TRUNG TÂM GIÁM SÁT AN TỒN KHƠNG GIAN MẠNG QUỐC GIA CẢNH BÁO TUẦN SỐ 28 (11/7/2022 – 17/7/2022) Hà Nội, ngày 01 tháng 01 năm 2021 Thông tin liên hệ: Trung tâm Giám sát an tồn khơng gian mạng quốc gia 024.3209.1616 – ais.@mic.gov.vn Tầng 16, số 115 Trần Duy Hưng, quận Cầu Giấy, Tp.Hà Nội NỘI DUNG TUẦN sss “NỖ LỰC ĐỂ KHÔNG GIAN MẠNG VIỆT NAM LUÔN AN TOÀN, LÀNH MẠNH” TIN CẢNH BÁO - Cảnh báo: Nhóm cơng Triều Tiên nhằm mục tiêu vào doanh nghiệp vừa nhỏ cách sử dụng ransomware H0lyGh0st - Chiến dịch cơng APT: Nhóm cơng UAC - 0056 tiếp tục nhằm mục tiêu vào Ukraine chiến dịch công ĐIỂM YẾU, LỖ HỔNG - 627 lỗ hổng công bố cập nhật - 07 lỗ hổng, nhóm lỗ hổng sản phẩm/dịch vụ phổ biến Việt Nam SỐ LIỆU, THỐNG KÊ - Tấn công DRDoS - Tấn công Web Hot News! - Tấn công lừa đảo người dùng Việt Nam Tài liệu lưu trữ: Chuyên mục Báo cáo định kỳ địa chỉ: https://service.khonggianmang.vn https://khonggianmang.vn TIN CẢNH BÁO Cảnh báo: Nhóm cơng Triều Tiên nhằm mục tiêu vào doanh nghiệp vừa nhỏ cách sử dụng ransomware H0lyGh0st Nhóm cơng tự gọi H0lyGh0st theo tên gọi ransomware tên mà nhóm sử dụng Mục tiêu nhóm nhằm đến chủ yếu bao gồm doanh nghiệp vừa nhỏ tổ chức sản xuất, ngân hàng, trường học công ty tổ chức kiện Phương pháp cơng nhóm H0lyGh0st mã hóa tất tệp thiết bị mục tiêu sử dụng phần mở rộng file h0lyenc Đối tượng công gửi mẫu tệp mã hóa, u cầu nạn nhân tốn Bitcoin để khôi phục quyền truy cập vào tệp Số tiền chuộc mà nhóm cơng u cầu nằm khoảng 1,2 đến bitcoin, nhà nghiên cứu chưa phát khoản tiền chuộc nhận kể từ đầu tháng năm 2022 Có biến thể khác ransomware H0lyGh0st phát từ tháng 6/2021 đến tháng 5/2022 nhằm mục tiêu hệ thống Windows: BTLC_C.exe, HolyRS.exe, HolyLock.exe BLTC.exe Trong đó, BTLC_C.exe (được gọi SiennaPurple) viết C++, ba phiên khác (có tên mã SiennaBlue) lập trình Go Để xâm nhập vào hệ thống mục tiêu, nhóm cơng khai thác lỗ hổng ứng dụng web ứng dụng quản trị nội dung (ví dụ CVE-2022-26352) Nguồn: https://thehackernews.com/2022/07/north-korean-hackers-targeting-small.html TIN CẢNH BÁO Nhóm công UAC 0056 tiếp tục nhằm mục tiêu vào Ukraine chiến dịch cơng Nhóm cơng UAC-0056 (hay gọi AKA UNC2589, TA471) nhiều lần nhằm mục tiêu vào tổ chức phủ Ukraine thông qua chiến dịch lừa đảo sử dụng chiến thuật, kỹ thuật quy trình (TTP) phổ biến Nhóm cơng thường sử dụng mồi nhử vấn đề quan trọng liên quan đến chiến diễn Ukraine Trong công gần đây, nhà nghiên cứu bảo mật phát macro tài liệu “Humanitarian catastrophe of Ukraine since February 24,2022.xls” gần giống hoàn toàn macro sử dụng tài liệu mồi nhử khác có tên “Help Ukraine.xls” phát trước Thông qua tài liệu giả mạo, tệp thực thi có tên write.bin tải xuống Các cơng khác sử dụng tên khác cho tệp này, bao gồm Office.exe, baseupd.exe, DataSource.exe Trong giai đoạn tiếp theo, shellcode (32 64 bit) cài cắm vào để triển khai CobaltStrike từ cho phép đối tượng cơng chiếm tồn quyền kiểm sốt hệ thống mục tiêu IoC: 136.144.41 [.] 