Hiện tại, Mandiant đang theo dõi 12 họ mã độc liên quan đến việc khai thác các thiết bị Pulse Secure VPN. Các họ mã độc này cho phép tin tặc có thể khai thác thành công mà không cần xác thực và chèn backdoor vào các thiết bị VPN.
Trọng tâm của báo cáo này là các hoạt động của UNC2630 được cho là có cách thức hoạt động tương tự nhóm tin tặc Trung Quốc có biệt hiệu APT5 để chống lại các mạng lưới Công nghiệp Quốc phòng Hoa Kỳ (DIB). UNC2630 đã thu thập thông tin từ các luồng đăng nhập mạng riêng ảo (VPN) khác nhau của Pulse Secure, cho phép đối tượng tấn công sử dụng các thông tin đăng nhập hợp pháp. Để duy trì sự xâm nhập này, các đối tượng đã sử dụng các tập lệnh và mã nhị phân Pulse Secure hợp pháp nhưng được sửa đổi trên thiết bị mạng riêng ảo (VPN).
Pulse Secure cho biết lỗ hổng mới phát hiện này chỉ ảnh hưởng đến một số ít khách hàng. Đồng thời, Ivanti (Công ty mẹ của Pulse Secure) đã phát hành các biện pháp để ngăn chặn sự khai thác liên quan đến lỗ hổng này cùng với công cụ kiểm tra mang tính toàn vẹn “Pulse Connect Secure Integrity Tool” giúp người dùng có thể xác định xem hệ thống của mình có bị ảnh hưởng bởi lỗ hổng này hay không. Bản vá lỗ hổng bảo mật này sẽ được cập nhật vào đầu tháng 5/2021.
Sau khi phát hiện nhiều nhóm APT đang tích cực khai thác lỗ hổng mới trong VPN, Pulse Secure khuyến nghị người dùng ngay lập tức cập nhật các bản vá để giảm thiểu mức độ ảnh hưởng nghiêm trọng của lỗ hổng zero-day.
Mai Hương
16:00 | 11/12/2020
16:00 | 26/10/2020
07:00 | 24/05/2021
10:00 | 25/07/2021
10:00 | 01/09/2021
15:00 | 04/05/2020
13:00 | 13/08/2024
Các nhà nghiên cứu bảo mật tại Cleafy Labs (Italy) phát hiện ra một phần mềm độc hại Android mang tên BingoMod nguy hiểm, có thể đánh cắp tiền và xóa sạch dữ liệu của người dùng.
14:00 | 07/08/2024
Các nhà nghiên cứu an ninh mạng đã phát hiện phần mềm độc hại nhắm mục tiêu vào Hệ thống kiểm soát công nghiệp (ICS) được sử dụng trong một cuộc tấn công mạng nhắm vào một công ty năng lượng Lvivteploenerg ở thành phố Lviv của Ukraine vào đầu tháng 1/2024.
16:00 | 24/07/2024
Vào tháng 3/2024, các nhà nghiên cứu của công ty an ninh mạng Zscaler (Mỹ) đã quan sát thấy hoạt động xâm nhập mới từ nhóm tin tặc được Chính phủ Triều Tiên hậu thuẫn có tên là Kimsuky (hay còn gọi là APT43, Emerald Sleet và Velvet Chollima). Đặc biệt, Zscaler phát hiện một chiến dịch tấn công bởi các tin tặc Kimsuky sử dụng tiện ích mở rộng mới trên Google Chrome có tên gọi Translatext.
11:00 | 16/05/2024
Kể từ tháng 3/2024, các nhà nghiên cứu của công ty an ninh mạng Zscaler đã phát hiện một nhóm tin tặc sử dụng các tên miền giả để mạo danh các trang web quét IP hợp pháp nhằm phát tán backdoor có tên là MadMxShell. Những kẻ tấn công đăng ký nhiều tên miền trông giống nhau bằng cách sử dụng kỹ thuật Typosquatting và tận dụng quảng cáo Google Ads để đẩy các tên miền này lên đầu kết quả tìm kiếm, từ đó thu hút nạn nhân truy cập các trang web độc hại. Bài viết sẽ tiến hành phân tích kỹ thuật và cơ sở hạ tầng của các tác nhân đe dọa trong chiến dịch này dựa trên báo cáo của Zscaler.
Cục Điều tra Liên bang Mỹ (FBI) mới đây đã đưa ra thông báo về sự cố gián đoạn cơ sở hạ tầng trực tuyến liên quan đến một nhóm tin tặc mã độc tống tiền mới nổi có tên là Dispossessor. Trong một nỗ lực nhằm giảm thiểu rủi ro do nhóm tội phạm này gây ra, FBI đã thu giữ 03 máy chủ tại Mỹ, 03 máy chủ tại Anh, 18 máy chủ tại Đức, 08 tên miền tại Mỹ và 01 tên miền tại Đức.
21:00 | 29/08/2024