thủy ơi

Nhóm hacker FIN8 bị phát hiện sử dụng phần mềm ransomware ‘White Rabbit’ mới trong các cuộc tấn công gần đây Nhóm hacker với mục đích tài chính FIN8 rất có thể đã tái xuất với một chủng ransomware hoàn toàn mới với tên gọi “White Rabbit”. Ransomware này đã được triển khai nhắm vào một ngân hàng địa phương ở Mỹ vào tháng 12/2021. Đây là giả thiết được đặt ra theo những phát hiện mới được công bố bởi Trend Micro. Họ chỉ ra những sự trùng lặp của mã độc này với Egregor – đã bị các cơ quan hành pháp của Ukraine đánh sập vào tháng 2/2021. Các chuyên gia cho biết : “Một trong những khía cạnh đáng chú ý nhất của cuộc tấn công sử dụng White Rabbit là cách tệp nhị phân của nó yêu cầu một mật khẩu cụ thể đặt bằng dòng lệnh để có thể giải mã cấu hình bên trong và tiến hành phát tán ransomware . Phương pháp che giấu hoạt động này là một thủ thuật mà chủng ransomware Egregor sử dụng để tránh việc phân tích các kỹ thuật malware”. Egregor bắt đầu hoạt động vào tháng 9/2020 cho đến khi đạt được n

Khả năng hiển thị mối đe dọa – nơi bắt đầu của bảo vệ an ninh mạng Nếu như loài vật dùng giác quan để phát hiện nguy hiểm thì an ninh mạng dựa vào cảm biến để nhận biết các tín hiệu của mối nguy hiểm trong môi trường tin học. Các giác quan càng nhạy bén, đa dạng và phối hợp thì càng có nhiều khả năng phát hiện ra các tín hiệu quan trọng báo hiệu nguy hiểm. Tuy nhiên, điều này có thể là một con dao hai lưỡi. Quá nhiều tín hiệu nhưng không có quy trình xử lý tín hiệu tiên tiến cũng sẽ dẫn đến tín hiệu bị nhiễu. Tập hợp tín hiệu đa dạng, chính xác với quy trình xử lý tín hiệu tiên tiến sẽ giúp phát hiện được mối nguy hiểm. Do đó, khả năng hiển thị mối đe dọa trên diện rộng trong môi trường CNTT là yếu tố cơ bản để phát hiện các cuộc tấn công mạng. Công ty an ninh mạng Cynet đã trình bày quan điểm này trong một eBook mới với tựa đề The Guide for Threat Visibility for Lean IT Security Teams . Vấn đề đang tồn tại do khả năng hiển thị mối đe dọa còn hạn chế Sự phức tạp của môi trường CNTT

Hacker Nga sử dụng hệ thống định hướng lưu lượng truy cập độc hại để phát tán malware Các chuyên gia đang nghi ngờ một giải pháp dịch vụ mua bán công cụ độc hại (CaaS) hoạt động theo mô hình subscription có liên quan đến một bản copy lậu của Cobalt Strike – công cụ đang được chào mời để giúp khách hàng phác thảo những hoạt động sau khi khai thác lỗ hổng. Dịch vụ này được gọi là Prometheus và lần đầu tiên được đưa ra ánh sáng vào tháng 8 năm 2021 khi công ty an ninh mạng Group-IB tiết lộ chi tiết về các chiến dịch phân phối phần mềm độc hại do các nhóm tội phạm mạng thực hiện bao gồm Campo Loader, Hancitor, IcedID, QBot, Buer Loader, SocGholish ở Bỉ và Mỹ. Với giá là 250 Đô một tháng, dịch vụ này được quảng cáo trên các diễn đàn ngầm của Nga như một hệ thống điều hướng lưu lượng truy cập (TDS) nhằm cho phép chuyển hướng phishing trên quy mô lớn đến các trang web giả mạo được thiết kế để phát tán malware trên các hệ thống mục tiêu. Nhóm Nghiên cứu và Tình báo của BlackBerry cho biết

