Cảnh báo lỗ hổng bảo mật trong sản phẩm Microsoft tháng 6/2024 và chiến dịch tấn công mạng của nhóm APT “Mustang Panda”
28/06/2024
Lượt xem: 131
Cảnh báo lỗ hổng bảo mật trong sản phẩm Microsoft
tháng 6/2024 và chiến dịch tấn công mạng của nhóm APT “Mustang Panda”
Ngày 19/6/2024, Sở Thông
tin và Truyền thông có văn bản số 1057/STTTT-TTCNTT&TT về cảnh báo lỗ hổng bảo mật trong sản phẩm Microsoft
tháng 6/2024 và chiến dịch tấn công mạng của nhóm APT “Mustang Panda”.
Đáng chú ý, Microsoft
đã phát hành danh sách bản vá tháng 6 với 49 lỗ hổng an toàn thông tin trong các
sản phẩm của mình. Bản phát hành tháng này đặc biệt đáng chú ý vào các lỗ hổng
an toàn thông tin có mức ảnh hưởng cao và nghiêm trọng sau:
- Lỗ hổng an
toàn thông tin CVE-2024-30080 trongMicrosoft Message Queuing (MSMQ) cho phép đối tượng tấn công thực thi mã từ xa.
- Lỗ hổng an
toàn thông tin CVE-2024-30103 trong Microsoft Outlook cho phép đối tượng tấn công thực thi mã từ xa.
- Lỗ hổng an
toàn thông tin CVE-2024-30078 trong Windows Wi-Fi Driver cho phép đối tượng tấn công thực thi mã từ xa.
- Lỗ hổng an
toàn thông tin CVE-2024-30101, CVE-2024-30102, CVE-2024-30104 trong Lỗ hổng trong Microsoft Office cho phép đối tượng tấn công thực thi mã từ xa.
- Lỗ hổng an
toàn thông tin CVE-2024-30100 trong Microsoft SharePoint Server cho phép đối tượng tấn công thực thi mã từ xa.
Đồng thời, đã phát hiện và ghi
nhận các hành vi tấn công trái phép trên không gian mạng của nhóm tấn công
Mustang Panda trong chiến dịch nhằm vào tổ chức tại Việt Nam. Chiến dịch tấn
công lần này của nhóm Mustang Panda sử dụng các mồi nhử xoay quanh lĩnh vực
giáo dục và thuế, áp dụng nhiều góc tiếp cận. Mục tiêu mà nhóm hướng tới là các
tổ chức chính phủ, tổ chức phi lợi nhuận, tổ chức giáo dục,…
Hai chiến dịch tấn công được
ghi nhận vào tháng 05 và tháng 04 năm 2024 nhằm tới Việt Nam đã sử dụng file
văn bản có nội dung liên quan tới cơ quan thuế và tổ chức giáo dục. Cả hai
chiến dịch đều có điểm chung là bắt nguồn từ các email lừa đảo có đính kèm file
độc hại.
Chiến dịch có nhiều giai đoạn
phức tạp, khai thác các công cụ như “forfiles.exe” để thực thi file HTA độc hại
lưu trên máy chủ từ xa. Ngoài ra, Mustang Panda còn sử dụng PowerShell,
VBScript và batch file trong chiến dịch. Để tránh bị phát hiện, nhóm đối tượng
đã nhúng các file văn bản này vào các file .LNK độc hại. Chiến dịch sử dụng kỹ
thuật DLL sideloading với rundll32 để thực thi DLL độc hại trên hệ thống.
Văn
phòng Sở