Video: Ardeshir vs Libo - Watering Hole NvE (Tháng Chín 2024)
Những kẻ tấn công đang khai thác các lỗ hổng nghiêm trọng trong Internet Explorer trong một cuộc tấn công lỗ nước, các nhà nghiên cứu từ công ty bảo mật FireEye cảnh báo. Người dùng bị lừa truy cập vào trang web bị nhiễm bị tấn công bằng phần mềm độc hại lây nhiễm vào bộ nhớ của máy tính trong một cuộc tấn công bằng ổ đĩa cổ điển.
Những kẻ tấn công đã nhúng mã độc khai thác ít nhất hai lỗ hổng zero-day trong Internet Explorer vào "một trang web quan trọng về chiến lược, được biết là thu hút khách truy cập có khả năng quan tâm đến chính sách bảo mật quốc gia và quốc tế", FireEye cho biết trong phân tích tuần trước. FireEye đã không xác định trang web ngoài thực tế là nó có trụ sở tại Hoa Kỳ.
"Việc khai thác tận dụng lỗ hổng rò rỉ thông tin mới và lỗ hổng truy cập bộ nhớ ngoài IE để đạt được sự thực thi mã", các nhà nghiên cứu của FireEye viết. "Đó là một lỗ hổng được khai thác theo nhiều cách khác nhau."
Các lỗ hổng có trong Internet Explorer 7, 8, 9 và 10, chạy trên Windows XP hoặc Windows 7. Trong khi cuộc tấn công hiện tại nhắm vào phiên bản tiếng Anh của Internet Explorer 7 và 8 chạy trên cả Windows XP và Windows 8, việc khai thác có thể được thay đổi để nhắm mục tiêu các phiên bản và ngôn ngữ khác, FireEye nói.
APT tinh vi khác thường
FireEye cho biết chiến dịch đe dọa dai dẳng (APT) tiên tiến này đang sử dụng một số máy chủ chỉ huy và kiểm soát tương tự như các máy chủ được sử dụng trong các cuộc tấn công APT trước đây chống lại các mục tiêu của Nhật Bản và Trung Quốc, được gọi là Chiến dịch ViceDog. APT này tinh vi một cách bất thường bởi vì nó phân phối tải trọng độc hại chỉ chạy trong bộ nhớ của máy tính, FireEye tìm thấy. Vì nó không tự ghi vào đĩa, nên việc phát hiện hoặc tìm bằng chứng pháp y trên các máy bị nhiễm khó hơn nhiều.
"Bằng cách sử dụng các thỏa hiệp Web chiến lược cùng với các chiến thuật phân phối tải trọng trong bộ nhớ và nhiều phương thức che giấu lồng nhau, chiến dịch này đã được chứng minh là hoàn thành đặc biệt và khó nắm bắt, " FireEye nói.
Tuy nhiên, vì phần mềm độc hại không đĩa hoàn toàn nằm trong bộ nhớ, chỉ cần khởi động lại máy sẽ xuất hiện để loại bỏ nhiễm trùng. Những kẻ tấn công dường như không lo lắng về việc tồn tại dai dẳng, cho thấy những kẻ tấn công "tin tưởng rằng các mục tiêu dự định của chúng chỉ đơn giản là xem lại trang web bị xâm nhập và bị lây nhiễm lại", các nhà nghiên cứu của FireEye viết.
Điều đó cũng có nghĩa là những kẻ tấn công đang di chuyển rất nhanh, vì chúng cần di chuyển qua mạng để tiếp cận các mục tiêu khác hoặc tìm thông tin mà chúng có sau khi người dùng khởi động lại máy và loại bỏ nhiễm trùng. "Một khi kẻ tấn công có được và leo thang các đặc quyền, họ có thể triển khai nhiều phương pháp khác để thiết lập sự bền bỉ", Ken Westin, một nhà nghiên cứu bảo mật tại Tripwire cho biết.
Các nhà nghiên cứu tại công ty bảo mật Triumfant đã tuyên bố sự gia tăng của phần mềm độc hại không đĩa và gọi các cuộc tấn công này là Mối đe dọa dễ bay hơi tiên tiến (AVT).
Không liên quan đến lỗ hổng văn phòng
Lỗ hổng zero-day mới nhất của Internet Explorer xuất hiện ngay sau một lỗ hổng nghiêm trọng trong Microsoft Office cũng được báo cáo vào tuần trước. Lỗ hổng trong cách Microsoft Windows và Office truy cập hình ảnh TIFF không liên quan đến lỗi Internet Explorer này. Trong khi những kẻ tấn công đã khai thác lỗi Office, hầu hết các mục tiêu hiện đang ở Trung Đông và Châu Á. Người dùng được khuyến khích cài đặt FixIt, điều này giới hạn khả năng mở đồ họa của máy tính, trong khi chờ bản vá vĩnh viễn.
FireEye đã thông báo cho Microsoft về lỗ hổng này, nhưng Microsoft vẫn chưa bình luận công khai về lỗ hổng này. Rất khó có khả năng lỗi này sẽ được xử lý kịp thời cho bản phát hành Patch thứ ba vào ngày mai.
Phiên bản mới nhất của Microsoft EMET, Bộ công cụ trải nghiệm giảm thiểu nâng cao, đã chặn thành công các cuộc tấn công nhắm vào các lỗ hổng IE, cũng như Office. Các tổ chức nên xem xét việc cài đặt EMET. Người dùng cũng có thể xem xét nâng cấp lên phiên bản 11 của Internet Explorer hoặc sử dụng các trình duyệt khác ngoài Internet Explorer cho đến khi lỗi được khắc phục.
Vấn đề XP
Chiến dịch tưới nước mới nhất này cũng nêu bật cách kẻ tấn công nhắm vào người dùng Windows XP. Microsoft đã nhiều lần nhắc nhở người dùng rằng họ sẽ ngừng cung cấp các bản cập nhật bảo mật cho Windows XP sau tháng 4 năm 2014 và người dùng nên nâng cấp lên các phiên bản mới hơn của hệ điều hành. Các nhà nghiên cứu bảo mật tin rằng nhiều kẻ tấn công đang ngồi trên bộ đệm của lỗ hổng XP và tin rằng sẽ có một làn sóng tấn công nhắm vào Windows XP sau khi Microsoft kết thúc hỗ trợ cho hệ điều hành cũ.
"Đừng trì hoãn - nâng cấp từ Windows XP lên một thứ khác càng sớm càng tốt nếu bạn coi trọng bảo mật của mình", Graham Cluley, một nhà nghiên cứu bảo mật độc lập, viết trên blog của mình.