Tin tặc Triều Tiên nhắm mục tiêu tấn công giả mạo vào Bộ Ngoại giao Nga Một nhóm gián điệp mạng của Triều Tiên tên Konni được phát hiện có liên quan đến một loạt các cuộc tấn công nhắm vào Bộ Ngoại giao Nga (MID) bằng cách đưa ra những mồi nhử Năm mới nhằm xâm nhập các hệ thống Windows bằng malware. Trong một bài phân tích chia sẻ với The Hacker News, các nhà nghiên cứu từ Phòng thí nghiệm Black Lotus của Lumen Technologies cho biết : “Nhóm hành vi này thể hiện bản chất kiên nhẫn và bền bỉ của các tác nhân trình độ cao trong việc thực hiện các chiến dịch nhiều giai đoạn nhằm vào các mạng có giá trị lớn.” Các chiến thuật, kỹ thuật và quy trình (TTP) của nhóm Konni được phát hiện trùng lặp với các tác nhân nguy hại thuộc tổ chức Kimsuky với quy mô lớn hơn. Tổ chức này cũng được cộng đồng an ninh mạng theo dõi với các biệt danh như Velvet Chollima, ITG16, Black Banshee và Thallium. Các cuộc tấn công gần đây nhất liên quan đến việc tác nhân đó có được quyền truy cập vào các mạng mục t

Thủ thuật mới cho phép malware giả mạo quá trình tắt nguồn trên Iphone để bí mật theo dõi người dùng Các chuyên gia đã tiết lộ một kỹ thuật vô cùng mới mẻ: đó là việc malware trên iOS có thể tồn tại lâu dài trên một thiết bị bị nhiễm bằng cách giả mạo quá trình tắt nguồn, khiến người dùng không thể xác định rằng Iphone đang bật hay tắt. Công ty bảo mật trên điện thoại ZecOps đã phát hiện ra và đặt biệt danh cho mã độc này là “NoReboot”. Họ khám phá ra rằng mã độc này có thể chặn và sau đó mô phỏng quá trình khởi động lại của iOS, qua đó đánh lừa người dùng khiến họ tin rằng điện thoại đã được tắt nguồn trong khi thực tế vẫn đang chạy. Công ty có trụ sở chính tại San Francisco gọi đây là: “Một lỗi dai dẳng […] không thể vá được vì nó không hề khai thác bất kỳ lỗ hổng nào mà chỉ sử dụng mánh khóe với tâm trí con người.” NoReboot hoạt động bằng cách can thiệp vào quy trình được sử dụng trong iOS để tắt và khởi động lại thiết bị, từ đó ngăn chặn quá trình này xảy ra ngay từ đầu và ch

Hacker nhắm vào các trang web bất động sản bằng kỹ thuật Skimmer trong các cuộc tấn công chuỗi cung ứng mới nhất Các hacker đã lợi dụng một dịch vụ lưu trữ video đám mây để thực hiện một cuộc tấn công chuỗi cung ứng nhắm vào hơn 100 trang web bất động sản do Sotheby’s Realty điều hành, trong đó bao gồm việc phát tán các skimmer độc hại nhằm đánh cắp thông tin cá nhân nhạy cảm. Các chuyên gia thuộc Đơn vị 42 của Palo Alto Networks cho biết trong một báo cáo được công bố trong tuần này rằng: “Kẻ tấn công đã chèn mã JavaScript skimmer vào video, vì vậy bất cứ khi nào người khác nhập video, trang web của họ cũng bị chèn mã skimmer”. Tấn công skimmer, hay còn được gọi là formjacking là một kỹ thuật tấn công mạng mà hacker chèn các mã JavaScript độc hại vào trang web mục tiêu. Thường là nhắm vào các trang thanh toán trên các cổng thương mại điện tử và trang web mua sắm nhằm thu thập các thông tin có giá trị, ví dụ như thông tin thẻ tín dụng được nhập bởi người dùng. Trong các cuộc tấn

Google vừa tung bản vá cho 37 lỗ hổng trong trình duyệt Chrome Google vừa tung ra các bản cập nhật đầu tiên cho trình duyệt web Chrome trong năm 2022 để khắc phục 37 lỗ hổng bảo mật, một trong số đó được đánh giá là Nghiêm trọng (Critical) và có thể bị khai thác để chạy arbitrary code và giành quyền kiểm soát hệ thống của nạn nhân. Với định danh là CVE-2022-0096, lỗ hổng này liên quan đến một lỗi use-after-free trong thành phần Bộ nhớ, có thể gây ra các tác động nghiêm trọng, từ việc làm hỏng dữ liệu hợp lệ đến việc thực thi mã độc hại trên máy bị xâm nhập. Nhà nghiên cứu bảo mật Yangkang (@dnpushme) của Qihoo 360 ATA, người từng phát hiện lỗ hổng zero-day trong WebKit của Apple trước đây, được cho là đã phát hiện và báo cáo lỗ hổng này vào ngày 30/11/2021. Đáng nói là 24 trong số 37 lỗ hổng được các nhà nghiên cứu bên ngoài phát hiện, bao gồm cả sáng kiến Google ​Project Zero, trong khi các lỗ hổng còn lại được đánh dấu là một phần nhiệm vụ bảo mật nội bộ đang thực thi. Trong s

