hack – Trung tâm quản trị mạng và an ninh mạng quốc tế Athena

Smartphone binh sỹ Israel bị hack vì bức ảnh “gái trẻ” giả mạo

admin — Fri, 21 Feb 2020 03:07:27 +0000

Smartphone của hàng chục binh sĩ Israel đã bị nhóm phiến quân Hamas hack bằng chiêu đóng giả phụ nữ thu hút sự chú ý của các binh sĩ Israel.

Theo phát ngôn viên của quân đội Israel, những bức ảnh giả các cô gái trẻ đã được gửi đến cho các binh sĩ và dụ dỗ họ tải xuống một ứng dụng. Các binh sỹ không hề biết rằng ứng dụng này có thể truy cập vào thiết bị cầm tay của họ.

Một trong những bức ảnh gái trẻ được tải về

Tuy vậy, đại diện của quân đội Israel nói “thông tin bị xâm phạm không đáng kể” trước khi vụ lừa đảo được xử lý.

Theo đại tá Jonathan Conricus của Israel, đây là nỗ lực thứ ba trong những năm gần đây của Hamas nhằm xâm nhập vào điện thoại của binh sĩ Israel, nhưng chiêu trò này được xem là tinh vi nhất.

Đại tá Conricus cho biết tin tặc đã giả mạo làm những phụ nữ trẻ không biết nói tiếng Hebrew (ngôn ngữ mẹ đẻ của người Israel), tự xưng là người nhập cư hoặc bị khiếm thị hoặc khiếm thính, để tỏ ra thuyết phục.

Sau khi kết bạn, những “cô gái trẻ” này sẽ gửi đi những liên kết mà họ nói là cho phép họ trao đổi ảnh, nhưng thực tế là dụ dỗ những người lính tải xuống phần mềm độc hại – các chương trình có thể tấn công điện thoại thông minh hoặc thiết bị máy tính.

Khi liên kết được mở, chương trình sẽ cài đặt một vi-rút cho phép tin tặc truy cập vào dữ liệu của điện thoại, bao gồm vị trí, hình ảnh và danh bạ.

Tin tặc cũng có thể điều khiển điện thoại từ xa, chụp ảnh và ghi âm mà chủ sở hữu không hay biết.

Đại tá Conricus cho biết Lực lượng Quốc phòng Israel (IDF) đã phát hiện ra âm mưu này vài tháng trước nhưng tiếp tục giám sát nó cho đến khi họ đóng cửa.

Theo BBC, IDF trước đây đã cảnh báo các binh sĩ phải cảnh giác khi sử dụng smartphone và ban hành các hướng dẫn nhằm ngăn chặn các chiêu trò tấn công.

Nguồn vnreview.vn

Khóa học Hacker Mũ Trắng – AEH

Tài khoản Twitter và Instagram của Facebook bất ngờ bị hack

admin — Sun, 09 Feb 2020 12:45:12 +0000

Ngày 8/2 vừa qua, một loạt tài khoản chính thức của Facebook trên 2 nền tảng mạng xã hội Twitter và Instagram đã bất ngờ bị hack bởi nhóm hacker khét tiếng OurMine. Sau khi chiếm quyền truy cập thành công vào tài khoản của Facebook trên các trang mạng xã hội này, những kẻ tấn công đã cho đăng tải dòng trạng thái đầy mỉa mai: “Even Facebook is hackable but at least their security better than Twitter” (tạm dịch: Tuy Facebook cũng có thể bị hack, nhưng chí ít vẫn còn bảo mật hơn Twitter) và up ảnh logo nhóm trên Instagram.

Dòng trạng thái của nhóm hacker Ourmine trên Twitter

Ngay sau khi dòng trạng thái trên được đăng tải, Facebook đã chiếm lại được quyền truy cập vào các tài khoản và lập tức xóa các tweet được hacker chia sẻ. Tuy nhiên không ít người đã ghi lại được tính huống “mèo vờn chuột” khá hài hước giữa hacker và Facebook trên Twitter, trong đó có nhà nghiên cứu ứng dụng Jane Manchun Wong.

Phía Twitter sau đó cũng đã lên tiếng xác nhận rằng 2 tài khoản của Facebook là @Facebook và @Mesbah đã bị truy cập trái phép thông qua 1 nền tảng của bên thứ ba. Đồng thời tuyên bố khóa tài khoản để khôi phục quyền truy cập cho Facebook.

Hiện tại, toàn bộ các tài khoản của Facebook trên Twitter và Instagram đã trở lại bình thường, và động cơ của vụ tấn công đang được điều tra. Tuy nhiên theo đánh giá của các chuyên gia bảo mật, vụ tấn công dường như chỉ để nhằm đánh bóng tên tuổi và mời chào sử dụng dịch vụ bảo mật của OurMine mà không gây ra bất cứ thiệt hại lớn nào.

OurMine là một trong những nhóm hacker đang nhận được rất nhiều sự chú ý thời gian gần đây, chuyên tấn công tài khoản trực tuyến của các tập đoàn hoặc cá nhân có giá trị cao. Tháng trước, nhóm này cũng đã chiếm quyền truy cập thành công vào một loạt tài khoản của các đội bóng bầu dục nổi tiếng thuộc giải NFL. Trước đó, OurMine cũng đã không ít lần gây tiếng vang khi hack thành công vào tài khoản Twitter của nhà sáng lập Jack Dorsey, hay CEO Google Sundar Pichai.

Nguồn quantrimang.com

Khóa học Hacker Mũ Trắng – AEH

“Bốc hơi” 50 triệu vì nhấp vào link lạ

admin — Fri, 07 Feb 2020 06:57:30 +0000

Sau khi đăng nhập vào đường link lạ, tài khoản ngân hàng của bà Trang tại Eximbank đã bị chiếm đoạt 54 triệu đồng.

