 |
| Ảnh minh họa. Cybersecurity Dive |
Chiến dịch tấn công nhắm vào các cơ sở hạ tầng trọng yếu
Hoạt động tấn công được ghi nhận chỉ vài ngày sau khi bản vá bảo mật cho ToolShell được Microsoft phát hành vào tháng 7/2025, cho thấy các nhóm APT (Advanced Persistent Threat - Mối đe dọa dai dẳng nâng cao) đang theo dõi và khai thác rất nhanh những lỗ hổng mới của hệ thống Microsoft. Symantec cho biết đây là ví dụ điển hình của lỗ hổng “zero-day sau bản vá” khi bản cập nhật vừa được tung ra đã bị lợi dụng trước khi các hệ thống kịp áp dụng.
Lỗ hổng, được đặt tên mà là (CVE-2025-53770) ảnh hưởng đến máy chủ SharePoint on-premise - phiên bản SharePoint được triển khai nội bộ, không sử dụng dịch vụ đám mây của Microsoft và cho phép kẻ tấn công thực thi mã từ xa mà không cần xác thực.
Theo báo cáo, cuộc tấn công khởi phát từ ngày 21/7/2025, bắt đầu tư một nhà dịch vụ mạng ở Trung Đông, chỉ hai ngày sau khi bản vá được công bố. Symantec xác định rằng phần mềm độc hại Zingdoor, được triển khai tấn công vào ba nhóm tổ chức nói trên, trước đây nhóm Glowworm, có trụ sở tại Trung Quốc, còn được biết đến với tên Earth Estries hoặc FamousSparrow sử dụng. Một phần mềm độc hại khác, KrustyLoader, được phát hiện trong cùng chiến dịch và có mối liên hệ với UNC5221, một nhóm tin tặc được xác định có sự hậu thuẫn từ nước ngoài.
Các nhà nghiên cứu cho biết chiến dịch này cho thấy mức độ tinh vi ngày càng cao và phạm vi toàn cầu của các mối đe dọa mạng, nhắm vào hạ tầng trọng yếu và các tổ chức chính phủ. Bằng chứng cho thấy một cơ quan công nghệ nhà nước ở châu Phi, một bộ phận chính phủ tại Trung Đông và một công ty tài chính ở châu Âu đều đã bị nhóm tin tặc này xâm nhập.
Những kẻ tấn công không chỉ quét tìm lỗ hổng rộng rãi mà còn chọn lọc các mục tiêu có giá trị cao, duy trì quyền truy cập ngầm, đánh cắp thông tin xác thực và mở rộng quyền kiểm soát trong mạng nội bộ.
Các chuyên gia Symantec cảnh báo, chiến dịch tấn công mạng là minh chứng cho việc cơ sở hạ tầng quan trọng - đặc biệt trong lĩnh vực viễn thông và hành chính công đang trở thành mục tiêu hàng đầu của tội phạm mạng có tổ chức.
Lỗ hổng bảo mật từ việc không cập nhật bản vá
Vụ việc cho thấy việc chậm triển khai bản vá bảo mật vẫn là một trong những điểm yếu lớn nhất của các tổ chức. Theo ông Roger Grimes, chuyên gia an ninh mạng tại KnowBe4, có đến “10-25% hệ thống không được vá đúng thời hạn, thậm chí chậm nhiều tháng hoặc nhiều năm”.
Ông khuyến cáo các doanh nghiệp và cơ quan nhà nước cần kích hoạt cập nhật tự động, theo dõi sát các bản vá khẩn cấp, đồng thời giám sát chặt việc sử dụng các công cụ hợp pháp nhưng dễ bị lạm dụng như CertUtil, Procdump hoặc Minidump.
CertUtil là công cụ dòng lệnh dùng quản lý chứng chỉ trong Window, nhưng thường bị lợi dụng để tải hoặc phát tán mã độc. Procdump là tiện ích ghi lại bộ nhớ tiến trình, song bị tin tặc sử dụng để trích xuất mật khẩu hoặc dữ liệu nhạy cảm. Minidump cũng là công cụ phân tích sự cố, nhưng có thể bị dùng để thu thập thông tin hệ thống trong quá trình xâm nhập.
Các chuyên gia cũng nhấn mạnh tầm quan trọng của việc tăng cường bảo vệ hạ tầng công nghệ thông tin trong các lĩnh vực trọng yếu như viễn thông, chính phủ và tài chính - nơi một cuộc tấn công thành công có thể gây hậu quả nghiêm trọng về an ninh và kinh tế quốc gia.
An Lâm (Theo Industrial Cyber)
Bình luận