thủy ơi

Bản vá lỗi của Amazon dành cho lỗ hổng Log4j bị phát hiện dễ bị khai thác do lỗ hổng đặc quyền nâng cao “Bản vá lỗi gấp” do Amazon Web Services (AWS) tung ra để đối phó với các lỗ hổng Log4Shell có thể bị lợi dụng để thoát khỏi vùng chứa và leo thang đặc quyền (privilege escalation). Điều này cho phép kẻ tấn công chiếm quyền kiểm soát máy chủ. Chuyên gia Yuval Avrahami thuộc Đơn vị 42 của Palo Alto Networks cho biết trong một báo cáo được công bố trong tuần này: “Ngoài vùng chứa, các quy trình không có đặc quyền cũng có thể khai thác bản vá để nâng cấp đặc quyền của mình và đạt được quyền thực thi mã gốc”. Các lỗ hổng bao gồm CVE-2021-3100 , CVE-2021-3101 , CVE-2022-0070 và CVE-2022-0071 (điểm CVSS: 8,8) ảnh hưởng đến các giải pháp sửa lỗi nhanh do AWS tung ra và xuất phát từ thực tế là chúng được thiết kế để tìm kiếm các trình Java và vá chúng chống lại lỗ hổng Log4j ngay lập tức. Tuy nhiên nó không đảm bảo rằng các trình Java mới được chạy theo các luật áp dụng cho vùng chứa.

Lỗi chipset nghiêm trọng khiến cho hàng triệu thiết bị Android trở thành mục tiêu của theo dõi từ xa Ba lỗ hổng bảo mật đã được phát hiện trong bộ giải mã âm thanh của chip Qualcomm và MediaTek. Nếu không được giải quyết, lỗ hổng này có thể cho phép kẻ thù truy cập từ xa vào các cuộc trò chuyện phương tiện và âm thanh từ các thiết bị di động bị ảnh hưởng. Theo công ty an ninh mạng Check Point của Israel, các vấn đề có thể được lợi dụng làm cơ sở để thực hiện các cuộc tấn công thực thi mã từ xa (RCE) chỉ đơn giản bằng cách gửi một tệp âm thanh được chế tạo đặc biệt. Các chuyên gia cho biết trong một báo cáo được chia sẻ với The Hacker News rằng: “Tác động của lỗ hổng RCE có thể bao gồm việc phát tán mã độc cho đến việc kẻ tấn công giành quyền kiểm soát dữ liệu đa phương tiện của người dùng, bao gồm cả việc phát trực tuyến từ camera của máy bị tấn công”. “Ngoài ra, một ứng dụng Android không có đặc quyền có thể lợi dụng các lỗ hổng này để nâng cao đặc quyền của ứng dụng đó và giành

Google kiện những kẻ lừa đảo vì chạy trang web ‘Kế hoạch lừa đảo cún con’ Vào hôm thứ hai Google đã tiết lộ rằng họ đang thực hiện một hành động pháp lý chống lại một tin tặc đã bị phát hiện điều hành các trang web lừa đảo để lừa những người nhẹ dạ mua những chú chó con không tồn tại. Giám đốc Nhóm điều tra CyberCrime của Google, Albert Shin và cố vấn cấp cao Mike Trinh cho biết rằng: “Kẻ xấu đã sử dụng một mạng lưới các trang web lừa đảo để bán những chú chó săn basset với những bức ảnh đẹp đẽ cùng lời chứng thực của khách hàng giả, nhằm lợi dụng mọi người trong thời gian đại dịch xảy ra”. Kế hoạch lừa đảo liên quan đến Nche Noel Ntse ở Cameroon sử dụng mạng lưới các trang web giả mạo, số điện thoại Google Voice và tài khoản Gmail giả để lừa mọi người trả hàng nghìn Đô La trực tuyến cho “những chú cún đáng yêu” không hề tồn tại. Thủ phạm cũng được cho là đã thực hiện một chiến dịch Google Ads để đẩy các trang web gian lận lên đầu các trang kết quả tìm kiếm, điều mà Google mô tả

