thủy ơi

Microsoft và các hãng phần mềm lớn khác tung ra các bản cập nhật tháng 2/2022 Thứ ba vừa qua, Microsoft đã tung ra các bản cập nhật bảo mật hàng tháng nhắm tới việc vá lỗi cho 51 lỗ hổng trong dòng phần mềm của mình bao gồm Windows, Office, Teams, Azure Data Explorer, Visual Studio Code và các thành phần khác như Kernel và Win32k. Trong số 51 lỗi đã được vá, có 50 lỗi được đánh giá ở mức nghiêm trọng và một lỗi được đánh giá là trung bình về mức độ nghiêm trọng. Đây là một trong những bản cập nhật Patch Tuesday hiếm hoi không sửa lỗi nào nghiêm trọng. Bản cập nhật này được tung ra sau khi Microsoft đã giải quyết 19 lỗ hổng khác trong trình duyệt Edge dựa trên Chromium của mình. Không có lỗ hổng bảo mật nào được liệt kê ở trên là đang bị khai thác, trong khi đó lỗ hổng CVE-2022- 21989 (điểm CVSS: 7,8) đã được phân loại là lỗ hổng zero-day tại thời điểm được công bố. Vấn đề này liên quan đến một lỗi leo thang đặc quyền (privilege escalation bug ) trong Windows Kernel và Microsoft cũ

Tin tặc Trung Quốc nhắm mục tiêu tấn công vào tài chính của Đài Loan Một nhóm tấn công có chủ đích (APT) phối hợp với các phần tử liên minh với chính phủ Trung Quốc có liên quan đến một cuộc tấn công chuỗi cung ứng có tổ chức vào lĩnh vực tài chính của Đài Loan. Các cuộc tấn công được cho là bắt đầu lần đầu tiên vào tháng 11/2021, với các cuộc xâm nhập do một tác nhân đe dọa có tên APT10 hay còn gọi là Stone Panda, nhóm MenuPass, Bronze Riverside. Được biết, tác nhân đe dọa này đã hoạt động ít nhất là từ năm 2009. Theo một báo cáo mới do công ty an ninh mạng CyCraft của Đài Loan công bố, làn sóng tấn công thứ hai đạt đỉnh điểm trong khoảng thời gian từ ngày 10-13/2/2022.  Báo cáo cho biết sự thông đồng tấn công chuỗi cung ứng trên diện rộng đặc biệt nhắm mục tiêu vào hệ thống phần mềm của các tổ chức tài chính dẫn đến “các trường hợp đặt hàng bất thường.” Với mã “ Operation Cache Panda ,” hoạt động xâm nhập đã khai thác một lỗ hổng trong giao diện quản lý web của một phần mềm chứ

Một trojan ngân hàng mới nhắm mục tiêu vào các nước Châu Âu Một trojan ngân hàng mới chạy trên hệ điều hành Android với hơn 50,000 lượt cài đặt được phát hiện đã phân phối thông qua Cửa hàng Google Play chính thức. Mục tiêu của việc phân phối này là nhắm vào 56 ngân hàng ở Châu Âu và tiến hành khai thác thông tin nhạy cảm từ các thiết bị bị xâm nhập. Được công ty bảo mật ThreatFnai của Hà Lan đặt tên là Xenomorph , phần mềm độc hại đang trong quá trình phát triển này được cho là có một số điểm tương đồng với một trojan ngân hàng khác được theo dõi với tên gọi Alien. Tuy nhiên, phần mềm độc hại Xenomorph “hoàn toàn khác” so với Alien về các chức năng. Han Sahin, người sáng lập và Giám đốc điều hành của ThreatFabric cho biết: “Mặc dù đang trong quá trình hoàn thiện, Xenomorph đã tấn công lớp phủ hiệu quả và tích cực phân phối trên cửa hàng ứng dụng chính thức. Ngoài ra, phần mềm này còn nổi bật với một động cơ mô-đun rất tỉ mỉ để lợi dụng các dịch vụ hỗ trợ mà trong tương lai có thể h