Bà Trang (quận 7, TP HCM) cho biết, lúc 16h22 ngày 1/2, bà đang lái xe thì có một khách hàng gọi điện qua Zalo xác nhận đặt 300 ba lô mà công ty bà đã chào giá trước đó. Khách nói đang ở Anh và trời gần tối, cần chuyển tiền để kịp lấy hàng và hỏi số tài khoản để chuyển 15 triệu đồng tiền cọc. Bà Trang cung cấp số tài khoản mở tại Ngân hàng Xuất nhập khẩu Việt Nam – Eximbank và số điện thoại di động để vị khách liên lạc.

Khoảng 2 phút sau, họ gửi cho bà một đường link (có địa chỉ http://westerunion-vn24h.herokuapp.com), một mã số yêu cầu xác nhận để chuyển đổi tiền từ USD qua VND. Bà Trang làm theo hướng dẫn và đăng nhập vào trang web (có giao diện giống của Eximbank) nhập user name và password và thấy tự động có mã OTP về máy.

Tin nhắn của kẻ gian gửi đường link

Theo khách hàng, chưa kịp đọc mã này thì đã có tin nhắn của ngân hàng báo bị rút 36 triệu đồng từ tài khoản mở tại Eximbank Phú Mỹ. Sau đó một phút, tài khoản mở tại Eximbank Thanh Đa cũng báo bị rút 18 triệu đồng. Bà gọi lại cho khách kia thì họ đã khóa máy.

Ngay lập tức bà gọi tổng đài Eximbank nhờ hỗ trợ, ngân hàng đã tạm thời khoá tài khoản nhưng tiền trong tài khoản cũng đã hết sạch.

Sáng 6/2, bà Trang có buổi làm việc với lãnh đạo Eximbank sau khi đã làm việc với một số bộ phận chức năng của ngân hàng này. Qua xác minh ban đầu, tài khoản của bà đã bị kẻ gian chiếm quyền sử dụng và chuyển tiền vào một tài khoản tên “Tran Ngoc Toan” mở tại Ngân hàng Đầu tư và Phát triển Việt Nam (BIDV).

Theo nhận định của Eximbank, khách hàng đã nhấp vào đường link giả do kẻ gian cung cấp khiến thông tin bị lộ, dẫn đến tài khoản bị mất tiền. Số tiền 54 triệu đồng được chuyển vào một tài khoản tại BIDV nên Eximbank không thể can thiệp khoá tài khoản này.

Nhà băng sẽ phối hợp với bên công an để nhờ điều tra xử lý vụ việc. Ngân hàng cũng tiếp tục làm việc để tìm hướng giải quyết thỏa đáng nhất.

Trước đó, vào đầu tháng 12/2019, chị Minh (Hà Nội) cũng từng bị kẻ gian lấy đi 11 triệu đồng tại tài khoản VPBank chỉ trong vòng 2 phút, sau khi đăng nhập một website giả do kẻ gian lừa thông báo trúng thưởng.

Ngoài ra, nhiều khách hàng khác gần đây cũng bị kẻ gian lừa chung một cách thức là dụ đăng nhập vào đường link giả và bị chiếm đoạt tiền trong tài khoản ngân hàng. Thủ đoạn phổ biến là nạn nhân sẽ nhận được thông điệp (thông qua tin nhắn, email, chat qua facebook messenger …) với nội dung nhận tiền gửi từ người thân ở nước ngoài, thông báo trúng thưởng hoặc phân chia tài sản kèm theo yêu cầu truy cập vào các đường link, trang web do kẻ lừa đảo cung cấp để có cơ sở nhận thưởng hoặc nhận tiền.

Trước tình trạng trên, các nhà băng liên tục khuyến cáo, người dùng cần lưu ý các điểm mấu chốt như: tuyệt đối không truy cập đường link trong các tin nhắn gửi tới từ số điện thoại không hiển thị thương hiệu ngân hàng.

Những đường link này có thể chứa virus hoặc là trang giả mạo. Nếu đã lỡ bấm vào link, tuyệt đối không đăng nhập tài khoản ngân hàng trên các link này, chỉ đăng nhập bằng cách tự nhập tên website ngân hàng hoặc vào các trang mà mình đã tự lưu trước đó.

Ngoài ra, các ngân hàng đề nghị khách hàng tuyệt đối giữ bí mật thông tin bảo mật ngân hàng điện tử E-Banking bao gồm tên đăng nhập, mật khẩu, mã mở khóa Smart OTP, không cung cấp cho bất kì ai, kể cả người tự xưng là công an, cơ quan điều tra, nhân viên ngân hàng,…

Đồng thời, để an toàn, người dùng không nên cài đặt các phầm mềm Crack, can thiệp vào thiết bị, hệ điều hành; không thực hiện giao dịch trên các thiết bị công cộng và không cung cấp thông tin, đưa thông tin giao dịch lên mạng, đặc biệt là những giao dịch bán hàng online, vì sẽ tạo điều kiện cho kẻ gian lừa đảo.

Nguồn vnexpress.net

Khóa học Hacker Mũ Trắng – AEH

Hack Google Maps chỉ với 99 smartphone

admin — Tue, 04 Feb 2020 03:05:36 +0000

Simon Weckert, một người dùng ở Đức, đã mở ứng dụng Google Maps trên 99 chiếc smartphone cũ, sau đó đặt tất cả lên một chiếc xe kéo. Ngay lập tức, đoạn đường được báo có tình trạng giao thông xấu, lưu lượng đông, di chuyển chậm.

