Lỗ hổng Microsoft Office bị khai thác để tấn công APT

15:45 | 30/05/2016 | LỖ HỔNG ATTT

Một lỗ hổng Office của Microsoftđã được vá từ năm 2015, đến nay lại bị khai thác để tiến hành tấn công có chủ đích (APT) trong các hoạt động nhằm mục tiêu đến nhiều tổ chức ở châu Á.

Lỗ hổng thực thi mã từ xa, CVE-2015-2545, đã bị khai thác bởi một nhóm APT có tên Platinum hay TwoForOne trước khi Microsoft phát hành bản vá vào tháng 9/2015 và một bản vá toàn diện hơn 2 tháng sau đó. Nhóm tin tặc được cho là nhắm mục tiêu vào các tổ chức tại Nam và Đông Nam Á, đã hoạt động ít nhất là từ năm 2009.

CVE-2015-2545 có thể bị khai thác để thực thi mã tùy ý thông qua các tập tin hình ảnh Encapsulated PostScript (EPS) đặc biệt được chèn vào tài liệu Office. Mã khai thác lỗ hổng này có thể tránh các cơ chế an toàn như ASLR (Address Space Layout Randomization) và DEP (Data Execution Prevention).

Theo Kaspersky Lab, Platinum là nhóm đầu tiên khai thác CVE-2015-2545 để phát tán mã độc, nhưng nhóm này đã dừng sử dụng lỗ hổng sau khi Microsoft phát hành bản vá.

Một trong những nhóm APT đầu tiên lợi dụng CVE-2015-2545 sau khi lỗ hổng đã được vá bởi Microsoft là EvilPost, một nhóm tin tặc có liên hệ với Trung Quốc, sử dụng tài liệu Word làm vũ khí tấn công một nhà thầu quốc phòng của Nhật Bản trong tháng 12/2015.

Vào khoảng thời gian đó, một tin tặc Trung Quốc có tên APT16, sử dụng mã khai thác lỗ hổng Office này để tấn công các cơ quan chính phủ và truyền thông ở Đài Loan. Các tổ chức tại Đài Loan cũng trở thành mục tiêu của một nhóm tin tặc có tên SVCMONDR trong tháng 12/2015.

Các cuộc tấn công của SVCMONDR có điểm tương đồng với các hoạt động do một nhóm tin tặc Danti tiến hành. Tuy nhiên, các nhà nghiên cứu không thể xác định chính xác SVCMONDR và Danti thuộc cùng một nhóm hay đơn giản chỉ sử dụng mã độc tương tự nhau.

Nhóm tin tặc Danti từng nhằm mục tiêu vào Kazakhstan, Kyrgyzstan, Uzbekistan, Myanmar, Nepal và Philippines. Danti được cho là một nhóm mới, có liên quan đến các gián điệp mạng NetTraveler và DragonOK, bắt đầu hoạt động từ 2013 và 2014.

Danti sử dụng CVE-2015-2545 trong tháng 2 và 3/2016 để khởi phát các cuộc tấn công vào các tổ chức ngoại giao Ấn Độ, trong đó có nhiều Đại sứ quán. Các hoạt động của nhóm cũng được Palo Alto Networks phân tích, có kết nối giữa mã độc được sử dụng trong các cuộc tấn công nhằm vào Đại sứ quán Ấn Độ và mã độc được sử dụng năm 2013 trong một chiến dịch mang tên Operation Ke3chang. Nhiều bằng chứng cho thấy tin tặc có trụ sở tại Trung Quốc.

Palo Alto Networks gần đây cũng phân tích một chiến dịch nhóm APT lợi dụng lỗ hổng Office để phát tán biến thể Poison Ivy có tên là SPIVY để nhằm đến các tổ chức ở Hồng Kông.

Theo Kaspersky, tất cả các nhóm từng khai thác CVE-2015-2545 đều nhằm mục tiêu vào các tổ chức ở châu Á.

Ngoài các nhóm APT, tội phạm mạng truyền thống cũng lợi dụng mã khai thác office trong các chiến dịch thư rác.

Các nhà nghiên cứu Kaspersky cho biết, các cuộc tấn công này chủ yếu nhằm mục tiêu tổ chức tài chính ở châu Á. Cụ thể, các cuộc tấn công đã được ghi nhận tại Việt Nam, Philippines và Malaysia. Có nhiều lý do để tin rằng tội phạm mạng Nigeria đứng đằng sau. Trong một số trường hợp, cơ sở hạ tầng được sử dụng giống như những gì họ đã thấy khi phân tích trojan Adwind.

