Sở Công Thương đã nhận được Văn bản số 2698/STTTT-CĐS ngày 15/8/2024 của Sở Thông tin và Truyền thông về việc triển khai Văn bản số 1543/CATTTT-NCSC
ngày 06/8/2024 của Cục An toàn Thông tin về việc cảnh báo chiến dịch tấn công
của nhóm APT “MirrorFace”. Trong đó, ghi nhận mục tiêu tấn công của nhóm
MirrorFace là các tổ chức chính trị, các viện nghiên cứu, nhà sản xuất (Thông tin chi tiết xem tại Phụ lục đính kèm Văn bản số 1543/CATTTT-NCSC).
Đính kèm Văn bản số 1543/CATTTT-NCSC ngày 06/8/2024 của Cục An toàn Thông tin.
Đính kèm Văn bản số 2698/STTTT-CĐS ngày 15/8/2024 của Sở Thông tin và Truyền thông.
Nhằm đảm bảo an toàn thông tin cho hệ thống thông tin của Quý đơn vị, của
tỉnh và góp phần bảo đảm an toàn cho không gian mạng Việt Nam, Sở Thông tin
và Truyền thông khuyến nghị Quý đơn vị thực hiện:
1. Kiểm tra, rà soát hệ thống thông tin đang sử dụng có khả năng bị ảnh
hưởng bởi chiến dịch tấn công trên. Chủ động theo dõi các thông tin liên quan đến
chiến dịch nhằm thực hiện ngăn chặn nhằm tránh nguy cơ bị tấn công.
2. Tăng cường giám sát và sẵn sàng phương án xử lý khi phát hiện có
dấu hiệu bị khai thác, tấn công mạng; đồng thời thường xuyên theo dõi kênh cảnh
báo của các cơ quan chức năng và các tổ chức lớn về an toàn thông tin để phát
hiện kịp thời các nguy cơ tấn công mạng.
3. Trong trường hợp cần thiết có thể liên hệ đầu mối hỗ trợ của Cục An toàn
thông tin: Trung tâm Giám sát an toàn không gian mạng quốc gia, điện thoại
0243.2091.616, thư điện tử: ncsc@ais.gov.vn hoặc Sở Thông tin và Truyền thông,
điện thoại 0251.3810.269, thư điện tử: attt@dongnai.gov.vn./.
*** Thông tin chi tiết về chiến dịch tấn công của nhóm APT “MirrorFace” ***
.png?MOD=AJPERES&CVID=)
Một số IoC liên quan đến các tấn công gần đây.
Gần đây, đã phát hiện và ghi nhận chiến dịch tấn công trên không gian mạng
của nhóm tấn công MirrorFace nhằm vào các tổ chức tài chính, viện nghiện cứu
và nhà sản xuất. Nhóm đã thực hiện khai thác các lỗ hổng an toàn thông tin trên
sản phẩm Array AG và FortiGate nhằm phát tán mã độc NOOPDOOR.
Mã độc NOOPDOOR là một shellcode được gài vào ứng dụng hợp pháp trên
hệ thống và có hai biến thể dưới dạng file .XML và .DLL. Cả hai biến thể này chỉ
khác về bước xâm nhập và giống nhau về chức năng, cho phép nhóm MirrorFace
thiết lập kết nối thông qua cổng 443, cổng 47000 để tải xuống file, thực thi câu
lệnh,…
Sau khi phát tán mã độc trong chiến dịch tấn công, nhóm này thực hiện các
hành trái phép như: truy cập vào nơi lưu trữ thông tin xác thực của hệ thống mạng,
phát tán mã độc tới các thiết bị khác trong mạng cục bộ; thực hiện các hành vi
theo dõi, trích xuất thông tin người dùng. Ngoài ra, MirrorFace còn sử dụng công
cụ GO Simple Tunnel trong chiến dịch. Để tránh bị phát hiện, nhóm đối tượng đã
khai thác MSBuild để thực thi file .XML chứa mã độc; ghi đè dữ liệu độc hại lên
registry của file; chỉnh sửa timestamp; thêm luật vào tường lửa hệ thống để cho
phép mã độc được kết nối tới các cổng nhất định; ẩn đi các dịch vụ được kích
hoạt; xóa đi ghi chép của Windows Event; xóa file mã độc sau khi khai thác. Chiến
dịch sử dụng kỹ thuật DLL side-loading và khai thác MSBuild để thực thi mã độc
trên hệ thống./.