Trò đùa này bắt nguồn từ cơ chế hoạt động của Google Maps. Hệ thống sẽ tự động cập nhật thông tin từ người dùng để xác định các khu vực có tình trạng giao thông khó khăn hoặc di chuyển chậm. Càng nhiều người dùng trong một khu vực thì giao thông có thể càng tệ hơn. Từ đó, Google Maps sẽ thay đổi màu sắc đường phố từ xanh sang cam hoặc đỏ. Điều này thường xảy ra khi đoạn đường có tai nạn giao thông hoặc công trình đang thi công.

Trò đùa của Simon có vẻ vô hại nhưng khiến cả hệ thống của Google Maps bị đánh lừa. Tài xế sử dụng ứng dụng cùng thời điểm sẽ nhận được một cảnh báo, tránh đi qua đoạn đường này. Một số người lo ngại lỗ hổng này của Google Maps có thể bị khai thác để phục vụ những mục đích xấu nếu không có biện pháp khắc phục.

Nguồn vnexpress.net

Khóa học Hacker Mũ Trắng – AEH

Thanh niên “hack” màn hình sân bay để chơi PS4

admin — Sun, 19 Jan 2020 09:01:12 +0000

Một thanh niên đã vô tư cắm chiếc PlayStation 4 vào màn hình thông tin tại sân bay để chơi game Apex Legends.

Sự việc hy hữu xảy ra tại sân bay quốc tế Portland (Mỹ) vào sáng ngày 16/1 (giờ địa phương). Theo KXL, một hành khách đang chờ chuyến đã lấy chiếc PS4 trong vali rồi cắm vào màn hình hiện sơ đồ sân bay để chơi game.

Ít lâu sau, nhân viên sân bay nhanh chóng đến nơi để kiểm tra màn hình bị “tấn công”. Khi được yêu cầu rút dây và ngừng sử dụng màn hình, anh chàng này còn lịch sự xin được chơi hết ván.

Thanh niên hack màn hình để chơi PS4

Tất nhiên yêu cầu của thanh niên không được chấp nhận vì rất nhiều hành khách cần xem màn hình thông tin. Sau một hồi thuyết phục, chàng trai vui vẻ chấp hành quy định, tắt máy ngừng chơi game mà không có ẩu đả.

Trả lời báo chí, Kama Simonds, đại diện cảng hàng không Portland cho biết đây là ví dụ về những hành động không được làm tại sân bay.

Từng có nhiều trường hợp hành khách làm chuyện ngớ ngẩn (vô tình và cố tình) tại sân bay. Tháng 8/2019, một hành khách tại sân bay Munich (Đức) đã ấn nhầm nút khẩn cấp khiến chuông báo động kích hoạt. Sự cố khiến sân bay rơi vào tình trạng hỗn loạn suốt 4 giờ, hơn 130 chuyến bay bị hủy gây ảnh hưởng đến 5.000 hành khách.

Tháng 6/2017, một bà cụ Trung Quốc đã khiến chuyến bay của hãng China Southern bị hoãn 5 tiếng vì… ném 9 đồng xu vào động cơ để cầu may. Tháng 3/2016, hành khách và phi hành đoàn trên một chuyến bay của hãng này đã hốt hoảng khi có người cố mở cửa thoát hiểm vì cho rằng đó là cửa nhà vệ sinh.

Cũng có một số trường hợp nói đùa không đúng chỗ. Tháng 4/2017, một phụ nữ 28 tuổi đã bị cấm bay do nói đùa với nhân viên an ninh rằng cô mang theo bom. Trước đó vào tháng 3/2016, một chuyến bay từ Kuala Lumpur (Malaysia) đi Banda Aceh (Indonesia) bị hoãn do tiếp viên nghe thấy hành khách nói từ “bom”, hóa ra là lời nói đùa bằng tiếng địa phương mang nghĩa “có thể có bom”.

Nguồn quantrimang.com

Khóa học Chuyên Viên Bảo Mật Mạng – ACST

Các nhà nghiên cứu trình diễn cách hack bất kỳ tài khoản TikTok nào bằng cách gửi tin nhắn SMS

admin — Thu, 09 Jan 2020 02:33:36 +0000

TikTok, ứng dụng được tải xuống nhiều thứ 3 trong năm 2019, đang bị kiểm tra gắt gao về quyền riêng tư của người dùng, kiểm duyệt nội dung gây tranh cãi về chính trị và trên cơ sở an ninh quốc gia, nhưng vẫn chưa hết, vì vấn đề bảo mật của hàng tỷ người dùng TikTok hiện đang bị nghi ngờ.

Ứng dụng chia sẻ video lan truyền nổi tiếng của Trung Quốc chứa các lỗ hổng nguy hiểm tiềm tàng có thể cho phép kẻ tấn công từ xa chiếm quyền điều khiển bất kỳ tài khoản người dùng nào chỉ bằng cách biết số điện thoại di động của các nạn nhân bị nhắm mục tiêu.

Trong một báo cáo được chia sẻ riêng với chúng tôi, các nhà nghiên cứu an ninh mạng tại Check Point tiết lộ rằng việc xâu chuỗi nhiều lỗ hổng cho phép họ thực thi mã độc từ xa và thực hiện các hành động không mong muốn thay cho nạn nhân mà không có sự đồng ý của họ.

Các lỗ hổng được báo cáo bao gồm các vấn đề nghiêm trọng thấp như giả mạo liên kết SMS, chuyển hướng mở và kịch bản chéo trang (XSS) mà khi kết hợp có thể cho phép kẻ tấn công từ xa thực hiện các cuộc tấn công tác động cao, bao gồm:

Xóa mọi video khỏi hồ sơ TikTok của nạn nhân.
Tải video trái phép lên hồ sơ TikTok của nạn nhân.
Đặt video “ẩn” riêng tư thành công khai.
Tiết lộ thông tin cá nhân được lưu trên tài khoản, như địa chỉ và email riêng tư.

