Nhóm APT Earth Estries sử dụng mã độc nhắm vào ngành viễn thông tại nhiều quốc gia
Nhóm tấn công Earth Estries đang sử dụng mã độc backdoor mới có tên'GHOSTSPIDER trong chiến dịch tấn công nhắm vào công ty thuộc ngành điện tử viễn thông tại nhiều quốc gia.
Theo Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC - Cục An toàn thông tin, Bộ TT-TT), tuần qua, nhóm APT Earth Estries sử dụng mã độc GHOSTSPIDER trong chiến dịch tấn công nhằm vào ngành viễn thông tại hơn 12 quốc gia.
Cụ thể, các chuyên gia bảo mật đã ghi nhận nhóm tấn công Earth Estries đang sử dụng mã độc backdoor mới có tên GHOSTSPIDER trong chiến dịch tấn công nhằm vào công ty thuộc ngành điện tử viễn thông tại nhiều quốc gia.
Trong chiến dịch, nhóm này còn sử dụng mã độc backdoor đa nền tảng MASOL RAT (Backdr-NQ) lên các hệ thống Linux thuộc hệ thống mạng của chính phủ tại các quốc gia.
Theo thống kê từ chuyên gia bảo mật, Earth Estries đã thành công xâm nhập vào hơn 20 tổ chức thuộc lĩnh vực điện tử viễn thông, công nghệ, tư vấn, hóa học... Hiện danh sách quốc gia, vùng lãnh thổ bị ảnh hưởng được ghi nhận, gồm Afghanistan, Brazil, Eswatini, Ấn Độ, Indonesia, Malaysia, Pakistan, Philippines, Nam Phi, Đài Loan, Thái Lan, Mỹ và Việt Nam.
Nhóm tấn công Earth Estries đã đi vào hoạt động kể từ năm 2020 với các tên khác, như FamousSparrow, GhostEmperor, Salt Typhoon và UNC2286, nhằm vào các đơn vị chính phủ, công ty điện tử viễn thông tại Mỹ, các quốc gia cùng châu Á - Thái Bình Dương, Trung Đông và Nam Phi.
Các chuyên gia bảo mật cho rằng Earth Estries thực hiện các chiến dịch tấn công một cách kín đáo, bắt đầu từ các thiết bị nằm ở viền của không gian mạng và phát tán tới môi trường cloud khiến việc phát hiện trở nên khó khăn.
Ngoài ra, nhóm này còn sử dụng kết hợp nhiều biện pháp thiết lập mạng vận hành có vai trò che giấu dấu vết hoạt động của nhóm, qua đó cho thấy nhóm này có một cách tiếp cận tinh vi tới việc xâm nhập, theo dõi mục tiêu của mình.
Lỗ hổng nghiêm trọng của WordPress
Theo NCSC, lỗ hổng nghiêm trọng tồn tại trên plugin “Anti-Spam” của WordPress khiến hơn 200.000 website đứng trước nguy cơ bị ảnh hưởng bởi tấn công thực thi mã từ xa.
Gần đây, các chuyên gia bảo mật đã ghi nhận thông tin về hai lỗ hổng an toàn thông tin mức Nghiêm trọng, gây ảnh hưởng tới plugin “Anti-Spam” và “FireWall” cho WordPress. Kẻ tấn công sau khi khai thác thành công lỗ hổng có thể cài và bật các plugin độc hại trên website, qua đó cho phép thực thi mã từ xa.
Hai lỗ hổng có mã CVE-2024-10542 (điểm CVSS: 9.8) và CVE-2024-10781 (điểm CVSS: 10.0) đã được xử lý trong phiên bản 6.44, 6.45 được phát hành trong tháng.
Theo NCSC, các plugin bị ảnh hưởng bởi lỗ hổng được coi là “plugin thông dụng cho việc chống spam” nhằm chặn các bình luận, lượt đăng ký, khảo sát… mang tính spam.
Đối với lỗ hổng CVE-2024-10781, vấn đề nằm tại việc thiếu sót trong việc kiểm soát giá trị rỗng trên “api_key” tại hàm “function”. Còn lỗ hổng CVE-2024-10542 bắt nguồn từ việc bỏ qua biện pháp ủy quyền thông qua hình thức DNS Spoofing trên hàm checkWithoutToken().
Người dùng được khuyến nghị là nên cập nhật bản vá sớm nhất có thể cho các website của mình để giảm nguy cơ bị chịu ảnh hưởng bởi các chiến dịch tấn công khai thác hai lỗ hổng này...
Trong tuần, hệ thống của Cục An toàn thông tin đã ghi nhận 5.237 phản ánh trường hợp lừa đảo trực tuyến do người dùng internet Việt Nam gửi về.
Trong đó, 285 trường hợp phản ánh được tiếp nhận thông qua hệ thống Trang cảnh báo an toàn thông tin Việt Nam (canhbao.khonggianmang.vn). 4.952 trường hợp phản ánh cuộc gọi, tin nhắn lừa đảo thông qua tổng đài 156/5656.