"Dựa trên những phân tích thì dường như đây là một chiến dịch tấn công có chủ đích nhằm vào các tổ chức, cơ quan, doanh nghiệp Việt Nam. Các chuyên gia bảo mật tin rằng chiến dịch này được vận hành bởi nhóm hacker 1937CN của Trung Quốc. Liên kết tới nhóm đã được tìm thấy thông qua các tên miền độc hại được sử dụng làm máy chủ C&C", thông tin cảnh báo của FortiGuard Labs nêu.
Về phương thức lây nhiễm mã độc vào hệ thống máy tính, các chuyên gia cho biết, cũng giống như những chiến dịch tấn công APT khác, tin tặc phát tán các tài liệu chứa mã độc thông qua email. Và để thu hút hơn sự chú ý của các nạn nhân, tin tặc sử dụng các file văn bản giả mạo với tựa đề và nội dung chứa nhiều thông tin liên quan đến Chính phủ Việt Nam.
Các file doc này chứa mã độc RAT (Remote Access Trojan), loại mã độc này có thể dễ dàng "qua mặt" các phần mềm bảo mật và firewall bằng cách giả mạo các phần mềm hợp pháp như GoogleUpdate.exe, SC&Cfg.exe của McAfee AV.
Nhận định về sự kiện này, chuyện gia CMC InfoSec cho biết, lỗ hổng CVE -2012-0158 đã được Micrsoft cảnh báo và phát hành bản vá từ năm 2012. Việc sử dụng các file doc. phát tán RAT cũng không còn mới và được các cơ quan chức năng cảnh báo liên tục nhưng vẫn có nhiều trường hợp bị lây nhiễm và cũng có nhiều đơn vị không có phương án update bản vá Windows. “Điều này đồng nghĩa với việc chấp hành các tiêu chuẩn về an toàn thông tin tại Việt Nam vẫn còn chưa được đánh giá đúng và được đầu tư hiệu quả”, chuyên gia CMC InfoSec nhấn mạnh.
Để phòng tránh, chuyên gia CMC InfoSec khuyến cáo người dùng khi nhận được các email không rõ nguồn gốc, không nên mở các tập tin đính kèm; đồng thời cần thường xuyên cập nhập các bản vá bảo mật.
“Để ngăn kích hoạt tính năng khai thác RTF này, điều quan trọng là phải áp dụng các bản vá lỗi do Microsoft đưa ra để đề cập đến lỗ hổng CVE-2012-0158”, chuyên gia CMC InfoSec khuyến nghị.
No comments:
Post a Comment