Cuộc tấn công tận dụng một hệ thống SMS không an toàn mà TikTok cung cấp trên trang web của mình để cho phép người dùng gửi tin nhắn đến số điện thoại của họ bằng liên kết để tải xuống ứng dụng chia sẻ video.

Theo các nhà nghiên cứu, kẻ tấn công có thể gửi tin nhắn SMS đến bất kỳ số điện thoại nào thay mặt TikTok với URL tải xuống được sửa đổi đến một trang độc hại được thiết kế để thực thi mã trên thiết bị được nhắm mục tiêu với ứng dụng TikTok đã được cài đặt.

Khi được kết hợp với các sự cố chuyển hướng mở và kịch bản chéo trang, cuộc tấn công có thể cho phép tin tặc thực thi mã JavaScript thay cho nạn nhân ngay khi họ nhấp vào liên kết được gửi bởi máy chủ TikTok qua SMS, như được hiển thị trong phần Kiểm tra trình diễn video được chia sẻ với chúng tôi.

Kỹ thuật này thường được gọi là tấn công giả mạo yêu cầu chéo trang, trong đó những kẻ tấn công lừa người dùng xác thực để thực hiện một hành động không mong muốn.

“Với việc thiếu cơ chế giả mạo yêu cầu chống trang web chéo, chúng tôi nhận ra rằng chúng tôi có thể thực thi mã JavaScript và thực hiện các hành động thay cho nạn nhân, mà không cần sự đồng ý của anh ấy”, các nhà nghiên cứu cho biết trong một bài đăng trên blog hôm nay.

“Chuyển hướng người dùng đến một trang web độc hại sẽ thực thi mã JavaScript và thực hiện các yêu cầu tới Tiktok bằng cookie của nạn nhân.”

Check Point có trách nhiệm báo cáo các lỗ hổng này cho ByteDance, nhà phát triển TikTok, vào cuối tháng 11 năm 2019, người sau đó đã phát hành một phiên bản vá của ứng dụng di động trong vòng một tháng để bảo vệ người dùng khỏi tin tặc.

Nếu bạn không chạy phiên bản TikTok mới nhất có sẵn trên các cửa hàng ứng dụng chính thức cho Android và iOS, bạn nên cập nhật nó càng sớm càng tốt.

Nguồn The Hacker News

Khóa học Hacker Mũ Trắng – AEH

3 Ứng dụng Google Play khai thác Android Zero-Day được sử dụng bởi NSO Group

admin — Wed, 08 Jan 2020 03:08:50 +0000

Cẩn thận! Nếu bạn có bất kỳ trình quản lý tệp và ứng dụng chụp ảnh nào được đề cập dưới đây được cài đặt trên điện thoại Android của bạn ngay cả khi được tải xuống từ Google Store chính thức, bạn đã bị hack và bị theo dõi.

Các ứng dụng Android độc hại mới được phát hiện là Camero, FileCrypt và callCam được cho là có liên quan đến Sidewinder APT, một nhóm hack tinh vi chuyên tấn công gián điệp mạng.

Theo các nhà nghiên cứu về an ninh mạng tại Trend Micro, các ứng dụng này đã khai thác lỗ hổng nghiêm trọng sau khi sử dụng miễn phí trong Android ít nhất là từ tháng 3 năm ngoái. Đó là 7 tháng trước khi lỗ hổng tương tự được phát hiện lần đầu tiên là zero-day khi nhà nghiên cứu Google phân tích riêng biệt cuộc tấn công được phát triển bởi nhà cung cấp giám sát NSO của Israel.

“Chúng tôi suy đoán rằng các ứng dụng này đã hoạt động kể từ tháng 3 năm 2019 dựa trên thông tin chứng chỉ trên một trong các ứng dụng”, các nhà nghiên cứu cho biết.

Được theo dõi là CVE-2019-2215, lỗ hổng là vấn đề leo thang đặc quyền cục bộ cho phép thỏa hiệp gốc của thiết bị dễ bị tổn thương và cũng có thể bị khai thác từ xa khi kết hợp với lỗ hổng kết xuất trình duyệt riêng.

Phần mềm gián điệp này bí mật root điện thoại Android của bạn

Theo Trend Micro, FileCrypt Manager và Camero đóng vai trò là người thả và kết nối với một máy chủ chỉ huy và điều khiển từ xa để tải xuống tệp DEX, sau đó tải xuống ứng dụng callCam và cố gắng cài đặt nó bằng cách khai thác các lỗ hổng leo thang đặc quyền hoặc lạm dụng tính năng trợ năng.

Các nhà nghiên cứu cho biết: “Tất cả những điều này được thực hiện mà không có sự nhận biết hoặc can thiệp của người dùng. Để tránh bị phát hiện, nó sử dụng nhiều kỹ thuật như che giấu, mã hóa dữ liệu và gọi mã động”.

Sau khi cài đặt, CallCam ẩn biểu tượng của nó khỏi menu, thu thập thông tin sau từ thiết bị bị xâm nhập và gửi lại cho máy chủ C&C của kẻ tấn công trong nền:

Vị trí
Trạng thái pin
Tập tin trên thiết bị
Danh sách ứng dụng đã cài đặt
Thông tin thiết bị
Thông tin cảm biến
Thông tin camera
Ảnh chụp màn hình
Tài khoản
Thông tin wifi
Dữ liệu từ WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail và Chrome.

Bên cạnh CVE-2019-2215, các ứng dụng độc hại cũng cố gắng khai thác một lỗ hổng riêng biệt trong trình điều khiển MediaTek-SU để có được quyền root và kiên trì trên một loạt các thiết bị cầm tay Android.