Phát hiện mã độc trên các thiết bị IoT bằng phương pháp phát xạ điện từ Các chuyên gia an ninh mạng đã đề xuất một cách tiếp cận mới bằng cách khai thác trường điện từ phát ra từ các thiết bị Internet of Things (IoT) như một kênh bên để thu thập kiến ​​thức chính xác về các loại mã độc khác nhau nhắm vào các hệ thống nhúng, ngay cả trong các tình huống mà kỹ thuật obfuscation đã được áp dụng để cản trở việc phân tích. Với việc các thiết bị IoT đang ngày càng được sử dụng phổ biến, các thiết bị này cũng trở thành một mục tiêu tấn công của các hacker, một phần do chúng được trang bị với năng lực xử lý mạnh hơn và cũng có thể chạy các hệ điều hành với đầy đủ chức năng. Các nghiên cứu mới nhất luôn nhắm tới việc cải thiện khả năng phân tích malware nhằm giảm thiểu rủi ro về bảo mật. Các phát hiện được trình bày bởi một nhóm học giả từ Viện Nghiên cứu Khoa học Máy tính và Hệ thống Ngẫu nhiên (IRISA) tại Hội nghị Ứng dụng Bảo mật Máy tính Thường niên ( ACSAC ) được tổ chức vào tháng trước

Phát hiện trình cài đặt Telegram độc hại phát tán phần mềm Purple Fox Các trình cài đặt bị trojanized của ứng dụng nhắn tin Telegram đang được sử dụng để phân phối backdoor Purple Fox trên nền tảng Window vào hệ thống bị xâm phạm. Theo nghiên cứu mới được Minerva Labs công bố, cuộc tấn công này khác với các cuộc xâm nhập thường lợi dụng phần mềm hợp pháp để phát tán các payload độc hại. Nhà nghiên cứu Natalie Zargarov cho biết : “Hầu hết các phần của cuộc tấn công đều không bị phát hiện do phân chia cuộc tấn công thành các tệp nhỏ có tỷ lệ bị phần mềm [chống vi-rút] phát hiện rất thấp và sau cùng dẫn đến lây nhiễm rootkit Purple Fox.” Được phát hiện lần đầu tiên vào năm 2018, Purple Fox đi kèm với khả năng rootkit cho phép lây lan phần mềm độc hại ngoài tầm kiểm soát của các giải pháp bảo mật và tránh bị phát hiện. Báo cáo tháng 3/2021 của Guardicore đã mô tả chi tiết về tính năng lan truyền của Purple Fox như một con sâu độc hại, cho phép backdoor lây nhiễm nhanh hơn. Sa

iOS của Apple bị lỗ hổng dooLock mới tấn công Một lỗ hổng từ chối dịch vụ ( DoS ) dai dẳng đã được phát hiện trong hệ điều hành iOS của Apple có khả năng khiến các thiết bị Apple gặp sự cố hoặc bị khởi động lặp lại khi kết nối với thiết bị tương thích với Apple Home. Lỗ hổng có tên là “doorLock” rất bình thường ở chỗ nó có thể được kích hoạt chỉ bằng việc đổi tên thiết bị HomeKit thành một chuỗi lớn hơn 500.000 ký tự. Điều này khiến nỗ lực kết nối của iPhone hoặc iPad đến thiết bị không được phản hồi và rơi vào vòng lặp lỗi hệ thống và khởi động lại vô thời hạn. Vấn đề này chỉ có thể khắc phục bằng cách khôi phục thiết bị bị ảnh hưởng qua Chế độ Khôi phục (Recovery) và Nâng cấp phần mềm thiết bị (DFU). HomeKit là một khung phần mềm của Apple cho phép người dùng iOS và iPadOS đặt cấu hình, giao tiếp và điều khiển các phụ kiện và thiết bị nhà thông minh (smart-home) bằng thiết bị Apple. Nhà nghiên cứu bảo mật Trevor Spiniolas cho biết : “Bất kỳ thiết bị nào có cài đặt phiên bản iOS