ASM đóng vai trò như thế nào trong an ninh mạng? Việc ứng dụng rộng rãi các cơ sở đám mây và sự phát triển liên tục của nhiều mạng lưới của tổ chức kết hợp với việc chuyển sang làm việc từ xa đã dẫn đến hậu quả trực tiếp là mở rộng quy mô bề mặt tấn công của các tổ chức và dẫn đến sự gia tăng số lượng điểm mù trong kiến trúc đã kết nối. Hậu quả khôn lường của bề mặt tấn công mở rộng được giám sát phân mảnh này là sự gia tăng đáng kể về số lượng các cuộc tấn công mạng thành công, trong số loại tấn công đó thì khét tiếng nhất là ransomware. Các vấn đề chính là kẻ tấn công mạng dùng điểm mù không được giám sát để vi phạm cơ sở hạ tầng của tổ chức và tăng cường tấn công hoặc di chuyển khắp nơi nhằm tìm kiếm thông tin có giá trị. Vấn đề nằm ở khả năng phát hiện. Hầu hết các tổ chức phát triển nhanh hơn khả năng theo dõi tất cả các phần phát triển có liên quan và nắm bắt để lập danh mục các tài nguyên trong quá khứ và hiện tại. Đây thường được xem là một nhiệm vụ phức tạp và tốn nhiều tà

Nhiều mã độc sử dụng dịch vụ Pay-Per-Install để mở rộng mục tiêu Một kiểm tra chi tiết về một mã độc Trả cho mỗi lần cài đặt (Pay-Per-Install-PPI) có tên là PrivateLoader đã phát hiện ra vai trò quan trọng của nó trong việc phân phối nhiều loại mã độc như SmokeLoader , RedLine Stealer , Vidar , Raccoon và GCleaner ít nhất kể từ tháng 5/2021. Loaders là các chương trình độc hại được sử dụng để tải các tệp thi hành (executables) bổ sung vào máy tính bị nhiễm. Với các dịch vụ mã độc PPI như PrivateLoader thì những hacker điều khiển mã độc trả tiền cho chủ sở hữu dịch vụ để mã độc của họ được “cài đặt” dựa trên các mục tiêu đã được cung cấp. Trong một báo cáo mới được chia sẻ với The Hacker News, công ty an ninh mạng Intel 471 cho biết : “Việc dễ dàng tiếp cận và chi phí vừa phải cho phép những kẻ điều khiển mã độc tận dụng các dịch vụ này để có thể phát tán mã độc dựa trên vị trí địa lý với tốc độ nhanh chóng và quy mô lớn”. PrivateLoader, được viết bằng ngôn ngữ lập trình C ++ đượ

Lỗ hổng 12 năm tuổi trong Polkit cho phép người dùng có quyền truy cập root Một lỗ hổng bảo mật 12 năm tuổi đã được phát hiện trong một tiện ích hệ thống có tên là Polkit. Lỗ hổng này cấp cho kẻ tấn công quyền truy cập root trên các hệ thống chạy Linux, ngay cả khi mã khai thác mẫu (PoC) đã xuất hiện rộng rãi chỉ vài giờ sau khi các chi tiết kỹ thuật của lỗ hổng được công khai. Được công ty bảo mật mạng Qualys đặt định danh là “PwnKit”, lỗ hổng này ảnh hưởng đến một thành phần trong polkit có tên là pkexec, là một chương trình được cài đặt mặc định trên mọi bản phân phối lớn của Linux như Ubunti, Debian, Fedora và CentOS. Polkit (trước đây được gọi là PolicyKit) là một bộ công cụ để kiểm soát các đặc quyền trên toàn hệ thống trong các hệ điều hành giống Unix, và cung cấp một cơ chế để các quy trình không có đặc quyền giao tiếp với các quy trình có đặc quyền. Bharat Jogi, giám đốc về nghiên cứu lỗ hổng và mối đe dọa tại Qualys cho biết : “Lỗ hổng này cho phép bất kỳ người dùng nào