Dựa trên sự chồng chéo về vị trí của các máy chủ chỉ huy và kiểm soát, các nhà nghiên cứu đã quy kết chiến dịch cho SideWinder, được cho là một nhóm gián điệp Ấn Độ nhắm vào các tổ chức lịch sử liên kết với Quân đội Pakistan.

Cách bảo vệ điện thoại Android khỏi phần mềm độc hại

Google hiện đã xóa tất cả các ứng dụng độc hại nêu trên khỏi Play Store, nhưng vì các hệ thống của Google không đủ để ngăn chặn các ứng dụng xấu ra khỏi cửa hàng chính thức, bạn phải rất cẩn thận trong việc tải xuống ứng dụng.

Để kiểm tra xem thiết bị của bạn có bị nhiễm phần mềm độc hại này hay không, hãy truy cập cài đặt hệ thống Android → Trình quản lý ứng dụng, tìm tên gói được liệt kê và gỡ cài đặt.

Để bảo vệ thiết bị của bạn trước hầu hết các mối đe dọa trên mạng, bạn nên thực hiện các biện pháp phòng ngừa đơn giản nhưng hiệu quả như:

Giữ cho các thiết bị và ứng dụng được cập nhật.
Tránh tải xuống ứng dụng từ các nguồn không quen thuộc.
Luôn chú ý đến các quyền mà ứng dụng yêu cầu.
Thường xuyên sao lưu dữ liệu.
Cài đặt ứng dụng chống vi-rút tốt bảo vệ chống lại phần mềm độc hại này và các mối đe dọa tương tự.

Để ngăn mình khỏi bị nhắm mục tiêu bởi các ứng dụng như vậy, hãy luôn cẩn thận với các ứng dụng tanh, ngay cả khi tải xuống từ Google Play Store và chỉ cố gắng bám vào các thương hiệu đáng tin cậy. Ngoài ra, luôn luôn xem xét các đánh giá ứng dụng do những người dùng khác đã tải xuống ứng dụng để lại và cũng xác minh các quyền của ứng dụng trước khi cài đặt bất kỳ ứng dụng nào và chỉ cấp các quyền đó có liên quan cho mục đích của ứng dụng.

Nguồn The Hacker News

Khóa học Chuyên Gia An Ninh Mạng – AN2S

Làm thế nào các tổ chức có thể bảo vệ chống lại các mối đe dọa liên tục nâng cao

admin — Thu, 26 Dec 2019 03:17:16 +0000

Các mối đe dọa dai dẳng (APT) đã nổi lên là mối quan tâm chính đáng cho tất cả các tổ chức. APT là các tác nhân đe dọa vi phạm mạng lưới và cơ sở hạ tầng và lén lút ẩn nấp trong chúng trong khoảng thời gian dài.

Họ thường thực hiện các vụ hack phức tạp cho phép họ đánh cắp hoặc phá hủy dữ liệu và tài nguyên.

Theo Acckey, các APT đã tự tổ chức thành các nhóm cho phép họ chia sẻ các chiến thuật và công cụ để thực hiện các cuộc tấn công ở quy mô. Chẳng hạn, nhóm Silence APT của Nga đã được báo cáo là đang tích cực nhắm mục tiêu vào các tổ chức tài chính và đã đánh cắp thành công hàng triệu đô la từ các ngân hàng khác nhau trên toàn thế giới. Các tổ chức nhỏ hơn cũng cần cảnh giác với các mối đe dọa như vậy.

Các nhóm APT cũng sử dụng các công cụ và botnet tự động để có quyền truy cập vào mạng và các chiến thuật này không phân biệt đối xử dựa trên kích thước, ngành hoặc giá trị. Bất kỳ cơ sở hạ tầng dễ bị tổn thương có thể bị vi phạm. Điều quan trọng bây giờ là tất cả các tổ chức phải hiểu cách APT hoạt động và thực hiện các biện pháp bảo mật cần thiết để giảm thiểu chúng như các mối đe dọa.

Dấu hiệu cho thấy một APT có thể đang rình rập

Các APT hoạt động ngầm, vì vậy các tổ chức thậm chí có thể không nhận ra rằng họ đã bị vi phạm cho đến khi một cái gì đó thực sự trở nên tồi tệ. Chẳng hạn, Hệ thống InfoTrax chỉ có thể phát hiện vi phạm lâu năm sau khi lưu trữ tối đa của máy chủ.

Các đội CNTT phải xem xét các dấu hiệu cho thấy một APT có thể đang ẩn nấp trong mạng. Một vài dấu hiệu khác biệt bao gồm:

Excessive Logins (Đăng nhập quá mức) – APT thường dựa vào thông tin truy cập bị xâm phạm để có quyền truy cập thường xuyên vào mạng. Họ có thể sử dụng vũ lực bằng cách sử dụng tên đăng nhập và mật khẩu đăng nhập hoặc thông tin xác thực hợp pháp bị đánh cắp từ các cuộc tấn công lừa đảo và kỹ thuật xã hội. Các hoạt động đăng nhập quá mức hoặc đáng ngờ, đặc biệt là trong giờ lẻ, thường được quy cho các APT.

Explotion of Malware (Sự bùng nổ của phần mềm độc hại) – APT cũng sử dụng nhiều phần mềm độc hại khác nhau để thực hiện hack. Vì vậy, nếu các công cụ chống vi-rút thường phát hiện và loại bỏ phần mềm độc hại, có thể APT liên tục cấy trojan và các công cụ truy cập từ xa vào mạng.

