Phát hiện chiến dịch tấn công mới nhắm vào tổ chức tài chính, viện nghiên cứu

Cảnh báo về chiến dịch tấn công mạng của nhóm APT MirrorFace vừa được Cục An toàn thông tin (Bộ TT&TT) gửi tới các đơn vị chuyên trách CNTT, an toàn thông tin các bộ, ngành, địa phương; tập đoàn, tổng công ty nhà nước; Doanh nghiệp cung cấp dịch vụ viễn thông, Internet và nền tảng số cùng các tổ chức tài chính, ngân hàng thương mại trên toàn quốc.

Cục An toàn thông tin cho biết trong quá trình giám sát an toàn thông tin trên không gian mạng, Trung tâm Giám sát an toàn không gian mạng quốc gia - NCSC thuộc Cục đã phát hiện và ghi nhận những thông tin liên quan đến chiến dịch tấn công mạng được thực hiện bởi nhóm APT MirrorFace.

Tấn công có chủ đích APT được các chuyên gia nhận định sẽ tiếp tục gia tăng thời gian tới. Ảnh minh họa: Internet

Chiến dịch tấn công mạng của nhóm APT MirrorFace có mục tiêu là các tổ chức tài chính, viện nghiên cứu và nhà sản xuất. Nhóm tấn công có chủ đích này đã thực hiện khai thác các lỗ hổng an toàn thông tin trên các sản phẩm phần mềm Array AG và FortiGate để phát tán mã độc NOOPDOOR.

Phân tích của các chuyên gia cho thấy, mã độc NOOPDOOR được gài vào ứng dụng hợp pháp trên hệ thống và có 2 biến thể dưới dạng file “.XML” và “.DLL”. Cả hai biến thể này chỉ khác về bước xâm nhập; còn giống nhau về chức năng, đều cho phép nhóm tấn công MirrorFace thiết lập kết nối thông qua các cổng 443 và 47000 để tải xuống file và thực thi câu lệnh.

Sau khi phát tán mã độc OOPDOOR trong chiến dịch tấn công, nhóm APT MirrorFace thực hiện tiếp các hành vi trái phép như: Truy cập vào nơi lưu trữ thông tin xác thực của hệ thống mạng; Phát tán mã độc tới các thiết bị khác trong mạng cục bộ; Theo dõi, trích xuất thông tin người dùng.

Ngoài ra, nhằm tránh bị phát hiện, nhóm tấn công có chủ đích APT MirrorFace còn thực hiện các bước như chỉnh sửa dấu thời gian - Timestamp, thêm luật vào tường lửa hệ thống để cho phép mã độc được kết nối tới các cổng nhất định, ẩn đi các dịch vụ được kích hoạt, xóa ghi chép của Windows Event, xóa file mã độc sau khi khai thác...

Để đảm bảo an toàn thông tin cho hệ thống thông tin của đơn vị, góp phần bảo đảm an toàn cho không gian mạng Việt Nam, Cục An toàn thông tin đề nghị các cơ quan, tổ chức, doanh nghiệp trên cả nước tiến hành kiểm tra, rà soát hệ thống thông tin đang sử dụng có khả năng bị ảnh hưởng bởi chiến dịch tấn công do nhóm APT MirrorFace phát động. Đồng thời, chủ động theo dõi các thông tin liên quan đến chiến dịch tấn công này để ngăn chặn, phòng tránh nguy cơ bị tấn công.

Các cơ quan, tổ chức, doanh nghiệp tại Việt Nam cũng được khuyến nghị tăng cường giám sát và sẵn sàng phương án xử lý khi phát hiện có dấu hiệu bị khai thác, tấn công mạng.

Bên cạnh đó, các đơn vị cần thường xuyên theo dõi kênh cảnh báo của các cơ quan chức năng và các tổ chức lớn về an toàn thông tin để phát hiện kịp thời các nguy cơ tấn công mạng. Trường hợp cần hỗ trợ, các đơn vị có thể liên hệ với đầu mối của Cục An toàn thông tin là Trung tâm Giám sát an toàn không gian mạng quốc gia, theo số điện thoại 02432091616 và thư điện tử ncsc@ais.gov.vn.

Mới đây, trong thông tin cảnh báo sớm các đơn vị về nguy cơ tấn công có chủ đích, Cục An toàn thông tin cũng đã lưu ý các đơn vị trong nước phải chủ động rà soát máy chủ, máy trạm và toàn bộ hệ thống giám sát theo danh sách các chỉ báo về tấn công mạng - IOC được NCSC thu thập, phân tích và phát hiện. Đáng chú ý, trong danh sách này, có gần 40 chỉ báo về tấn công mạng liên quan đến nhóm APT MirrorFace, bên cạnh mã IOC của các nhóm tấn công khác như APT Kimsuky, APT41, APT VoidBanshee, APT Ghost Emperor.

Các cơ quan, tổ chức, doanh nghiệp tại Việt Nam đã được khuyến nghị phải liên tục cập nhật các chỉ báo về tấn công mạng, đặc biệt là các chỉ báo tấn công mạng đã được chia sẻ từ hệ thống của Trung tâm Giám sát an toàn không gian mạng quốc gia tại trang alert.khonggianmang.vn. Mục đích là nhằm phát hiện sớm các rủi ro, nguy cơ tiềm ẩn trong hệ thống.

Vân Anh