chiến dịch tấn công nhắm vào tổ chức tài chính, viện nghiên cứu

Cục An toàn thông tin cho biết, trong quá trình giám sát an toàn thông tin trên không gian mạng, Trung tâm giám sát an toàn không gian mạng quốc gia- NCSC đã phát hiện và ghi nhận thông tin liên quan đến chiến dịch tấn công mạng được thực hiện bởi nhóm APT MiroFace.

Được biết, APT MirrorFace có mục tiêu là các tổ chức tài chính, viện nghiên cứu và nhà sản xuất. Theo đó, nhóm tấn công đã thực hiện khai thác các lỗ hổng an toàn thông tin trên các sản phẩm phần mềm Array AG và FortiGate để phát tán mã độc NOOPDOOR.

Theo các chuyên gia, mã độc NOOPDOOR được gài vào ứng dụng hợp phát trên hệ thống với 2 biên thể dưới dạng file “.XML” và “.DLL”. Cả hai biến thể đều cho phép nhóm tấn công thiết lập kết nối qua các cổng 443 và 47000 để tải xuống file và thực thi câu lệnh.

Sau khi mã độc được phát tán, nhóm tấn công đã tiến hành các hành vi trái phép như: truy cập nơi lưu trữ thông tin xác thực của hệ thống mạng, phát tán mã độc tới các thiết bị khác trong mạng cục bộ, theo dõi và trích xuất thông tin người dùng.

Bên cạnh đó, nhóm tấn công còn thực hiện các bước để tránh bị phát hiện như: chỉnh sửa dấu thời gian, thêm luật vào tường lửa hệ thống để mã độc có thể kết nối tới các cổng nhất định, ẩn đi các dịch vụ được kích hoạt…

Từ đó, Cục An toàn thông tin đề nghị các tổ chức, doanh nghiệp trên cả nước tiến hành kiểm tra, rà soát hệ thống thông tin đang sử dụng có khả năng bị ảnh hưởng bởi chiến dịch tấn công do nhóm APT MirrorFace phát động. Đồng thời, chủ động theo dõi các thông tin liên quan đến chiến dịch tấn công này để ngăn chặn, phòng tránh nguy cơ bị tấn công.

Đồng thời, các tổ chức cũng được khuyến nghị tăng cường giám sát và sẵn sàng phương án xử lý khi phát hiện có dấu hiệu bị khai thác, tấn công mạng.

Ngoài ra các đơn vị cũng cần theo dõi thông tin để kịp thời phát hiện nguy cơ tấn công mạng. Khi cần hỗ trợ đơn vị có thể liên hệ tới Trung tâm giám sát an toàn không gian mạng quốc gia theo số 02432091616 hoặc email [email protected].