Increase Usage of Computer Resources (Việc sử dụng tài nguyên máy tính ngày càng tăng) – Những tác nhân đe dọa này cũng sẽ phải sử dụng tài nguyên điện toán của mạng để thực hiện các vụ hack. Phần mềm độc hại hoạt động sẽ sử dụng sức mạnh tính toán và bộ nhớ trong các điểm cuối. Tin tặc cũng có thể tạm thời lưu trữ dữ liệu bị đánh cắp trong các máy chủ. Việc thực hiện khối lượng lớn dữ liệu cũng sẽ hiển thị dưới dạng lưu lượng truy cập đi quá mức.

Giám sát nâng cao

Việc phát hiện những dấu hiệu này không đơn giản, vì vậy các đội CNTT phải tích cực tìm kiếm những dấu hiệu này. May mắn thay, các giải pháp bảo mật hiện đại hiện cung cấp các khả năng cho phép các nhóm CNTT giám sát sự hiện diện của APT tiềm năng và các hoạt động của họ.

Log Analysis (Phân tích nhật ký) – Nhật ký có thể hiển thị chính xác các hoạt động, sự kiện và tác vụ khác nhau đã xảy ra trong các thiết bị, hệ thống và ứng dụng. Tuy nhiên, đi qua các bản ghi, thường ở định dạng văn bản thuần túy không được định dạng, có thể tẻ nhạt. Để giúp các nhóm CNTT sắp xếp thông tin, các công cụ phân tích nhật ký nâng cao hiện có các thuật toán có thể tìm kiếm các mẫu trên tất cả các thành phần cơ sở hạ tầng CNTT.

Chẳng hạn, giải pháp quản lý và phân tích nhật ký XpoLog có thể hợp nhất tất cả các bản ghi trên các thành phần cơ sở hạ tầng khác nhau. Xpolog có thể tự động phân tích cú pháp và gắn thẻ thông tin có trong các tệp nhật ký này. Sử dụng trí tuệ nhân tạo (AI), Xpolog sau đó có thể xác định các mô hình dị thường và tạo ra những hiểu biết, bao gồm cả những biểu hiện cho mối quan tâm bảo mật.

Thông tin như sử dụng băng thông, phiên đăng nhập, phân phối địa lý lưu lượng mạng, tất cả đều có thể được sử dụng để tiết lộ sự hiện diện của các mối đe dọa. Tất cả các dữ liệu thậm chí có thể được trực quan hóa để trình bày và xem xét dễ dàng hơn.

Thông qua những phát hiện này, nền tảng có thể dễ dàng cảnh báo các nhóm CNTT về các cuộc tấn công APT tiềm năng để có thể thực hiện hành động ngay lập tức.

Breach And Attack Simulations (Mô phỏng vi phạm và tấn công) – Các nền tảng mô phỏng vi phạm và tấn công (BAS) có thể chạy các thử nghiệm thông thường bắt chước các cuộc tấn công mạng thực tế để kiểm tra xem các biện pháp bảo mật có hoạt động như dự định hay không. Chúng phục vụ như là lựa chọn thay thế cho thử nghiệm thâm nhập truyền thống, là thách thức để thực hiện trên cơ sở thường xuyên.

Ví dụ, nền tảng BAS Cymulation cung cấp nhiều loại thử nghiệm bao gồm các vectơ tấn công tiềm năng cho cơ sở hạ tầng. Nó có thể kiểm tra các cổng web và tường lửa ứng dụng web để tìm lỗ hổng. Nó cũng có thể triển khai phần mềm độc hại giả vào các điểm cuối để kiểm tra xem phần mềm chống phần mềm độc hại hoặc phần mềm chống vi-rút có thể phát hiện các tệp và quy trình độc hại hay không. Nó cũng có các mô phỏng tấn công lừa đảo có thể xác định người dùng nào dễ bị tấn công kỹ thuật xã hội.

Cymulation cho phép chạy thử nghiệm theo lịch trình và thường xuyên để xem liệu các công cụ và biện pháp bảo mật được triển khai của một tổ chức có hoạt động như dự định hay không. Các APT tắt các giải pháp bảo mật như chống vi-rút và tường lửa, vì vậy các kiểm tra thường xuyên sẽ dễ dàng chỉ ra liệu có thứ gì đó đang can thiệp vào các giải pháp này hay không.

Phòng thủ phải được cải thiện

Giám sát và phát hiện sớm là chìa khóa để giữ vành đai phòng thủ an toàn. Các tổ chức phải tích hợp những nỗ lực này như là một phần của chiến lược bảo mật rộng lớn hơn.

Increase Vigilance (Tăng cường cảnh giác) – Phân tích tích cực nhật ký và thực hiện các bài kiểm tra định kỳ về các biện pháp bảo mật có thể thông báo cho các nhóm CNTT về sự hiện diện tiềm năng của APT, cho phép họ xử lý các mối đe dọa này ngay lập tức.

Adopt Enterprise-Grade Security (Áp dụng bảo mật cấp doanh nghiệp) – Các tổ chức cũng phải sử dụng các giải pháp bảo mật có khả năng. Phần mềm độc hại được sử dụng bởi các APT có thể có mã đa hình cho phép chúng trốn tránh các giải pháp chống phần mềm độc hại miễn phí hoặc rẻ tiền phổ biến.

Keep Systems and Apps Updated (Luôn cập nhật hệ thống và ứng dụng) – APT khai thác lỗ hổng của thiết bị và hệ thống cho nhiều chiến thuật của chúng. Các nhà phát triển thường xuyên phát hành các bản vá và sửa lỗi để đảm bảo rằng các lỗ hổng nghiêm trọng được giải quyết.

Các tổ chức phải đảm bảo rằng những cập nhật này nhanh chóng được áp dụng khi chúng có sẵn.