Hệ thống SAILFISH có thể phát hiện lỗi không nhất quán trạng thái trên hợp đồng thông minh Một nhóm sinh viên từ Đại học California, thành phố Santa Barbara, đã chứng minh một “kỹ thuật có thể mở rộng” để kiểm tra hợp đồng thông minh và khắc phục các lỗi không nhất quán trạng thái, phát hiện 47 lỗ hổng zero-day trên blockchain Ethereum trong quá trình này. Hợp đồng thông minh là các chương trình được lưu trữ trên blockchain. Các chương trình này sẽ tự động thực thi khi thỏa các điều kiện xác định trước dựa trên các điều khoản thỏa thuận đã được mã hóa. Hợp đồng thông minh cho phép thực hiện các giao dịch và thỏa thuận đáng tin cậy giữa các bên ẩn danh mà không cần thẩm quyền trung ương can thiệp. Nói cách khác, bản thân code đã là người phân xử cuối cùng của giao dịch mà nó đại diện, do chương trình đã kiểm soát tất cả các khía cạnh của quá trình thực thi và cung cấp các chứng cứ kiểm toán giao dịch rõ ràng, dễ theo dõi và không thay đổi. Điều này cũng có nghĩa là các lỗ hổng tron

Liệu các thiết bị y tế có nguy cơ bị tấn công bởi ransomware ? Tháng 5/2017 lần đầu tiên ghi nhận một cuộc tấn công ransomware nhắm vào thiết bị y tế có kết nối mạng. Vào thời kỳ đỉnh điểm, cuộc tấn công của mã độc tống tiền trên toàn thế giới WannaCry đã xâm nhập vào thiết bị chụp X quang và các thiết bị khác tại nhiều bệnh viện khác nhau. Điều này xảy ra sau một sự cố phần mềm do một cuộc tấn công mạng nhắm vào hệ thống đám mây của bên cung cấp dịch vụ thứ ba gây ra. Hậu quả là các bệnh nhân ung thư điều trị xạ trị tại 4 cơ sở y tế khác nhau phải thay đổi lịch thăm khám. Những ví dụ này cho thấy các cuộc tấn công mạng và rò rỉ dữ liệu có sức ảnh hưởng nghiêm trọng như thế nào đến ngành y tế chủ yếu dựa vào thiết bị y tế được kết nối mạng. Thông tin sức khỏe của bệnh nhân (PHI) được thu thập và lưu trữ trong các thiết bị y tế này cần phải được bảo mật nghiêm ngặt. Do PHI được chuyển qua mạng đám mây thông qua các hệ thống dựa trên máy chủ nên chúng rất dễ bị tin tặc tấn công. Các c

Microsoft tung ra bản vá lỗi Y2K22 từng khiến tê liệt dịch vụ email Vào cuối tuần qua, Microsoft đã tung ra một bản vá nhằm sửa một lỗi khiến cho email bị kẹt trên nền tảng Exchange Server do lỗi xác thực ngày tháng vào khoảng đầu năm nay. Microsoft cho biết trên blog của mình rằng: “Vấn đề này liên quan tới một lỗi kiểm tra ngày tháng khi bước qua năm mới chứ không phải lỗi của hệ thống diệt virus. Đây không phải vấn đề liên quan tới hệ thống quét mã độc hay liên quan tới vấn đề bảo mật. Việc kiểm tra phiên bản được thực hiện với tập file chữ ký (file signature) khiến cho hệ thống quét mã độc gặp sự cố, khiến cho email bị kẹt trong hàng chờ vận chuyển”. Nhà phát triển của Windows cho biết sự cố này ảnh hưởng tới các phiên bản Exchange Server 2016 và Exchange Server 2019, tuy nhiên họ không tiết lộ ảnh hưởng cụ thể của sự cố này. Vấn đề này bắt đầu thu hút sự chú ý khi năm 2022 bắt đầu, khiến cho máy chủ không thể gửi email đồng thời hiển thị thông báo lỗi như sau: “The FIP-FS ‘

Phát hiện “cửa hậu” được triển khai trên mạng của một cơ quan liên bang Hoa Kỳ Một ủy ban của chính phủ liên bang Hoa Kỳ liên quan đến các quyền quốc tế đang là mục tiêu mà một cửa hậu nhắm tới. Theo báo cáo, cửa hậu này đã xâm nhập vào mạng nội bộ của cơ quan thông qua một phương pháp được các nhà nghiên cứu cho là “thao tác kiểu ATP cổ điển.” Công ty an ninh mạng Avast cho biết : “Cuộc tấn công này có thể dẫn đến khả năng hiển thị toàn bộ mạng và kiểm soát hoàn toàn hệ thống và do đó có thể đóng vai trò như bước đầu tiên trong một cuộc tấn công nhiều giai đoạn để xâm nhập sâu hơn vào mạng này hoặc các mạng khác.” Tên của cơ quan liên bang đó không được tiết lộ, nhưng theo các báo cáo từ Ars Technica và The Record , đó chính là Ủy ban Tự do Tôn giáo Quốc tế Hoa Kỳ ( USCIRF ). Avast cho biết họ đã công khai các phát hiện của mình sau những nỗ lực không thành công nhằm thông báo trực tiếp cho cơ quan về vụ xâm nhập và thông qua các kênh khác do chính phủ Hoa Kỳ thành lập. Ở giai đo

