Phần mềm độc hại XCSSET tấn công người dùng MacOS

Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) thuộc Cục An toàn thông tin (Bộ TT-TT) cảnh báo tình hình giám sát an toàn, an ninh mạng Việt Nam tuần qua.

Cụ thể, NCSC đã cảnh báo về phần mềm độc hại XCSSET nhằm mục tiêu đến máy Mac thông qua các dự án Xcode. Các mô-đun XCSSET có khả năng lấy cắp thông tin đăng nhập, chụp ảnh màn hình, cài cắm JavaScript độc hại vào các trang web, thu thập dữ liệu người dùng từ các ứng dụng khác nhau, mã hóa tệp tin để đòi tiền chuộc.

Xcode là bộ công cụ miễn phí của Apple. Xcode được cung cấp cho lập trình viên để phát triển ứng dụng cho iOS, MacOS, WatchOS.

Bên cạnh đó, NCSC còn cảnh báo chiến dịch tấn công APT nâng cấp bộ công cụ nhằm mở rộng các cuộc tấn công. Nhóm tấn công Iron Tiger gần đây bị phát hiện đã nâng cấp bộ công cụ của mình với việc cập nhật biến thể phần mềm độc hại có tên là SysUpdate.

APT là tên viết tắt của Advanced Persistent Threat - thuật ngữ dùng để mô tả chiến dịch tấn công mạng, thường do nhóm các tin tặc sử dụng những kỹ thuật tấn công nâng cao để có thể hiện diện và tồn tại lâu dài trên mạng internet nhằm khai thác dữ liệu có độ nhạy cảm cao.

Biến thể phần mềm độc hại mới này đang sử dụng nhiều tệp hơn trong quy trình lây nhiễm của nó và một số chiến thuật cũng được cập nhật. Các phần mềm độc hại được liên kết với nhóm Iron Tiger.

Trước đó, theo thông tin từ NCSC, sau khi phát hiện nhiều nhóm APT đang tích cực khai thác lỗ hổng mới trong VPN (mạng riêng ảo
), công ty Pulse Secure (Mỹ) khuyến nghị người dùng ngay lập tức cập nhật các bản vá để giảm thiểu mức độ ảnh hưởng nghiêm trọng của lỗ hổng zero-day.

Lỗ hổng zero-day (0-day) là thuật ngữ để chỉ những lỗ hổng phần mềm hoặc phần cứng chưa được biết đến và chưa được khắc phục. Các hacker có thể tận dụng lỗ hổng này để tấn công xâm nhập vào hệ thống máy tính của doanh nghiệp, tổ chức để đánh cắp hoặc thay đổi dữ liệu.

Trong một báo cáo, Mandiant (Công ty an ninh mạng Mỹ) đã cảnh báo về một lỗ hổng mới phát hiện (CVE-2021-22893) cho phép kẻ tấn công chèn và thực thi lệnh độc hại, cài cắm mã độc và chiếm quyền điều khiển hệ thống. Mandiant đang theo dõi 12 họ mã độc liên quan đến việc khai thác các thiết bị Pulse Secure VPN. Các họ mã độc này cho phép hacker có thể khai thác thành công mà không cần xác thực và chèn backdoor vào các thiết bị VPN.

Trọng tâm báo cáo này là các hoạt động của UNC2630 (được cho là có cách thức hoạt động tương tự nhóm hacker Trung Quốc có biệt danh APT5) để chống lại các mạng lưới Công nghiệp Quốc phòng Mỹ (DIB). UNC2630 đã thu thập thông tin từ các luồng đăng nhập VPN khác nhau của Pulse Secure, cho phép kẻ tấn công sử dụng các thông tin đăng nhập hợp pháp. Để duy trì sự xâm nhập này, hacker đã sử dụng các tập lệnh và mã nhị phân Pulse Secure hợp pháp nhưng được sửa đổi trên thiết bị VPN.

Pulse Secure cho biết lỗ hổng mới phát hiện này chỉ ảnh hưởng đến một số ít khách hàng, đồng thời Ivanti (công ty mẹ của Pulse Secure) đã phát hành các biện pháp để ngăn chặn sự khai thác liên quan đến lỗ hổng này cùng công cụ kiểm tra mang tính toàn vẹn Pulse Connect Secure Integrity Tool, để khách hàng có thể xác định xem hệ thống của mình có bị ảnh hưởng bởi lỗ hổng này hay không. Bản vá lỗ hổng bảo mật này sẽ được cập nhật vào đầu tháng 5.2021.

Theo thống kê nguy cơ, các cuộc tấn công tại Việt Nam trong tuần qua thì có 85 trường hợp tấn công vào trang/cổng thông tin điện tử của Việt Nam. Trong đó có 9 trường hợp tấn công thay đổi giao diện, 52 tấn công lừa đảo và 24 tấn công cài cắm mã độc.