‹ › ×

Tin liên quan

Hiểm họa tấn công APT từ các cuộc tấn công lừa đảo

09:00 | 31/01/2019

Ngày nay, tấn công có chủ đích đã trở thành mối nguy hiểm thường trực cho các tổ chức, doanh nghiệp, hạ tầng trọng yếu quốc gia. Được đánh giá là một hình thức tấn công “may đo”, dai dẳng và có chủ đích vào một thực thể, nên khi phát hiện tấn công APT thì thiệt hại cho tổ chức, doanh nghiệp là khó ước lượng được. Trong đó, giai đoạn chuẩn bị của vòng đời một cuộc tấn công APT được đánh giá rất quan trọng. Việc thu thập thông tin, nghiên cứu về con người, hạ tầng của mục tiêu trở thành vấn đề then chốt. Kẻ tấn công thường áp dụng kỹ nghệ xã hội, lừa đảo người dùng, lây nhiễm mã độc để khai thác thông tin. Một trojan, backdoor, virus nhiễm vào máy tính người dùng ngày hôm nay, có thể sẽ là mở đầu của một tấn công APT vào những ngày sau đó. Vì vậy, các cuộc tấn công lừa đảo trở thành một trong những dấu hiệu nhận biết của tấn công APT.

Người dùng cần duy trì chế độ Protected View của Microsoft Office

09:00 | 02/07/2019

Chế độ “Xem an toàn” (Protected View) được tích hợp trong phần mềm Microsoft Office từ phiên bản 2010 giúp bảo vệ người dùng khỏi các rủi ro an toàn thông tin như lây nhiễm mã độc hại.

Ứng dụng Microsoft Office dính lỗ hổng nghiêm trọng

10:00 | 21/08/2020

Mới đây, cựu tin tặc Patrick Wardle (NSA) đã phát hiện một lỗ hổng nghiêm trọng bên trong ứng dụng Microsoft Office, cho phép tin tặc có thể chiếm quyền kiểm soát toàn bộ máy Mac.

Lỗ hổng Microsoft Office cho phép tin tặc theo dõi người dùng

10:00 | 23/08/2024

Các nhà nghiên cứu bảo mật tại Cisco Talos vừa phát hiện ra một số lỗ hổng Microsoft Office, cho phép tin tặc theo dõi người dùng thông qua camera và micro.

Tin cùng chuyên mục

Khám phá biến thể mới của phần mềm độc hại Copybara

09:00 | 16/10/2024

Các nhà nghiên cứu của hãng bảo mật Zscaler (Mỹ) đã phân tích một biến thể mới của Copybara, một họ phần mềm độc hại Android xuất hiện vào tháng 11/2021. Copybara là một Trojan chủ yếu lây nhiễm thông qua các cuộc tấn công lừa đảo bằng giọng nói (vishing), trong đó nạn nhân nhận được hướng dẫn qua điện thoại để cài đặt phần mềm độc hại Android. Bài viết sẽ phân tích về biến thể mới của Copybara dựa trên báo cáo của Zscaler.

Nguy cơ tê liệt nền kinh tế toàn cầu nếu chuỗi cung ứng bị tấn công

16:00 | 19/09/2024

Dưới đây là góc nhìn chuyên môn của các chuyên gia bảo mật Kaspersky về vụ việc của Crowdstrike và dự án XZ Utils, cùng chiến lược mà các tổ chức có thể áp dụng để ứng phó với các cuộc tấn công chuỗi cung ứng.

Nhà cung ứng chip quốc phòng Mỹ bị tấn công mạng

14:00 | 22/08/2024

Các máy chủ của Microchip Technology, nhà cung ứng chip quan trọng cho ngành công nghiệp quốc phòng Mỹ đã bị tấn công, buộc công ty này phải tạm ngừng một số hệ thống và giảm quy mô hoạt động.

Chiến dịch đánh cắp mã OTP ảnh hưởng tới người dùng 113 quốc gia

14:00 | 05/08/2024

Các chuyên gia bảo mật vừa phát hiện chiến dịch độc hại nhằm vào thiết bị Android toàn cầu, sử dụng hàng nghìn bot Telegram để lây nhiễm mã độc đánh cắp mã OTP của người dùng tại 113 quốc gia.