177 syriahr [.] Eu / s xnk75JwUcIebkrmENtufIiiKEmoqBN field-keywords / / / syriahr [.] Eu / nzXlLVasVALvDh9lopkC / avp / amznussraps / skreatortemp [.] Site imolaoggi [.] Euuu Nguồn: https://blog.malwarebytes.com/threat-intelligence/2022/07/cobalt-strikes-again-uac-0056-continues-to-targetukraine-in-its-latest-campaign/?web_view=true Nguy công mạng từ điểm yếu, lỗ hổng Trong tuần, tổ chức quốc tế cơng bố cập nhật 627 lỗ hổng, có 29 lỗ hổng mức Cao, 180 lỗ hổng mức Trung bình, 50 lỗ hổng mức Thấp 368 lỗ hổng chưa đánh giá Trong có 47 lỗ hổng cho phép chèn thực thi mã lệnh Hệ thống kỹ thuật Cục ATTT chủ động rà quét không gian mạng Việt Nam, đánh giá, thống kê cho thấy có 07 lỗ hổng/nhóm lỗ hổng sản phẩm, dịch vụ CNTT phổ biến, gây ảnh hưởng lớn đến người dùng Việt Nam: Nhóm 03 lỗ hổng phần mềm Vmware, Nhóm 09 lỗ hổng thiết bị Samsung, Nhóm 14 lỗ hổng thiết bị Huawei, Nhóm 32 lỗ hổng sản phầm Adobe, Nhóm 48 lỗ hổng sản phầm Google, Nhóm 82 lỗ hổng sản phẩm Microsoft, Nhóm 28 lỗ hổng IBM Thông tin chi tiết số lỗ hổng sản phẩm/dịch vụ phổ biến Việt Nam cụ thể sau: Một số lỗ hổng sản phẩm/dịch vụ phổ biến Việt Nam: - Vmware: CVE-2022-31654, CVE-2022-31655,… - Samsung: CVE-2020-35166, CVE-2020-35168,… - Huawei: CVE-2021-39999, CVE-2021-40012,… - Adobe: CVE-2022-34219, CVE-2022-34230,… - Google: CVE-2022-30756, CVE-2022-30755,… - Microsoft: CVE-2022-22041, CVE-2022-22042,… - IBM: CVE-2022-34160, CVE-2022-34166,… Thông tin điểm yếu, lỗ hổng TT Sản phẩm/ dịch vụ Mã lỗi quốc tế Mô tả ngắn CVE-2022-31654 Vmware Samsung Huawei CVE-2022-31655 Nhóm 03 lỗ hổng phần mềm Vmware cho phép đối tượng công truy cập/thực hành động CVE-2022-22982 trái phép Ghi Đã có thơng tin xác nhận vá CVE-2020-35166 Nhóm 09 lỗ hổng thiết bị Samsung (Galaxy Chưa có CVE-2020-35168 Store, Find My Mobile,…) cho phép đối tượng thơng cơng thu thập thơng tin, xóa thư mục tùy ý, khởi tin xác CVE-2020-35169 chạy ứng dụng với quyền người dùng cục bộ, nhận truy cập/thực hành động trái phép vá … CVE-2021-39999 Chưa có Nhóm 14 lỗ hổng thiết bị Huawei (EMUI, Magic CVE-2021-40012 thông UI, ) cho phép đối tượng công thực công tin xác CVE-2021-40016 làm tràn đệm, truy cập/thực hành động trái nhận phép vá … CVE-2022-34219 Adobe Google Chưa có Nhóm 32 lỗ hổng sản phầm Adobe Acrobat CVE-2022-34230 Reader, Character Animator,…) cho phép đối tượng thông tin xác CVE-2022-34221 công thực thi mã tùy ý, thu thập thông tin nhớ, nhận công giả mạo (XSS) vá … CVE-2022-30756 Nhóm 48 lỗ hổng sản phầm Google Chưa có CVE-2022-30755 (Android) cho phép đối tượng cơng truy cập imsi, thông iccid tệp tùy ý, cơng Bypass, vơ hiệu hóa tin xác CVE-2022-30752 khóa bảo vệ bỏ qua khóa Knoxguard, truy cập/thực nhận hành động trái phép vá … CVE-2022-22041 Nhóm 82 lỗ hổng sản phẩm Microsoft CVE-2022-22042 (Windows, Windows Server,…) cho phép đối tượng Microsoft công leo thang đặc quyền, công từ chối dịch CVE-2022-22022 vụ, thực thi mã từ xa, thu thập thơng tin, cơng Bypass XSS … Đã có thơng tin xác nhận vá Nhóm 28 lỗ hổng IBM (IBM CICS TX Standard CVE-2022-34160 and Advanced, IBM WebSphere Application Server CVE-2022-34166 Liberty,…) cho phép đối tượng công thu thập thông tin, thực thi mã HTML Javascript độc hại, CVE-2022-34358 thực leo thang đặc quyền, SQL injection, tải lên tệp tùy ý, công giả mạo (XSS), công từ chối … dịch vụ, truy cập/thực hành động trái phép Đã có thơng tin xác nhận vá IBM Thống kê nguy cơ, stấn công Việt Nam Thống kê nguy cơ, Tuần vừa qua Việt Nam, có Tấn cơng DRDoS nhiều máy chủ, thiết bị trở thành nguồn phát tán cơng DRDoS Trong tuần có 37,379 (giảm so với tuần trước 53,600) thiết bị có khả bị huy động Tuần quanguồn Việt nhiều trởvừa thành tấnNam, cơng có DRDoS Cácmáy chủ, thiết thiết bị mở sử dụng dịch vụ bị có NTP (123), DNS (53), Chargen (19) Dưới biểu đồ thống kê thiết bị theo cổng dịch vụ phổ biến tuần công Việt Nam công Việt Nam Tấn công Web Thống kê công vào trang/cổng thông tin điện tử Việt Nam Cài mã độc Lừa đảo (Phishing) 41 162 Trong tuần, có 287 trường hợp công vào trang/cổng thông tin điện tử Việt Nam: 162 trường hợp công lừa đảo (Phishing), 41 trường hợp công cài cắm mã độc Tấn cơng Phishing Trên giới có nhiều trang web giả mạo tổ chức, doanh nghiệp, nhà cung cấp, dịch vụ lớn như: Các mạng xã hội, ngân hàng, thư điện tử v.v… Việt Nam có nhiều người dùng dịch vụ, ứng dụng nước (cả miễn phí tính phí) mạng xã hội, Paypment, Apple, Paypal v.v… người dùng cần phải cảnh giác với trang web giả mạo để đánh cắp tài khoản Danh sách IP/tên miền độc hại có nhiều kết nối từ Việt Nam differentia.ru: 19,830 IP disorderstatus.ru: 5,167 IP atomictrivia.ru: 2,397 IP xjpakmdcfuqe.biz: 1,064 IP xjpakmdcfuqe.com: 374 IP xjpakmdcfuqe.ru: 262 IP restlesz.su: 204 IP xjpakmdcfuqe.in: 171 IP amnsreiuojy.ru: 137 IP hzmksreiuojy.ru: 50 IP Tấn công lừa đảo người dùng Việt Nam Trong tuần có 87 phản ánh trường hợp lừa đảo người dùng Internet Việt Nam thông báo Trung tâm Giám sát an tồn khơng gian mạng quốc gia (NCSC) qua hệ thống địa https://canhbao.khonggianmang.vn Qua kiểm tra, phân tích có nhiều trường hợp lừa đảo giả mạo website ngân hàng, trang thương mại điện tử… Thống kê nguy cơ, tấnDưới công Nam sốViệt trường hợp người dùng cần nâng cao cảnh giác STT Website lừa đảo https://bgtib222.com cltx888.me https://sd0053.shop http://techcombank.ngan-hang.net http://www.vcb-vaysodo.com https://www.vaynganhangvcb.online http://vcb-diglicabrnk.com https://www.vcb-diglicabrnk.com https://vcbdigliebrnk.com https://www.vaythechap-bidv.com http://nganhangbidv.com http://bidvsmartbanking2.ihappy.info Ghi Giả mạo sàn TMĐT Tiki Web lừa đảo cờ bạc qua ví điện tử Momo Giả mạo sàn TMĐT Sendo Giả mạo website Ngân hàng TMCP Kỹ Thương Việt Nam Giả mạo website Ngân Hàng TMCP Ngoại thương Việt Nam Giả mạo website Ngân Hàng TMCP Đầu tư Phát triển Việt Nam Khuyến nghị quan, đơn vị Đối với nguy cơ, cảnh báo đề cập phần Tin cảnh báo Quý đơn vị cần thường xuyên cập nhật thông tin (như chiến dịch cơng nhóm APT, thơng tin IoC kèm theo chiến dịch, điểm yếu lỗ hổng bị lợi dụng để khai thác,…), rà soát hệ thống thống thông tin để phát ngăn chặn, xử lý kịp thời *** Đối với điểm yếu, lỗ hổng phần Nguy công mạng từ điểm yếu lỗ hổng, Quý đơn vị cần lưu ý theo dõi cập nhật vá cho lỗ hổng liên quan đến sản phẩm sử dụng Ngoài ra, đơn vị có tài khoản “Hệ thống Cảnh báo điểm yếu rà soát lỗ hổng bảo mật tự động” địa https://service.khonggianmang.vn, quản trị viên thêm sản phẩm sử dụng để giám sát nhận cảnh báo có lỗ hổng phát sinh *** Đối với nguy công từ chối dịch vụ, công web phần Thống kê nguy cơ, công Việt Nam, Quý đơn vị cần rà soát, hạn chế tối đa việc mở cổng dịch vụ bị lợi dụng để thực công từ chối dịch vụ; thường xuyên kiểm tra, rà soát máy chủ web để kịp thời phát xử lý nguy công *** Đối với IP/tên miền đề cập mục Danh sách IP/tên miền độc hại có nhiều kết nối từ Việt Nam, Quý đơn vị cần kiểm tra xử lý thiết bị toàn hệ thống mạng có dấu hiệu kết nối đến tên miền độc hại mà Cục ATTT chia sẻ *** Thông tin liên hệ: Trung tâm Giám sát an tồn khơng gian mạng quốc gia 024.3209.1616 - ais@mic.gov.vn Tầng 16, số 115 Trần Duy Hưng, quận Cầu Giấy, Tp Hà Nội