Hiện tại, FireEye chưa tìm thấy mối liên hệ giữa nhóm tin tặc này với bất kỳ nhóm tin tặc nào đã biết trước đó. Công ty này cũng nhấn mạnh các tin tặc dường như hiểu rất rõ về cách thức hoạt động của sản phẩm thuộc SonicWall.
Một trong những lỗ hổng nghiêm trọng đang bị khai thác có định danh CVE-2021-20021, cho phép tin tặc tấn công từ xa, không cần xác thực tạo tài khoản quản trị bằng cách gửi các truy vấn HTTP đặc biệt tới hệ thống mục tiêu.
Hai lỗ hổng khác gồm CVE-2021-20022 và CVE-2021-20023, có thể đã bị tin tặc lợi dụng để tải lên các tệp và đọc các tệp tùy ý tương ứng từ máy chủ. Hai lỗ hổng này được đánh giá có mức độ trung bình dựa trên điểm CVSS. Tuy nhiên, sẽ rất nguy hiểm khi chúng được kết hợp với CVE-2021-20021.
SonicWall cho biết, các lỗ hổng ảnh hưởng đến Email Security trên Windows, cũng như phần cứng và thiết bị ảo ESXi. Hosted Email Security cũng bị ảnh hưởng nhưng đã được vá tự động. Ngoài các bản vá, nhà cung cấp đã phát hành chữ ký trên IPS để phát hiện và chặn các cuộc tấn công.
Ngày 13/4, nhà nghiên cứu Kevin Beaumont đã cảnh báo các tổ chức về mức độ nghiêm trọng của các lỗ hổng bảo mật. Sau đó, vào ngày 16/4, ông cho biết có thể SonicWall đã không liên hệ và cảnh báo khách hàng cập nhật bản vá trước khi thông tin các lỗ hổng bị khai thác được công bố.
Trong một bài đăng mô tả các lỗ hổng và các cuộc tấn công, FireEye cho biết tin tặc đã nhắm mục tiêu vào phiên bản mới nhất của ứng dụng Email Security trên Windows Server 2012. Bằng việc khai thác thành công lỗ hổng CVE-2021-20021 chiếm quyền truy cập quản trị vào hệ thống SonicWall, tin tặc tiếp tục khai thác lỗ hổng CVE -2021-20023 để lấy các tệp chứa thông tin về tài khoản hiện có, thông tin đăng nhập Active Directory. Cuối cùng, tin tặc thông qua lỗ hổng CVE-2021-20022 để triển khai web shell có tên BEHINDER.
BEHINDER tương tự như web shell khét tiếng của nhóm China Chopper, giúp kẻ tấn công truy cập không hạn chế vào máy chủ bị xâm nhập.
Các nhà nghiên cứu của FireEye giải thích: “Dựa vào các kỹ thuật “living off the land” mà tin tặc sử dụng các công cụ hoặc tính năng đã có sẵn trong môi trường mục tiêu, hơn là đưa các công cụ riêng của mình vào môi trường nạn nhân. Điều này giúp kẻ tấn công có thể tránh bị các sản phẩm bảo mật phát hiện.
Đây là lần thứ hai SonicWall vá các lỗ hổng bị khai thác trong năm 2021. Vào tháng 01/2021, công ty tiết lộ các hệ thống nội bộ của hãng đã bị tin tặc trình độ cao khai thác các lỗ hổng zero-day trong các sản phẩm Truy cập Di động Bảo mật (SMA).
SonicWall cho biết, hãng đã xác minh một số lỗ hổng zero-day cụ thể, trong đó có ít nhất một lỗ hổng đang bị khai thác trong thực tế. SonicWall đã thiết kế, thử nghiệm và công bố các bản vá để khắc phục sự cố và thông báo những biện pháp giảm thiểu nguy cơ bị tấn công tới các khách hàng và đối tác. Cùng với đó, SonicWall đặc biệt khuyến nghị khách hàng cũng như các tổ chức trên toàn thế giới thường xuyên
Mai Hương
09:00 | 11/03/2021
09:00 | 03/06/2021
13:00 | 27/04/2022
09:00 | 15/10/2021
08:00 | 30/03/2020
14:00 | 24/03/2021
10:00 | 19/08/2024
Hiện nay, email đã trở thành phương thức liên lạc chính của các cá nhân và tổ chức, điều này khiến nhu cầu về các dịch vụ lưu trữ email ngày càng tăng. Những dịch vụ này không chỉ cung cấp dung lượng lưu trữ lớn, mà còn phải đảm bảo tính bảo mật mạnh mẽ, giúp bảo vệ thông tin cá nhân và dữ liệu quan trọng của người dùng. Bài báo sẽ thông tin tới độc giả Top 5 dịch vụ lưu trữ email tốt nhất năm 2024 theo đánh giá của chuyên trang công nghệ uy tín ZDNET.
09:00 | 19/07/2024
Bộ Thông tin và Truyền thông (TT&TT) đã ban hành văn bản công bố danh sách các nền tảng số quốc gia do các Bộ, ngành triển khai trên toàn quốc để phục vụ công tác khai thác, tránh trùng lặp. Trong đó có nền tảng số quốc gia Hệ thống chứng thực chữ ký số chuyên dùng công vụ của Ban Cơ yếu Chính phủ - Bộ Quốc phòng đang triển khai thực hiện Quản lý thuê bao và yêu cầu chứng thực; Phục vụ kiểm tra trạng thái chứng thư chữ ký số trực tuyến; Cấp dấu thời gian phục vụ ký số, xác thực; Hạ tầng phục vụ ký số trên thiết bị di động (SIM-PKI); Hạ tầng phục vụ ký số tập trung.
10:00 | 05/06/2024
Mới đây, hãng bảo mật Kaspersky đã phát hành một công cụ phòng chống virus mới có tên Kaspersky Virus Removal Tool (KVRT) dành cho nền tảng Linux, cho phép người dùng quét hệ thống của họ và loại bỏ phần mềm độc hại cũng như các mối đe dọa đã biết.
10:00 | 26/04/2024
Oracle dự kiến sẽ đầu tư 1.200 tỷ Yen (khoảng 8 tỷ USD) trong 10 năm, bắt đầu từ năm nay, để mở rộng các trung tâm dữ liệu của mình tại Nhật Bản. Thông báo này được hãng đưa ra vào ngày 18/4 vừa qua, cơ sở chủ yếu ở hai khu vực mà Oracle hiện đang vận hành các trung tâm dữ liệu là Tokyo và Osaka.
Ngày 23/8, Sở Thông tin & Truyền thông TP.HCM phối hợp cùng Hiệp hội An toàn thông tin (VNISA HCM) đã tổ chức thành công sự kiện Hội thảo và Triển lãm an toàn thông tin khu vực phía Nam 2024. Mi2 vinh dự được đồng hành cùng chương trình với cương vị là Nhà tài trợ Bạc cùng Trellix và Đồng tài trợ cùng Rapid7 mang đến những giải pháp bảo mật toàn diện trước tình hình tấn công phức tạp của Ransomware hiện đang là mối quan tâm cho các tổ chức, doanh nghiệp Việt Nam.
09:00 | 29/08/2024