Lỗ hổng LFI nghiêm trọng được phát hiện trong nền tảng blog Hashnode Các chuyên gia đã tiết lộ một lỗ hổng file cục bộ ( Local file inclusion – LFI ) chưa từng được ghi nhận trước đây trong Hashnode , một nền tảng blog hướng đến nhà phát triển. Lỗ hổng này có thể bị lạm dụng để truy cập vào các dữ liệu nhạy cảm như khóa SSH, địa chỉ IP của máy chủ và những thông tin mạng khác. Các chuyên gia của Akamai cho biết trong một báo cáo được chia sẻ với The Hacker News rằng: “LFI bắt nguồn từ tính năng Bulk Markdown Import có thể bị tin tặc thao túng để có khả năng tải xuống các file từ máy chủ của Hashnode mà không hề bị cản trở”. Lỗ hổng file cục bộ xảy ra khi một ứng dụng web bị lừa để lộ hoặc chạy các file không được phê duyệt trên máy chủ. Điều này dẫn đến các cuộc tấn công truyền tải thư mục, rò rỉ thông tin, thực thi mã từ xa và tấn công cross-site scripting (XSS). Lỗ hổng này xảy ra do ứng dụng web không lọc được đường dẫn an toàn đến tệp được chuyển làm đầu vào. Điều này có thể

Microsoft tung ra bản vá cho hai lỗ hổng Zero-Days của Windows và 126 lỗ hổng bảo mật khác Các bản cập nhật định kỳ vào thứ ba của Microsoft trong tháng 4 đã giải quyết tổng cộng 128 lỗ hổng bảo mật trên các sản phẩm phần mềm của hãng bao gồm: Windows, Defender, Office, Exchange Server, Visual Studio,Print Spooler và nhiều sản phẩm khác. 10 trong số 128 lỗi đã sửa được xếp hạng Nghiêm trọng, 115 lỗi được xếp hạng Quan trọng và 3 lỗi được xếp hạng Trung bình về mức độ nghiêm trọng. Một lỗi đã được công khai và một lỗi khác đang bị tích cực khai thác tại thời điểm tung ra bản vá. Các bản cập nhật này bổ sung cho ngoài 26 lỗ hổng khác đã được Microsoft giải quyết trong trình duyệt Edge dựa trên Chromium kể từ đầu tháng. Lỗ hổng được khai thác ( CVE-2022-24521 , điểm CVSS: 7,8) liên quan đến lỗ hổng nâng cao đặc quyền (privilege vulnerability) trong Hệ thống tệp nhật ký chung của Windows (CLFS). Các chuyên gia Adam Podlosky và Amir Bazine của Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) và

Nhóm hacker FIN7 lợi dụng việc tái sử dụng mật khẩu nhằm tấn công chuỗi cung ứng phần mềm Những nghiên cứu mới đã tiết lộ rằng nhóm tội phạm mạng khét tiếng FIN7 đã đa dạng hóa các hướng truy cập ban đầu nhằm kết hợp lợi dụng các lỗ hổng trong chuỗi cung ứng phần mềm và sử dụng thông tin đăng nhập bị đánh cắp. Công ty phản ứng sự cố Mandiant cho biết trong một phân tích hôm thứ hai rằng: “Việc tống tiền các dữ liệu bị đánh cắp hoặc việc triển khai ransomware sau những hoạt động do FIN7 thực hiện nhắm vào nhiều tổ chức, cũng như những điểm giống nhau về kỹ thuật, cho thấy rằng FIN7 có liên quan đến các hoạt động ransomware khác nhau”. Kể từ khi xuất hiện vào giữa những năm 2010, nhóm tội phạm mạng này đã nổi tiếng với các chiến dịch mã độc quy mô lớn nhắm vào hệ thống bán hàng (POS) ở các nhà hàng, sòng bạc và khách sạn bằng malware ăn cắp thẻ tín dụng. Sự thay đổi chiến lược kiếm tiền của FIN7 sang ransomware xảy ra sau một báo cáo tháng 10/2021 từ đơn vị Tư vấn Gemini của Recorde

