Những kẻ xấu từ Trung Quốc, Nga, Bắc Triều Tiên và Iran đang lợi dụng một lỗ hổng bảo mật trong Microsoft Windows để đánh cắp thông tin và theo dõi các mục tiêu trên toàn thế giới.
Theo các nhà nghiên cứu về mối đe dọa của Sáng kiến Zero Day (ZDI) thuộc Trend Micro, ít nhất từ năm 2017, các tác nhân xấu đã nhắm mục tiêu vào các tổ chức chính phủ, quân sự và cơ sở hạ tầng quan trọng ở Hoa Kỳ, Canada, Châu Âu, Châu Á và các nơi khác bằng cách lạm dụng lỗ hổng cho phép kẻ tấn công chạy các lệnh độc hại ẩn trên hệ thống của nạn nhân.
Lỗ hổng này, được Trend Micro theo dõi là ZDI-CAN-25373, cho phép tin tặc khai thác cách Windows hiển thị nội dung trong tệp LNK hoặc .lnk, được sử dụng làm lối tắt đến các tệp, thư mục hoặc ứng dụng, cho phép người dùng dễ dàng truy cập chúng từ các phần khác của hệ thống.
Các nhà nghiên cứu của ZDI đã phát hiện gần 1.000 tệp .lnk độc hại – mặc dù số lượng tệp thực tế có thể cao hơn nhiều – được tạo bởi các nhóm được nhà nước tài trợ, cận nhà nước và có động cơ tài chính, khai thác lỗ hổng được ngụy trang dưới dạng các loại tệp vô hại, chẳng hạn như tài liệu, với hy vọng rằng các nạn nhân sẽ tự thực thi chúng, điều này sẽ đưa các lệnh độc hại vào hoạt động.
‘Lạm dụng tràn lan’
Peter Girnus và Aliakbar Zahravi, các nhà nghiên cứu của ZDI, đã viết trong một báo cáo trong tuần này: “Chúng tôi đã phát hiện ra sự lạm dụng tràn lan lỗ hổng này bởi nhiều tác nhân đe dọa và các nhóm APT [mối đe dọa dai dẳng nâng cao]”. “Những mối đe dọa này bao gồm sự pha trộn giữa các nhóm APT do nhà nước tài trợ cũng như không do nhà nước tài trợ. Nhiều nhóm trong số này đã thể hiện mức độ tinh vi cao trong chuỗi tấn công của họ và có tiền sử lạm dụng các lỗ hổng zero-day trong tự nhiên.”
Tổng cộng, ZDI đã tìm thấy 11 nhóm do nhà nước tài trợ lạm dụng lỗ hổng này, với gần 70% các chiến dịch được xác định được sử dụng chủ yếu cho hoạt động gián điệp và đánh cắp thông tin. 20% khác nhắm mục tiêu tài chính, mặc dù Girnus và Zahravi lưu ý rằng một số nhóm APT sử dụng lỗ hổng này để do thám có thể tài trợ cho những nỗ lực đó thông qua các cuộc tấn công có động cơ tài chính.
Họ nói thêm rằng một tỷ lệ nhỏ các chiến dịch dường như được thiết kế để gây ra thiệt hại.
Bắc Triều Tiên thiết lập tốc độ
Phần lớn các nhóm APT do nhà nước tài trợ khai thác ZDI-CAN-25373 – 45,5% trong số đó – đến từ Bắc Triều Tiên, những người khác đến từ Iran và Nga (cả hai đều là 18,2%) và Trung Quốc (18,1%).
Họ viết: “Điều đáng chú ý là phần lớn đáng kể các bộ xâm nhập của Bắc Triều Tiên đã nhắm mục tiêu ZDI-CAN-25373 vào nhiều thời điểm khác nhau”. “Quan sát này nhấn mạnh một xu hướng hợp tác chéo, kỹ thuật và chia sẻ công cụ giữa các nhóm đe dọa khác nhau trong chương trình mạng của Bắc Triều Tiên.”
ZDI đã liên kết một số nhóm do nhà nước tài trợ với các chiến dịch, bao gồm Kimsuky (còn được gọi là APT43 và Earth Kumiho), Konni (Earth Imp) và APT37 (ScarCruft, InkySquid, Earth Manticore) từ Bắc Triều Tiên và Bitter (Earth Anansi), đã thực hiện các chiến dịch nhắm mục tiêu vào các nạn nhân ở Pakistan.
