phục các lỗ hổng bảo mật trên tất cả các hệ thống, bao gồm cả các máy tính cán bộ nhân viên sử dụng để làm việc. Các lỗ hổng này nguy cơ lớn bị lợi dụng để khai thác cài cắm mã độc vào máy tính người dùng.
Trong trường hợp phát hiện nguy cơ mất ATTT cần dừng này kết nối thiết bị với Internet, cách ly thiết bị khỏi mạng nội bộ của công ty và báo ngay cho nhân viên IT đơn vị và Bộ phận ATTT công ty.
Một số nhóm APT có mục tiêu tấn công vào Việt Nam
(Nguồn công văn 324/CATTT-NCSC, ngày 05/01/2023 của Cục An toàn thông tin – Bộ TT&TT)
|
|
|
|
|
|
STT
|
Tên nhóm APT
|
|
Mô tả chung
|
|
|
|
|
|
|
|
|
|
Còn gọi là Cycldek, Hellsing, APT27,
|
|
|
|
|
1937CN, hoạt động mạnh từ năm 2013-
|
|
|
|
|
2018, được phát hiện từ năm 2010. Tấn
|
|
1
|
Goblin Panda
|
|
công vào các lĩnh vực quốc phòng, năng
|
|
|
lượng và chính phủ. nhằm mục tiêu các
|
|
|
|
|
|
|
|
|
nước Đông Nam Á như Lào, Philippines,
|
|
|
|
|
Thailand, Vietnam (mục tiêu chính là Lào
|
|
|
|
|
và Việt Nam)
|
|
|
|
|
|
|
|
|
|
|
Có hoạt động từ tháng 6 năm 2018. Tấn công
|
|
|
|
|
vào Trung tâm phi lợi nhuận Trung Quốc,
|
|
2
|
Mustang Panda
|
|
đảng chính trị Việt Nam, cư dân Đông Nam
|
|
|
|
|
Á và các quốc gia khác như Đức, Mông Cổ,
|
|
|
|
|
Myanmar, Pakistan, Việt Nam.
|
|
|
|
|
|
|
|
|
|
Còn gọi là APT03, Boyusec, UPS,
|
|
|
|
|
Gothic Panda, Tg-0110. Xuất hiện từ năm
|
|
3
|
Gothic Panda
|
|
2009, APT03 khai thác lỗ hổng zero-day
|
|
|
|
|
trên các trình duyệt : Internet Explorer,
|
|
|
|
|
Firefox, Adobe Flash Player.
|
|
|
|
|
|
|
Danh sách lỗ hổng được các nhóm APT tận dụng để khai thác.
|
|
|
|
|
|
|
|
STT
|
Lỗ hổng
|
|
Mô tả
|
|
|
|
|
|
Lỗ hổng trong Microsoft Windows Common Controls
|
|
|
|
|
cho phép kẻ tấn từ xa thực thi mã tùy ý. Thành phần
|
|
|
|
CVE-2012-0158
|
này đều có trong Microsoft Windows, Internet
|
|
|
1
|
Explorer, Microsoft .NET Framework, Microsoft
|
|
|
|
|
Office, Microsoft Server Software, Microsoft SQL
|
|
|
|
|
Server, Microsoft Developer Tools, and Microsoft
|
|
|
|
|
Forefront United Access Gateway
|
|
|
|
|
|
|
|
|
2
|
CVE-2017-11882
|
Lỗ hổng trong Microsoft Office cho phép chèn và thực
|
|
|
thi mã lệnh
|
|
|
|
|
|
|
|
|
3
|
CVE-2018-0802
|
Lỗ hổng trong Microsoft Office cho phép chèn và thực
|
|
|
thi mã lệnh
|
|
|
|
|
|
|
|
|
4
|
CVE-2017-0199
|
Lỗ hổng trong Microsoft Office và Wordman cho phép
|
|
|
kẻ tấn thực thi mã lệnh từ xa từ đó kiểm soát hệ thống.