Các cuộc tấn công gián điệp trên diện rộng có liên quan tới các hacker ‘Cicada’ của Trung Quốc Một nhóm Hacker đe dọa nâng cao (APT) được Trung Quốc hậu thuẫn nổi tiếng với việc tấn công các mục tiêu Nhật Bản bị cho là đứng đằng sau một chiến dịch gián điệp kéo dài mới nhắm vào các khu vực địa lý mới như một chiến lược “mở rộng” mục tiêu của nhóm tin tặc này. Các cuộc xâm nhập trên diện rộng được cho là bắt đầu sớm nhất vào giữa năm 2021 và tiếp tục gần đây vào tháng 2/2022 có liên quan đến một nhóm được theo dõi có tên Cicada , hay còn được gọi là APT10, Stone Panda, Potassium, Bronze Riverside hoặc nhóm MenuPass. Các chuyên gia từ nhóm săn lùng mối đe dọa của Symantec, một bộ phận của Broadcom Software cho biết trong một báo cáo được chia sẻ với The Hacker News rằng: “Các nạn nhân trong chiến dịch Cicada (hay còn gọi là APT10) này bao gồm các tổ chức chính phủ, luật pháp, tôn giáo và phi chính phủ (NGO) ở nhiều quốc gia trên thế giới. Bao gồm cả ở châu Âu, châu Á và Bắc Mỹ”. Bri

Đức đánh sập thị trường Hydra Darknet của Nga, thu giữ lượng bitcoin trị giá 25 triệu Đô La Văn phòng Cảnh sát Hình sự Liên bang của Đức Bundeskriminalamt (BKA) hôm thứ Ba đã thông báo chính thức đánh sập Hydra – thị trường dark web bất hợp pháp lớn nhất thế giới. Thị trường này có số lượng giao dịch trị giá tới hơn 5 tỷ Đô La Bitcoin tính đến nay. BKA cho biết trong một thông cáo với báo chí rằng: “Số lượng bitcoin hiện tại liên quan tới thị trường này tương đương khoảng 23 triệu euro, toàn bị đã bị thu giữ”. Công ty phân tích blockchain Elliptic xác nhận rằng vụ bắt giữ đã xảy ra vào ngày 5 tháng 4 năm 2022 trong một loạt 88 giao dịch lên tới 543,3 BTC. Cơ quan này cho biết việc đánh sập Hydra là nhờ một hoạt động điều tra mở rộng do Văn phòng Trung ương Chống tội phạm mạng (ZIT) phối hợp với các cơ quan thực thi pháp luật của Mỹ thực hiện kể từ tháng 8/2021. Ra mắt vào năm 2015, Hydra là một thị trường darknet bằng tiếng Nga mở ra như một đối thủ cạnh tranh với Thị trường ẩn d

Một cuộc tấn công chuỗi cung ứng quy mô lớn đã phát tán hơn 800 gói NPM độc hại Một tác nhân nguy hại có tên “RED-LILI” bị cáo buộc đứng đằng sau một chiến dịch tấn công chuỗi cung ứng quy mô lớn đang diễn ra nhằm vào kho lưu trữ gói NPM bằng cách phát tán gần 800 mô-đun độc hại. Công ty bảo mật Checkmarx của Israel cho biết : “Thông thường, những kẻ tấn công sử dụng một tài khoản NPM ẩn danh dùng một lần để thực hiện các cuộc tấn công của mình. Có vẻ như lần này, kẻ tấn công đã hoàn toàn tự động hóa quá trình tạo tài khoản NPM và đã tạo các tài khoản chuyên dụng, mỗi tài khoản một gói, khiến việc phát hiện hàng loạt gói mã độc mới trở nên khó khăn hơn”. Các phát hiện này dựa trên các báo cáo gần đây từ JFrog và Sonatype . Cả hai đều nêu chi tiết hàng trăm gói NPM tận dụng các kỹ thuật như dependency confusion và tấn công lỗi chính tả (typosquatting) để nhắm vào các nhà phát triển Azure, Uber và Airbnb. Theo phân tích chi tiết về cách thức hoạt động của RED-LILI thì bằng chứng sớ