Ngoài ra trong danh sách những kẻ tấn công là Evil Corp, một nhóm tội phạm mạng khét tiếng của Nga.
Rất nhiều mục tiêu ở rất nhiều quốc gia
Có một loạt các ngành công nghiệp được nhắm mục tiêu, bao gồm tài chính chính phủ, tổ chức tư vấn, viễn thông, năng lượng, quân sự và quốc phòng. Hoa Kỳ là quốc gia bị ảnh hưởng nặng nề nhất với 343 cuộc tấn công đã biết, tiếp theo là Canada với 39, Nga (25) và Hàn Quốc (23).
Những kẻ tấn công đã sử dụng các tệp .lnk độc hại để triển khai nhiều loại tải trọng, từ phần mềm độc hại dưới dạng dịch vụ (MaaS) và Lumma (một kẻ đánh cắp thông tin) đến trình tải GuLoader và trojan truy cập từ xa (RAT) Remcos.
Microsoft: Không có bản vá nào sắp ra mắt
Girnus và Zahravi đã viết rằng ZDI đã thông báo cho Microsoft về lỗ hổng này nhưng được cho biết nhà cung cấp không có kế hoạch vá nó, đánh giá lỗ hổng này là “mức độ nghiêm trọng thấp”. Người phát ngôn của Microsoft nói với The Record rằng sản phẩm bảo mật Defender của công ty có thể phát hiện và chặn hoạt động đe dọa như vậy, rằng Smart App Control của họ cũng sẽ chặn các tệp độc hại và việc cố gắng mở tệp .lnk được tải xuống từ internet sẽ tự động tạo ra cảnh báo cho người dùng không nên mở nó.
Thomas Richards, chuyên gia tư vấn chính và giám đốc thực hành nhóm mạng và đội đỏ tại fim bảo mật ứng dụng Black Duck, cho biết việc Microsoft không phát hành bản vá bảo mật cho lỗ hổng này là điều bất thường vì nó đang bị các nhóm cấp quốc gia khai thác.
Richards nói: “Các lỗ hổng bị khai thác tích cực thường được vá trong một khoảng thời gian ngắn”. “Microsoft nên giải quyết lỗ hổng này ngay lập tức để quản lý rủi ro phần mềm và ngăn chặn các cuộc tấn công và xâm nhập hệ thống hơn nữa trên toàn thế giới.”
ZDI cũng lưu ý về các mối đe dọa đang diễn ra từ các nhóm tội phạm mạng và do nhà nước tài trợ, với Girnus và Zahravi lưu ý rằng “khi căng thẳng và xung đột địa chính trị leo thang, dự kiến sẽ có sự gia tăng về mức độ tinh vi của các tác nhân đe dọa và việc sử dụng các lỗ hổng zero-day, vì cả các quốc gia và tội phạm mạng đều nỗ lực giành lợi thế cạnh tranh so với đối thủ của họ.”
Họ viết: “Sự phổ biến ngày càng tăng của việc khai thác zero-day đòi hỏi việc triển khai các giải pháp bảo mật toàn diện để bảo vệ các tài sản và ngành công nghiệp quan trọng một cách hiệu quả”.
Giải thích thuật ngữ:
- Lỗ hổng zero-day: Là một lỗ hổng bảo mật phần mềm chưa được nhà cung cấp biết đến hoặc chưa có bản vá để sửa chữa. Điều này khiến hệ thống dễ bị tấn công vì không có biện pháp phòng ngừa nào được áp dụng.
- APT (Advanced Persistent Threat): Là một cuộc tấn công mạng phức tạp và kéo dài, trong đó kẻ tấn công xâm nhập vào hệ thống và duy trì sự hiện diện bí mật trong một thời gian dài để đánh cắp dữ liệu nhạy cảm.
- Malware-as-a-service (MaaS): Một mô hình kinh doanh tội phạm mạng, trong đó tội phạm mạng cung cấp phần mềm độc hại và cơ sở hạ tầng liên quan cho các bên khác để thực hiện các cuộc tấn công.
- Trojan truy cập từ xa (RAT): Một loại phần mềm độc hại cho phép kẻ tấn công truy cập và kiểm soát hệ thống từ xa. Kẻ tấn công có thể sử dụng RAT để đánh cắp dữ liệu, cài đặt phần mềm độc hại khác hoặc thực hiện các hành động độc hại khác.