Apache phát hành bản vá thứ 3 để khắc phục lỗ hổng nghiêm trọng log4j Lỗ hổng Log4j vẫn tiếp tục trở nên nghiêm trọng khi Apache Software Foundation (ASF) đã tung ra một bản vá khác – phiên bản 2.17.0 dành cho một thư viện ghi nhật ký được sử dụng rộng rãi có thể bị các tác nhân nguy hại khai thác để tiến hành tấn công từ chối dịch vụ (DoS). Với định danh là CVE-2021-45105 (điểm CVSS: 7,5), lỗ hổng bảo mật mới ảnh hưởng đến tất cả các phiên bản của Log4j từ 2.0-beta9 đến 2.16.0 mà tổ chức phi lợi nhuận nguồn mở phát hành đầu tuần này để khắc phục lỗ hổng thứ hai có thể dẫn đến thực thi mã từ xa ( CVE-2021-45046 ). Lỗ hổng này xuất phát từ bản sửa lỗi “không hoàn chỉnh” cho CVE-2021-44228 hay còn gọi là lỗ hổng Log4Shell. ASF giải thích trong một bài tư vấn: “Apache Log4j2 phiên bản 2.0-alpha1 đến 2.16.0 không bảo vệ đệ quy không kiểm soát khỏi các tra cứu tự tham chiếu”. “Khi cấu hình ghi nhật ký sử dụng Bố cục mẫu không mặc định với Tra cứu ngữ cảnh (ví dụ: $$ {ctx: loginId}), nh

Tuân thủ CISA cho năm 2022 Vài năm gần đây đã chứng kiến sự gia tăng của các cuộc tấn công mạng, và khi tần suất của các cuộc tấn công này tăng lên thì thiệt hại cũng ngày càng lớn. Chúng ta chỉ cần nhìn vào danh sách các vụ tấn công mạng đáng chú ý của CISA để có thể thấy được độ nghiêm trọng của vấn đề. Ví dụ vào tháng 5/2021, một cuộc tấn công ransomware đã đánh sập công ty Colonial Pipeline, gây ra sự gián đoạn nhiên liệu nghiêm trọng tới phần lớn Hoa Kỳ. Chỉ mới tháng trước, một nhóm hacker đã chiếm được quyền truy cập vào lịch sử cuộc gọi và tin nhắn từ các công ty viễn thông trên khắp thế giới. Đây chỉ là hai trong số rất nhiều các vụ tấn công mạng xảy ra trong năm vừa qua. Bởi vì những sự kiện này cùng với các sự cố an ninh mạng khác, Bộ an ninh Nội Địa Hoa Kỳ đã ban hành chỉ thị bắt buộc cho các cơ quan Liên Bang nhằm bảo vệ tốt hơn các hệ thống thông tin và dữ liệu chống lại các cuộc tấn công mạng. Chỉ thị này được dựa trên danh mục các lỗ hổng có thể gây ra rủi ro của C

Mã độc PseudoManuscrypt mới lây nhiễm hơn 35,000 máy tính trong năm 2021 Các tổ chức của chính phủ và các ngành công nghiệp, bao gồm cả các tập đoàn ở trong khu liên hợp công nghiệp-quân sự và các phòng thí nghiệm đang là mục tiêu của một loại mã độc botnet mới ( PseudoManyscrypt ) đã lây nhiễm khoảng 35,000 máy tính chạy hệ điều hành Windows chỉ tính riêng trong năm nay. Các chuyên gia của Kaspersky cho biết biệt danh này tới từ những điểm tương đồng của nó với mã độc Manuscrypt , vốn là một phần trong bộ công cụ tấn công của nhóm Lazarus APT, các chuyên gia mô tả chiến dịch này là “một chiến dịch tấn công mạng quy mô lớn”. Công ty an ninh mạng của Nga cho biết họ đã phát hiện các vụ xâm nhập lần đầu tiên vào tháng 6/2021. Có ít nhất 7,2% các máy tính bị tấn công bởi mã độc này là một phần của các hệ thống điều khiển công nghiệp (ICS), được sử dụng bởi các tập đoàn trong nhiều lĩnh vực khác nhau như kỹ thuật, chế tạo tự động, năng lượng, gia công, xây dựng, tiện ích và quản lý ng