Chiến dịch tấn công mới của nhóm tin tặc Transparent Tribe nhắm vào các quan chức của Ấn Độ Một nhóm tin tặc có khả năng là người Pakistan được cho là đã tham gia vào một chiến dịch nhằm tấn công các mục tiêu bằng một loại trojan truy cập từ xa dựa trên Windows có tên là CrimsonRAT, ít nhất là từ tháng 6/2021. Các chuyên gia của Cisco Talos cho biết trong một phân tích được chia sẻ với The Hacker News: “Transparent Tribe là một nhóm APT hoạt động khá tích cực ở khu vực Tiểu lục địa Ấn Độ. Mục tiêu chính của chúng là chính phủ và những nhân viên quân sự ở Afghanistan và Ấn Độ. Chiến dịch này thúc đẩy việc tấn công mục tiêu này, và mục tiêu trọng tâm của chúng là thiết lập quyền truy cập lâu dài cho các hoạt động gián điệp”. Tháng trước, nhóm này đã mở rộng bộ công cụ mã độc của họ để xâm nhập vào các thiết bị Android với một cửa hậu có tên là CapraRAT thể hiện “độ tương đồng” cao với CrimsonRAT. Danh sách liệt kê các cuộc tấn công mới nhất do Cisco Talos tổng hợp bao gồm việc sử d

CISA cảnh báo về các cuộc tấn công mạng đang diễn ra nhắm vào các thiết bị UPS được kết nối Internet Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) và Bộ Năng lượng (DoE) đang cùng cảnh báo về các cuộc tấn công nhắm vào các thiết bị cấp điện liên tục (UPS) được kết nối internet đang sử dụng tên người dùng và mật khẩu mặc định. Trông một bản tin phát hành hôm thứ ba, các cơ quan này cho biết : “Các tổ chức có thể giảm thiểu các cuộc tấn công nhắm vào các thiết bị UPS – thiết bị cung cấp điện khẩn cấp khi nguồn điện bình thường bị mất, bằng cách loại bỏ các giao diện quản lý khỏi internet”. Các thiết bị UPS, ngoài khả năng cung cấp điện dự phòng trong các môi trường quan trọng, còn được trang bị khả năng kết nối Internet vạn vật (IoT), cho phép quản trị viên thực hiện giám sát nguồn điện và bảo trì định kỳ. Nhưng trong nhiều trường hợp, các tính năng như vậy cũng có thể mở ra cánh cửa cho các cuộc tấn công. Để giảm thiểu các mối đe dọa như vậy, CISA và DoE đang khuyến cáo các tổ

Các chuyên gia vạch trần chiến dịch mã độc Mars Stealer lợi dụng Google Ads để phát tán Một malware đánh cắp thông tin mới được gọi là Mars đã bị phát hiện trong các chiến dịch lợi dụng các phiên bản lậu của mã độc để đánh cắp thông tin được lưu trữ trong trình duyệt web và ví tiền ảo. Chuyên gia về Malware của Morphisec, Arnold Osipov cho biết trong một báo cáo được công bố hôm thứ ba rằng: “Mars Stealer đang được phát tán thông qua các cuộc tấn công phi kỹ thuật, chiến dịch malspam, bản crack của các phần mềm lậu độc hại và keygens”. Dựa trên Oski Stealer và được phát hiện lần đầu tiên vào tháng 6/2021, Mars Stealer được cho là đang liên tục được phát triển và có sẵn để bán trên 47 diễn đàn ngầm, các trang darknet và kênh Telegram. Chỉ với giá 160 Đô La, người mua có thể sử dụng trọn đời. Những mã độc đánh cắp thông tin cho phép đánh cắp toàn bộ thông tin cá nhân khỏi các hệ thống bị xâm nhập, bao gồm thông tin đăng nhập được lưu trữ và cookie trình duyệt. Sau đó những thông t