Kaspersky: Điện toán đám mây bị lợi dụng cài mã độc tại Việt Nam
Tin tặc lợi dụng dịch vụ điện toán đám mây để phát tán mã độc, triển khai quy trình gồm nhiều giai đoạn phức tạp nhằm tấn công vào các cơ quan chính phủ, các tổ chức công nghiệp ở nhiều quốc gia, trong đó có Việt Nam.
Kaspersky vừa phát cảnh báo về chiến dịch tấn công mạng nhắm vào các cơ quan chính phủ và các tổ chức công nghiệp tại một số quốc gia như Việt Nam, Malaysia, Trung Quốc, Nhật Bản, Thái Lan, Hàn Quốc, Singapore, Philippines.
Kẻ tấn công lợi dụng các dịch vụ điện toán đám mây để quản lý phần mềm độc hại và triển khai quy trình tấn công, gồm nhiều giai đoạn phức tạp để vượt kiểm duyệt của các hệ thống phát hiện xâm nhập.
Qua đó, kẻ xấu có thể phát tán mã độc trên hệ thống mạng của nạn nhân, cài đặt công cụ điều khiển từ xa, chiếm quyền kiểm soát thiết bị, đánh cắp và xóa thông tin mật.
Tin tặc sử dụng nhiều quy trình phức tạp nhắm vào các cơ quan chính phủ, tổ chức công nghiệp nhiều nước, trong đó có Việt Nam. Ảnh: Gen AI
Ngoài ra, tin tặc sử dụng tệp nén chứa mã độc, ngụy trang thành tài liệu về thuế và phát tán qua email và các ứng dụng nhắn tin. Để tránh bị phát hiện, tin tặc liên tục thay đổi máy chủ và dung lượng mã độc để giảm khả năng bị truy vết. Chúng còn mã hóa tệp tin và lưu lượng mạng nhằm che giấu hoạt động bất thường.
Chiến dịch này liên quan đến việc triển khai phần mềm độc hại được ngụy trang thành các tài liệu liên quan đến thuế trong các tệp lưu trữ zip, được gửi qua email lừa đảo và các nền tảng nhắn tin như WeChat và Telegram.
Quy trình cài đặt nhiều giai đoạn dẫn đến việc triển khai một backdoor có tên FatalRAT trên hệ thống của nạn nhân. Cuộc tấn công này được đánh dấu bằng sự thay đổi về chiến thuật, kỹ thuật và quy trình nhắm cụ thể vào các mục tiêu nói tiếng Trung, khác với các chiến dịch trước đây sử dụng Trojan truy cập từ xa nguồn mở như Gh0st RAT, SimayRAT và Zegost.
Những kẻ tấn công đã sử dụng các dịch vụ đám mây hợp pháp của Trung Quốc như myqcloud CDN và Youdao Cloud Notes, sử dụng các phương pháp để tránh bị phát hiện, chẳng hạn như thay đổi động để kiểm soát máy chủ và tải trọng độc hại, lưu trữ tệp trên các tài nguyên web hợp pháp, khai thác lỗ hổng trong các ứng dụng được nhận dạng và sử dụng các chức năng phần mềm hợp pháp cho mục đích xấu.
Quy trình cài đặt nhiều giai đoạn dẫn đến việc triển khai một backdoor có tên FatalRAT trên hệ thống của nạn nhân. Ảnh: SQC Prime
Kaspersky đã đặt tên cho chiến dịch tấn công này là "SalmonSlalom", vẽ ra sự tương đồng với quá trình khó khăn mà một con cá hồi phải đối mặt khi di chuyển ngược dòng.
"Chúng tôi liên tục thấy những kẻ tấn công sử dụng kết hợp các phương pháp và kỹ thuật tấn công tương đối đơn giản nhưng vẫn thành công trong việc tiếp cận mục tiêu của chúng ngay cả trong phạm vi OT", Evgeny Goncharov, Trưởng phòng Kaspersky ICS CERT cho biết. "Chiến dịch cụ thể này đóng vai trò như một lời cảnh báo cho nhiều tổ chức công nghiệp khác nhau trong khu vực APAC".
Kaspersky khuyến nghị các tổ chức chủ động phòng mã độc bằng 5 biện pháp sau:
Thứ nhất, luôn bật và yêu cầu xác thực hai yếu tố (2FA) khi đăng nhập vào tài khoản quản trị và giao diện web của các giải pháp bảo mật.
Thứ hai, cài đặt phiên bản mới nhất của các giải pháp bảo mật tập trung trên toàn hệ thống, đồng thời thường xuyên cập nhật cơ sở dữ liệu diệt virus và các mô-đun chương trình.
Thứ ba, đảm bảo toàn bộ hệ thống đều kích hoạt tất cả thành phần của giải pháp bảo mật. Ngoài ra, cần thiết lập chính sách bảo mật ngăn chặn việc vô hiệu hóa, chấm dứt hoặc gỡ bỏ các thành phần bảo vệ mà không cần nhập mật khẩu quản trị viên.
Thứ tư, cập nhật thông tin về các mối đe dọa mới nhất đối với những nhóm hệ thống không bị hạn chế sử dụng dịch vụ bảo mật đám mây theo quy định của pháp luật.
Thứ năm, cập nhật hệ điều hành và ứng dụng lên phiên bản mới nhất do nhà cung cấp phát hành, đồng thời cài đặt các bản vá bảo mật để giảm thiểu nguy cơ bị khai thác lỗ hổng.