Tin tặc lây nhiễm macOS bằng cửa hậu DazzleSpy mới trong các cuộc tấn công Watering-Hole Một mã độc gián điệp mạng chưa từng được ghi lại trước đây nhắm vào hệ điều hành macOS của Apple đã tận dụng việc khai thác lỗ hổng trên trình duyệt web Safari, như một phần của cuộc tấn công watering hole nhắm vào các cá nhân ủng hộ dân chủ hoạt động chính trị tích cực ở Hồng Kông. Công ty an ninh mạng ESET của Slovakia cho rằng vụ xâm nhập là do một tác nhân có “năng lực kỹ thuật cao”. Họ chỉ ra các điểm trùng lặp của chiến dịch với một cuộc tấn công kỹ thuật số tương tự do Nhóm phân tích mối đe dọa của Google (TAG) phát hiện vào tháng 11/2021. Chuỗi các cuộc tấn công liên quan đến việc xâm nhập một trang web hợp pháp thuộc D100 Radio, một đài phát thanh radio trên internet ủng hộ dân chủ ở Hồng Kông nhằm phát tán các khung nội tuyến độc hại (hay còn gọi là iframe ) trong khoảng thời gian từ ngày 30/9 đến ngày 4/11/2021. Ngoài ra một trang web lừa đảo có tên là “fightforhk [.] com ”cũng đã

TrickBot sử dụng kỹ thuật tấn công mới để qua mặt kiểm soát bảo mật Những tên tội phạm mạng đằng sau phần mềm độc hại khét tiếng TrickBot một lần nữa nâng cấp ante bằng cách tinh chỉnh kỹ thuật của phần mềm này thông qua việc bổ sung nhiều lớp phòng thủ để qua mặt các sản phẩm chống phần mềm độc hại trước đây. Trong một bài báo cáo, IBM Trusteer cho biết : “Trong quá trình cải tiến này, việc lây nhiễm phần mềm độc hại được trang bị thêm nhiều lớp bảo vệ để qua mặt các nhà nghiên cứu và các kiểm soát bảo mật. Trong đa số trường hợp, các lớp bảo vệ bảo vệ bổ sung này được sử dụng trong phi vụ lừa đảo ngân hàng trực tuyến – một hoạt động chính của TrickBot kể từ ngày xuất hiện sau khi Trojan Dyre bị ‘khai tử’.” TrickBot , ban đầu là một banking trojan, đã phát triển thành hạ tầng dịch vụ tội phạm (CaaS) đa dụng. CaaS này đã được nhiều tác nhân triển khai để phát tán các payload bổ sung, ví dụ như ransomware. Đến nay, đã xác định được hơn 100 biến thể của TrickBot, một trong số đó là

Tin tặc triển khai một trình đóng gói mới để tránh bị phát hiện Một trình đóng gói phần mềm độc hại chưa từng ghi lại trước đây có tên DTPacker đã bị phát hiện phân phối nhiều trojan truy cập từ xa (RATs) và trình đánh cắp thông tin, bao gồm Agent Tesla, Ave Maria, AsyncRAT, và FormBook, để đánh cắp thông tin và mở đường cho các cuộc tấn công tiếp theo. Trong một bài phân tích công bố hôm thứ Hai, công ty bảo mật doanh nghiệp Proofpoint cho biết: “Phần mềm độc hại sử dụng nhiều kỹ thuật làm xáo trộn để tránh phần mềm chống vi-rút, sandboxing và phân tích. Phần mềm này có thể được phát tán trên các diễn đàn ngầm.” Kể từ năm 2021, phần mềm độc hại phổ biến dựa trên .NET đã liên kết với hàng chục chiến dịch và nhiều nhóm mối đe dọa, các cuộc tấn công có chủ đích (APT) lẫn các tác nhân tội phạm mạng, với các cuộc xâm nhập nhằm vào hàng trăm khách hàng thuộc nhiều lĩnh vực. Các chuỗi tấn công liên quan đến một trình đóng gói sử dụng các email lừa đảo làm vectơ lây nhiễm đầu tiên. Các e