Nhiều nhóm tin tặc sừng sỏ chỉ chuyên khai thác 1 lỗ hổng bảo mật trên Microsoft Office

Mới đây, các chuyên gia bảo mật của Kaspersky Lab đã đưa ra báo cáo về hoạt động của các nhóm gián điệp mạng khu vực Châu Á Thái Bình Dương và Viễn Đông. Điều bất ngờ trong báo cáo này là các nhóm này đã hợp nhất dưới cái tên Danti, đều tập trung vào khai thác một lỗ hổng bảo mật CVE-2015-2545 để tấn công các tổ chức trên khắp thế giới.

Lỗ hổng bảo mật CVE-2015-2545 tồn tại trong phần mềm Microsoft Office, vốn đã được vá lỗi vào cuối năm ngoái nhưng vẫn được nhiều tin tặc khai thác, cụ thể là nhóm Platinum, APT16, EvilPost và SPIVY, hay nói chính xác là nhóm Danti.

CVE-2015-2545 là dạng lỗ hổng zero-day phép kẻ tấn công lập đoạn mã tùy ý sử dụng file hình ảnh đặc biệt EPS. Việc khai thác lỗ hổng này gây nên tình trạng nghiêm trọng vì nó sử dụng thủ thuật PostScript và có thể lách chức năng bảo mật Ngẫu nhiên hóa sơ đồ không gian địa chỉ – Address Space Layout Randomization (ASLR) và Ngăn chặn thực thi dữ liệu – Data Execution Prevention (DEP) trên Windows.

Nhóm tin tặc Danti chuyên nhắm đến tấn công các tổ chức ngoại giao, chiếm quyền truy cập vào mạng lưới nội bộ trong nhiều tổ chức chính phủ Ấn Độ. Theo Kaspersky Lab cho biết, nhiều trojan từ nhóm này đã bị phát hiện hoạt động tại , Kyrgyzstan, Uzbekistan, Myanmar, Nepal và the Philippines. Hoạt động của nó bị phát hiện lần đầu tiên vào tháng 2, tiếp tục sang tháng 3 và cho đến tận bây giờ.

Phương thức khai thác của Danti là sử dụng những email giả mạo quan chức cấp cao trong chính phủ Ấn Độ, đính kèm những đường linh giả mạo trong nội dung và lừa người dùng nhấp vào để chuyển hướng đến các trang web có chứa mã độc, trojan. Sau đó, một backdoor sẽ được cài cắm và giúp hacker chiếm quyền truy cập vào các máy tính bị nhiễm, đánh cắp các thông tin cá nhân riêng tư.

Các chuyên gia bảo mật của Kaspersky Lab cũng cho biết nhóm Danti này có thể có liên quan đến nhóm Nettraveler và DragonOK (những tin tặc của các quốc gia nói tiếng Trung Quốc), mặc dù họ vẫn chưa xác định rõ nguồn gốc của nhóm gián điệp mạng này.

Ngoài ra, nhiều cuộc tấn công khai thác lỗ hổng CVE-2015-2545 cũng đã nhắm vào các tổ chức ở Đài Loan và Thái Lan. Chúng được đặt tên dựa theo trojan độc hại tải xuống sau khi lỗ hổng bị khai thác. Loại trojan này không giống trojan của nhóm Danti sử dụng nhưng đều có chung giả thiết là có thể xuất phát từ nhóm gián điệp mạng đến từ Trung Quốc.

Theo khuyến cáo của Alex Gostev - chuyên gia bảo mật cấp cao trung tâm nghiên cứu Kaspersky Lab APAC, các công ty tổ chức doanh nghiệp ty nên chú ý đến việc quản lí vá lỗi trong hệ thống CNTT nhiều hơn để tự bảo vệ mình trước hết là với những lỗ hổng đã được biết đến.

Tìm hiểu thêm về tấn công có chủ đích sử dụng CVE-2015-2545 tại www.Securelist.com.

Xuân Dung – Theo Kaspersky Lab