Các nhà nghiên cứu đã phát hiện ra các hoạt động khai thác một lỗ hổng zero-day hiện đã được vá trong hệ điều hành Fortinet FortiOS và nghi ngờ nó có liên quan đến một nhóm tin tặc Trung Quốc đang được theo dõi dưới tên UNC3886.
Công ty tình báo mối đe dọa Mandiant cho biết các hoạt động này là một phần của chiến dịch rộng lớn hơn được thiết kế để triển khai các backdoor trên các giải pháp của Fortinet và VMware, đồng thời duy trì quyền truy cập liên tục vào môi trường nạn nhân.
Mandiant cho biết rằng: “UNC3886 là một nhóm gián điệp mạng tinh vi với các khả năng "độc đáo" trong cách thức hoạt động trên mạng cũng như các công cụ mà chúng sử dụng trong các chiến dịch của mình”.
"UNC3886 nhắm mục tiêu vào các công nghệ tường lửa (firewall) và ảo hóa thiếu hỗ trợ EDR. Khả năng kiểm soát firmware tường lửa và khai thác lỗ hổng zero-day cho thấy mức độ hiểu biết của nhóm về các công nghệ này".
Các tác nhân đe dọa trước đây được cho là có liên quan đến một hoạt động xâm nhập khác nhắm mục tiêu vào các máy chủ VMware ESXi và Linux vCenter như một phần của chiến dịch tấn công lớn nhằm triển khai các backdoor VIRTUALPITA và VIRTUALPIE.
Tiết lộ mới nhất từ Mandiant được đưa ra khi Fortinet cho biết rằng các tổ chức chính phủ và tổ chức lớn đã trở thành nạn nhân của một tác nhân đe dọa chưa xác định bằng cách lạm dụng lỗ hổng zero-day trong phần mềm Fortinet FortiOS để dẫn đến mất dữ liệu, hỏng hệ điều hành và tệp.
Lỗ hổng có định danh CVE-2022-41328 (điểm CVSS: 6,5), liên quan đến lỗi path traversal trong FortiOS và có thể dẫn đến thực thi mã tùy ý. Nó đã được Fortinet vá vào ngày 7 tháng 3 năm 2023.
Theo Mandiant, các cuộc tấn công do UNC3886 thực hiện đã nhắm mục tiêu vào các thiết bị FortiGate, FortiManager và FortiAnalyzer đang để công khai trên internet của Fortinet để triển khai hai mã độc THINCRUST và CASTLETAP.
THINCRUST, là một backdoor Python có khả năng đọc, ghi các tệp và thực thi các lệnh tùy ý, được sử dụng để thực thi các tập lệnh (script) FortiManager dùng để khai thác lỗ hổng path traversal FortiOS để ghi đè lên các tệp hợp pháp và sửa đổi các firmware image.
Các tập lệnh bao gồm một payload mới có tên là "/bin/fgfm" (được gọi là CASTLETAP) dùng để báo hiệu cho máy chủ do tác nhân đe dọa kiểm soát chấp nhận các lệnh đến cho phép nó chạy lệnh, tải payload và đánh cắp dữ liệu từ máy chủ bị xâm phạm.
Các nhà nghiên cứu cho biết: “Sau khi CASTLETAP được triển khai cho tường lửa FortiGate, tác nhân đe dọa đã kết nối với các máy ESXi và vCenter và triển khai VIRTUALPITA và VIRTUALPIE để duy trì truy cập lâu dài, cho phép chúng duy trì truy cập vào các công cụ ảo hóa và máy khách."
Ngoài ra, trên các thiết bị FortiManager được triển khai các hạn chế truy cập internet, tác nhân đe dọa được cho là đã sử dụng CASTLETAP để cài cắm một reverse shell có tên là REPTILE ("/bin/klogd") trên hệ thống quản lý mạng để lấy lại quyền truy cập.
Cũng được UNC3886 sử dụng ở giai đoạn này là một tiện ích có tên là TABLEFLIP, một phần mềm chuyển hướng lưu lượng mạng để kết nối trực tiếp với thiết bị FortiManager bất kể các quy tắc kiểm soát truy cập (ACL) được áp dụng.
Đây không phải lần đầu tiên các tin tặc Trung Quốc nhắm mục tiêu vào thiết bị mạng để phát tán mã độc, với các cuộc tấn công được phát hiện gần đây đã lợi dụng các lỗ hổng khác trong thiết bị Fortinet và SonicWall.
Theo Rapid7, tiết lộ được đưa ra khi các tác nhân đe dọa đang đẩy nhanh phát triển và triển khai khai thác, với 28 lỗ hổng bị khai thác trong vòng bảy ngày kể từ khi tiết lộ công khai - tăng 12% so với năm 2021 và tăng 87% so với năm 2020.
Điều này rất đáng lo ngại, nhất là khi các nhóm tin tặc có liên kết với Trung Quốc đã trở nên "thành thạo" trong việc khai thác các lỗ hổng zero-day và triển khai phần mềm độc hại để đánh cắp thông tin đăng nhập của người dùng và duy trì quyền truy cập vào các mạng mục tiêu.
Mandiant cho biết "hoạt động này là một trong những bằng chứng cho thấy các tác nhân đe dọa gián điệp mạng tinh vi đang lợi dụng bất kỳ công nghệ có sẵn nào, đặc biệt là những công nghệ không hỗ trợ giải pháp EDR, để tồn tại và vượt qua các biện pháp bảo vệ của môi trường mục tiêu".
Để giảm thiểu nguy cơ bị tấn công, người dùng nên kiểm tra và cập nhật đầy đủ bản vá cho các sản phẩm, thiết bị đang sử dụng cũng như hạn chế cho phép truy cập công khai đến các thiết bị từ internet.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Winter Vivern APT đã nhắm mục tiêu vào các tổ chức chính phủ Châu Âu và các nhà cung cấp dịch vụ viễn thông để tiến hành hoạt động gián điệp
Tín nhiệm mạng | Google đang cảnh báo về một loạt các lỗ hổng bảo mật nghiêm trọng trong chip Exynos của Samsung, một số trong đó có thể bị tin tặc khai thác từ xa để xâm phạm hoàn toàn điện thoại mà không yêu cầu bất kỳ tương tác nào của người dùng.
Tín nhiệm mạng | Microsoft đã phát hành bản cập nhật Patch Tuesday của tháng này để khắc phục 80 lỗ hổng bảo mật mới, hai trong số đó đã bị khai thác trong thực tế.
Tín nhiệm mạng | Microsoft đã vá một lỗ hổng zero-day có định danh CVE-2023-24880, đã bị những kẻ tấn công sử dụng để phá vỡ dịch vụ chống phần mềm độc hại dựa trên cloud Windows SmartScreen và triển khai ransomware Magniber mà không gây ra bất kỳ cảnh báo nào.
Tín nhiệm mạng | Ngày càng nhiều tác nhân đe dọa sử dụng các Video YouTube do AI tạo ra để phát tán các phần mềm độc hại đánh cắp (stealer malware) thông tin như Raccoon, RedLine và Vidar.
Tín nhiệm mạng | Một tiện ích trình duyệt Chrome giả mạo thương hiệu ChatGPT mới được phát hiện có khả năng chiếm quyền điều khiển tài khoản Facebook và tạo tài khoản quản trị giả mạo
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