Train people (Huấn luyện người) – APT cũng có thể cố gắng khai thác điểm yếu của con người thông qua các cuộc tấn công kỹ thuật xã hội. Các tổ chức phải đào tạo nhân viên về các thực tiễn bảo mật tốt nhất, bao gồm xác định chính xác email và các nỗ lực lừa đảo, sử dụng cụm mật khẩu mạnh và tránh sử dụng lại mật khẩu.

Bảo mật là một khoản đầu tư

Các tổ chức phải nhận ra rằng bảo mật là một khoản đầu tư quan trọng khi hoạt động trong môi trường ngày nay. APT có thể gây ra thiệt hại không thể khắc phục cho các công ty. Nạn nhân của một cuộc tấn công có thể gây ra thời gian chết, mất doanh nghiệp và làm xói mòn lòng tin của khách hàng.

Vi phạm bảo mật trung bình được ước tính bởi các tổ chức của IBM trị giá 3,92 triệu đô la. Do đó, điều quan trọng đối với các công ty là áp dụng các biện pháp bảo mật có khả năng phát hiện và giảm thiểu các mối đe dọa đó trước khi chúng có thể gây ra bất kỳ thiệt hại đáng kể nào. Như vậy, các tổ chức hiện phải sẵn sàng chuyển nhiều tài nguyên hơn để tăng cường bảo mật.

Nguồn The Hacker News

Khóa học Hacker Mũ Trắng – AEH

Europol ngừng hoạt động RAT ‘Imminent Monitor’ với 13 vụ bắt giữ

admin — Mon, 09 Dec 2019 02:54:44 +0000

Trong một hoạt động thực thi pháp luật quốc tế phối hợp, Europol hôm nay tuyên bố đóng cửa mạng lưới tội phạm mạng có tổ chức toàn cầu đằng sau Imminent Monitor RAT, một công cụ hack khác cho phép tội phạm mạng kiểm soát hoàn toàn máy tính của nạn nhân từ xa.

Hoạt động này nhắm đến cả người mua và người bán IM-RAT (Trojan truy cập theo dõi từ xa), được bán cho hơn 7.500 người mua và được sử dụng để chống lại hàng chục ngàn nạn nhân trên khắp 124 quốc gia.

Cơ sở hạ tầng và trang web bán trước của Imminent Monitor cũng đã bị thu giữ như một phần của hoạt động này, khiến cho Trojan không thể sử dụng được cho những người đã mua nó, cũng như không có sẵn cho người dùng mới.

Được quảng bá như một khung quản trị từ xa hợp pháp, công cụ hack được sử dụng rộng rãi để truy cập trái phép vào máy tính của người dùng mục tiêu và đánh cắp thông tin đăng nhập của họ cho ngân hàng trực tuyến và các tài khoản tài chính khác.

Theo thông cáo báo chí của Europol, các nhà chức trách cũng đã thực hiện lệnh khám xét vào tháng 6 năm nay đối với nhà phát triển và một nhân viên của IM-RAT ở Úc và Bỉ, có khả năng nhằm xác định người bán lại và người sử dụng công cụ này.

Hơn nữa, 13 trong số những khách hàng thân thiết nhất của IM-RAT cũng bị bắt tại Úc, Colombia, Séc, Hà Lan, Ba Lan, Tây Ban Nha, Thụy Điển và Vương quốc Anh.

Các quan chức thực thi pháp luật cũng đã thu giữ hơn 430 thiết bị từ khách hàng và tiếp tục phân tích pháp y về một số lượng lớn máy tính và thiết bị CNTT.

Sau khi được cài đặt, IM-RAT cung cấp cho kẻ tấn công toàn quyền kiểm soát máy tính của nạn nhân, cho phép chúng thực hiện các hành động độc hại khác nhau, được liệt kê bên dưới mà không cần biết về nạn nhân:

Tổ hợp phím ghi âm.
Đánh cắp dữ liệu và mật khẩu từ các trình duyệt.
Gián điệp nạn nhân thông qua webcam của họ.
Tải xuống / thực thi các tập tin.
Vô hiệu hóa phần mềm chống vi-rút và chống phần mềm độc hại.
Chấm dứt các quá trình đang chạy.
Và thực hiện hàng tá hành động khác.

IM-RAT được coi là một mối đe dọa nguy hiểm do các tính năng của nó, dễ sử dụng và chi phí thấp chỉ với $ 25 khi truy cập trọn đời.

“Chúng ta hiện đang sống trong một thế giới, chỉ với 25 đô la Mỹ, một nửa mạng xã hội trên toàn thế giới có thể, chỉ bằng một cú nhấp chuột, truy cập thông tin cá nhân hoặc hình ảnh của những người thân yêu hoặc thậm chí là theo dõi bạn”, Steven Wilson nói. Người đứng đầu Trung tâm tội phạm mạng châu Âu của Europol (EC3).

“Hợp tác thực thi pháp luật toàn cầu mà chúng tôi đã thấy trong trường hợp này là không thể thiếu để giải quyết các nhóm tội phạm phát triển các công cụ như vậy. Điều quan trọng cần nhớ là một số bước cơ bản có thể ngăn bạn trở thành nạn nhân của phần mềm gián điệp đó: chúng tôi tiếp tục thúc giục công chúng đảm bảo hệ điều hành và phần mềm bảo mật của họ được cập nhật.

Cơ quan thực thi pháp luật tin rằng số nạn nhân IM-RAT rơi vào hàng chục nghìn người, với “các nhà điều tra đã xác định được bằng chứng về các chi tiết cá nhân bị đánh cắp, mật khẩu, hình ảnh riêng tư, đoạn phim và dữ liệu”.