|
|
|
|
|
|
|
|
5
|
CVE-2015-3113
|
Lỗ hổng trong Adobe Flash Player trên Windows và
|
|
|
OS cho phép kẻ tấn công từ xa thực thi mã tùy ý
|
|
|
|
|
|
|
|
|
|
|
6
|
CVE-2019-0703
|
Lỗ hổng trên Windows SMB Server cho phép đối
|
|
|
tượng tấn công thu thập thông tin
|
|
|
|
|
|
|
|
|
|
|
|
|
7
|
CVE-2017-0143
|
Lỗ hỗng Microsoft Windows cho phép đối tượng tấn
|
|
|
công chèn và thực thi mã lệnh từ xa
|
|
|
|
|
|
|
|
|
|
|
|
|
Lỗ hổng trong Microsoft Internet Explorer cho phép
|
|
|
8
|
CVE-2010-3962
|
đối tượng tấn công chèn và thực thi mã lệnh từ xa sử
|
|
|
|
|
dụng CSS
|
|
|
|
|
|
|
|
|
|
|
Lỗ hổng trong Microsoft Internet Explorer cho phép
|
|
|
9
|
CVE-2014-1776
|
đối tượng tấn công chèn và thực thi mã tùy ý, tấn công
|
|
|
|
|
từ chối dịch vụ.
|
|
|
|
|
|
|
|
|
|
|
Lỗ hổng trong bộ xử lý Hangul Word (HWP) cho phép kẻ
|
|
|
10
|
CVE-2015-6585
|
tấn từ xa thực thi mã tùy ý thông qua một heap và tệp
|
|
|
|
|
HWPX.
|
|
|
|
|
|
|
|
|
|
11
|
CVE-2018-20250
|
Lỗ hổng trong WinRAR, lỗ hổng truyền tải đường dẫn khi
|
|
|
|
|
tạo trường tên tệp theo định dạng ACE.
|
|
|
|
|
|
|
|
12
|
CVE-2016-0034
|
Lỗ hỗng Microsoft Silverlight cho phép kẻ tấn công từ xa
|
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
thực thi mã tùy ý.
|
|
|
|
|
|
|
|
|
|
Lỗ hổng tồn tại trong Adobe Plash Player 28.0.0.137 cho
|
|
|
13
|
CVE-2018-4878
|
phép kẻ tấn công chiếm quyền kiểm soát hệ thống bị xâm
|
|
|
|
|
nhập.
|
|
|
|
|
|
|
|
|
|
Lỗ hổng trong Artifex Ghostscript cho phép bỏ qua –
|
|
|
14
|
CVE-2017-8291
|
dSAFER và thực thi lệnh từ xa thông qua nhầm lẫn loại
|
|
|
|
|
.rsdparams với chuỗi con “/OutputFile.
|
|
|
|
|
|
|
|
15
|
CVE-2017-0144
|
Lỗ hổng trong Windows SMB cho phép kẻ tấn công thực
|
|
|
CVE-2017-0145
|
thi mã tùy ý từ xa.
|
|
|
|
|
|
|
|
|
|
|
|
|
Lỗ hổng trong Microsoft (IIS) 6.0 cho phép kẻ tấn công từ
|
|
|
16
|
CVE-2017-7269
|
xa thực thi mã tùy ý thông qua một tiêu đề bắt đầu bằng
|
|
|
|
|
"If:
|
|
|
|
|
|
|
Thông tin IoC liên quan đến các nhóm APT
|
|
|
|
|
|
|
Loại IoC
|
|
Giá trị
|
|
Ghi chú
|
|
|
|
|
|
|
IP/Domain
|
tintuc.mattrantoquocvnnhanoihcm.com
|
|
|
|
|
static.bambooairwaysshy.com
|
|
|
|
|
|
160.20.147.206
|
|
|
|
|
|
92.38.135.81
|
|
|
|
|
|
|
|
|
IP/Domain
|
skypechatvideo.online
|
|
|
|
|
|
|
|
|
IP/Domain
|
mine.remaariegarcia.com
|
|
|
|
|
egg.stralisemariegar.com
|
|
|
|
|
|
api.anaehler.com
|
|
|
|
|
cloud.anofrio.com
|
|
|
|
|
video.viodger.com
|
|
|
|
|
term.ursulapaulet.com
|
|
|
|
|
inc.graceneufville.com
|
|
|
|
|
|
log.osloger.biz
|
|
|
|
|
|
file.log4jv.info
|
|
|
|
|
news.sqllitlever.info
|
|
|
|
|
us.jaxonsorensen.club
|
|
|
|
|
staff.kristianfiedler.club
|
|
|
|
|
bit.catalinabonami.com
|
|
|
|
|
hr.halettebiermann.com
|
|
|
|
|
cyn.ettebiermahalet.com
|
|
|
|
|
|
|
|
|
Ghi chú: Số lượng IoC là rất nhiều và thay đổi thường xuyên, nên sẽ được Trung tâm NCSC, Cục An toàn thông tin cập nhật thường xuyên thông qua Hệ thống Phân tích và chia sẻ nguy cơ tấn công mạng Việt Nam.
Ngọc Sơn - PCBN