🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                   

Tin tặc Trung Quốc đang khai thác lỗ hổng zero-day của Fortinet để tấn công gián điệp mạng

20/03/2023

Các nhà nghiên cứu đã phát hiện ra các hoạt động khai thác một lỗ hổng zero-day hiện đã được vá trong hệ điều hành Fortinet FortiOS và nghi ngờ nó có liên quan đến một nhóm tin tặc Trung Quốc đang được theo dõi dưới tên UNC3886.

Công ty tình báo mối đe dọa Mandiant cho biết các hoạt động này là một phần của chiến dịch rộng lớn hơn được thiết kế để triển khai các backdoor trên các giải pháp của Fortinet và VMware, đồng thời duy trì quyền truy cập liên tục vào môi trường nạn nhân.

Mandiant cho biết rằng: “UNC3886 là một nhóm gián điệp mạng tinh vi với các khả năng "độc đáo" trong cách thức hoạt động trên mạng cũng như các công cụ mà chúng sử dụng trong các chiến dịch của mình”.

"UNC3886 nhắm mục tiêu vào các công nghệ tường lửa (firewall) và ảo hóa thiếu hỗ trợ EDR. Khả năng kiểm soát firmware tường lửa và khai thác lỗ hổng zero-day cho thấy mức độ hiểu biết của nhóm về các công nghệ này".

Các tác nhân đe dọa trước đây được cho là có liên quan đến một hoạt động xâm nhập khác nhắm mục tiêu vào các máy chủ VMware ESXi và Linux vCenter như một phần của chiến dịch tấn công lớn nhằm triển khai các backdoor VIRTUALPITA và VIRTUALPIE.

Tiết lộ mới nhất từ ​​Mandiant được đưa ra khi Fortinet cho biết rằng các tổ chức chính phủ và tổ chức lớn đã trở thành nạn nhân của một tác nhân đe dọa chưa xác định bằng cách lạm dụng lỗ hổng zero-day trong phần mềm Fortinet FortiOS để dẫn đến mất dữ liệu, hỏng hệ điều hành và tệp.

Lỗ hổng có định danh CVE-2022-41328 (điểm CVSS: 6,5), liên quan đến lỗi path traversal trong FortiOS và có thể dẫn đến thực thi mã tùy ý. Nó đã được Fortinet vá vào ngày 7 tháng 3 năm 2023.

Theo Mandiant, các cuộc tấn công do UNC3886 thực hiện đã nhắm mục tiêu vào các thiết bị FortiGate, FortiManager và FortiAnalyzer đang để công khai trên internet của Fortinet để triển khai hai mã độc THINCRUST và CASTLETAP.

THINCRUST, là một backdoor Python có khả năng đọc, ghi các tệp và thực thi các lệnh tùy ý, được sử dụng để thực thi các tập lệnh (script) FortiManager dùng để khai thác lỗ hổng path traversal FortiOS để ghi đè lên các tệp hợp pháp và sửa đổi các firmware image.

Các tập lệnh bao gồm một payload mới có tên là "/bin/fgfm" (được gọi là CASTLETAP) dùng để báo hiệu cho máy chủ do tác nhân đe dọa kiểm soát chấp nhận các lệnh đến cho phép nó chạy lệnh, tải payload và đánh cắp dữ liệu từ máy chủ bị xâm phạm.

Các nhà nghiên cứu cho biết: “Sau khi CASTLETAP được triển khai cho tường lửa FortiGate, tác nhân đe dọa đã kết nối với các máy ESXi và vCenter và triển khai VIRTUALPITA và VIRTUALPIE để duy trì truy cập lâu dài, cho phép chúng duy trì truy cập vào các công cụ ảo hóa và máy khách."

Ngoài ra, trên các thiết bị FortiManager được triển khai các hạn chế truy cập internet, tác nhân đe dọa được cho là đã sử dụng CASTLETAP để cài cắm một reverse shell có tên là REPTILE ("/bin/klogd") trên hệ thống quản lý mạng để lấy lại quyền truy cập.

Cũng được UNC3886 sử dụng ở giai đoạn này là một tiện ích có tên là TABLEFLIP, một phần mềm chuyển hướng lưu lượng mạng để kết nối trực tiếp với thiết bị FortiManager bất kể các quy tắc kiểm soát truy cập (ACL) được áp dụng.

Đây không phải lần đầu tiên các tin tặc Trung Quốc nhắm mục tiêu vào thiết bị mạng để phát tán mã độc, với các cuộc tấn công được phát hiện gần đây đã lợi dụng các lỗ hổng khác trong thiết bị FortinetSonicWall.

Theo Rapid7, tiết lộ được đưa ra khi các tác nhân đe dọa đang đẩy nhanh phát triển và triển khai khai thác, với 28 lỗ hổng bị khai thác trong vòng bảy ngày kể từ khi tiết lộ công khai - tăng 12% so với năm 2021 và tăng 87% so với năm 2020.

Điều này rất đáng lo ngại, nhất là khi các nhóm tin tặc có liên kết với Trung Quốc đã trở nên "thành thạo" trong việc khai thác các lỗ hổng zero-day và triển khai phần mềm độc hại để đánh cắp thông tin đăng nhập của người dùng và duy trì quyền truy cập vào các mạng mục tiêu.

Mandiant cho biết "hoạt động này là một trong những bằng chứng cho thấy các tác nhân đe dọa gián điệp mạng tinh vi đang lợi dụng bất kỳ công nghệ có sẵn nào, đặc biệt là những công nghệ không hỗ trợ giải pháp EDR, để tồn tại và vượt qua các biện pháp bảo vệ của môi trường mục tiêu".

Để giảm thiểu nguy cơ bị tấn công, người dùng nên kiểm tra và cập nhật đầy đủ bản vá cho các sản phẩm, thiết bị đang sử dụng cũng như hạn chế cho phép truy cập công khai đến các thiết bị từ internet.

Nguồn: thehackernews.com.

scrolltop