Trong một hoạt động chung tương tự của các cơ quan thực thi pháp luật quốc tế, mạng lưới tội phạm mạng của một Trojan truy cập từ xa khác, được gọi là Luminosity Link, cũng đã bị dỡ bỏ hai năm trước.

Trong trường hợp Luminosity Link, một nhà phát triển công cụ 21 tuổi đã bị bắt và bị kết án 30 tháng tù vì vai trò truy cập trái phép vào máy tính, rửa tiền và xóa tài sản bất hợp pháp để ngăn chặn việc bắt giữ hợp pháp.

Để tránh trở thành nạn nhân của các mối đe dọa như vậy, người dùng và tổ chức cá nhân được khuyến nghị tuân theo một số biện pháp cần thiết, chẳng hạn như giữ cho tất cả phần mềm của bạn được cập nhật, định cấu hình tường lửa chính xác, tránh mở các tệp đính kèm hoặc URL đáng ngờ và luôn sử dụng mạnh mẽ, mật khẩu duy nhất cho các tài khoản trực tuyến khác nhau.

Nguồn The Hacker News

Lỗ hổng mới trong PHP khiến các web chạy máy chủ NGINX bị hack

admin — Tue, 29 Oct 2019 03:35:49 +0000

Nếu người dùng đang chạy bất kỳ website nào sử dụng nền tảng PHP trên máy chủ NGINX và có bật tính năng PHP-FPM nhằm mang lại hiệu suất tốt hơn thì hãy cẩn thận với một lỗ hổng được tiết lộ gần đây có thể khiến tin tặc tấn công máy chủ website từ xa.

Lỗ hổng được định danh CVE-2019-11043 ảnh hưởng đến các wesbite có cấu hình PHP-FPM nhất định không hiếm gặp trên thực tế và có thể dễ dàng bị khai thác vì mã khai thác (PoC) cho lỗ hổng này đã được công bố công khai.

PHP-FPM là viết tắt của FastCGI Process Manager cung cấp các tính năng giúp tối ưu quá trình xử lý thông tin nhằm tăng tốc độ các website viết bằng ngôn ngữ lập trình PHP.

Lỗ hổng chính nằm ở biến env_path_info trong module PHP-FPM, biến đó khi bị tràn số sẽ có thể khai thác và cho phép kẻ tấn công thực thi lệnh từ xa trên máy chủ web.

Những website nào tiềm ẩn nguy cơ bị khai thác từ lỗ hổng trên?

Qua mã khai thác được công bố, việc khai thác này nhằm vào các máy chủ chạy các phiên bản PHP 7+, lỗi underflow PHP-FPM cũng ảnh hưởng đến các phiên bản PHP trở về trước.

Cụ thể, một website có thể dính lỗ hổng này, nếu:

NGINX được cấu hình đề chuyển tiếp yêu cầu của các trang PHP đến PHP-EPM xử lý
fastcgi_split_path_info directive tồn tại trong cấu hình và bao gồm một biểu thức chính quy bắt đầu bằng ký tự ‘^’ và kết thúc bằng ký tự ‘$’
Biến PATH_INFO được định nghĩa với fastcgi_param directive
Không có kiểm tra như ‘try_files $uri =404’ hoặc if (-f $uri) nhằm xác định liệu một file có tồn tại không

Ví dụ:

Lỗ hổng thực thi code trên PHP FPM hoạt động như thế nào?

Theo các nhà nghiên cứu, biểu thức chính quy trong ‘fastcgi_split_path_info’ directive có thể bị phá vỡ bằng bằng cách sử dụng ký tự tạo dòng mới (newline character) %0a. Biểu thức chính quy bị phá vỡ dẫn đến PATH_INFO rỗng, gây ra lỗi.

Đoạn sau trong mã nguồn, giá trị path_info[0] được đặt thành 0, sau đó FCGI_PUTENV được gọi. Sử dụng một URL với đường dẫn và chuỗi truy vấn có độ dài được lựa chọn cẩn thận, kẻ tấn công có thể làm cho path_info trỏ chính xác đến byte đầu tiên của _fcgi_data_seg structure. Đặt 0 vào nó di chuyển trường ‘char* pos’ về sau, và tiếp theo FCGI_PUTENV ghi đè một số dữ liệu (bao gồm các biến fast cgi khác) với đường dẫn của script. Sử dụng kỹ thuật này nhà nghiên cứu có thể tạo một biến fcgi PHP_VALUE giả và sau đó sử dụng một chuỗi các giá trị cấu hình được lựa chọn cẩn thận để thực thi code.

Bản cập nhật PHP 7 đã được phát hành để vá lỗ hổng FPMDanh sách các điều kiện tiên quyết để khai thác lỗ hổng thành công như đã đề cập ở trên không phải là hiếm bởi các cấu hình có lỗ hổng được một số nhà cung cấp máy chủ web sử dụng và sẵn có trên mạng là một phần trong nhiều hướng dẫn về PHP FPM.Một trong những nhà cung cấp dịch vụ máy chủ web là Nextcloud, đã phát đi cảnh báo người dùng các cấu hình Nextcloud NGINX mặc định cũng có thể bị tấn công và khuyến cáo quản trị hệ thống cập nhật bản vá ngay lập tức.

Vì mã khai thác lỗ hổng này được công bố và bản vá chỉ mới được phát hành gần đây nên những kẻ tấn công có thể bắt đầu quét mạng nhằm tìm kiếm các wesbite dính lỗ hổng.

Người dùng được khuyến cáo ngay lập tức cập nhật lên phiên bản PHP 7.3.11 và PHP 7.2.24 mới nhất kể cả khi không sử dụng cấu hình có lỗ hổng.

Nguồn whitehat.vn