(binhthuan.gov.vn) Trong quá trình giám sát an toàn thông tin trên không gian mạng, Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), thuộc Cục An toàn thông tin, Bộ Thông tin và Truyền thông, đã phát hiện và ghi nhận các thông tin liên quan đến chiến dịch tấn công mạng được thực hiện bởi nhóm tấn công APT MirrorFace. Mục tiêu của nhóm MirrorFace là các tổ chức chính trị, các viện nghiên cứu, nhà sản xuất.

Chiến dịch tấn công trên không gian mạng của nhóm tấn công MirrorFace nhằm vào các tổ chức tài chính, viện nghiện cứu và nhà sản xuất. Nhóm đã thực hiện khai thác các lỗ hổng an toàn thông tin trên sản phẩm Array AG và FortiGate nhằm phát tán mã độc NOOPDOOR.

Mã độc NOOPDOOR là một shellcode được gài vào ứng dụng hợp pháp trên hệ thống và có hai biến thể dưới dạng file .XML và .DLL. Cả hai biến thể này chỉ khác về bước xâm nhập và giống nhau về chức năng, cho phép nhóm MirrorFace thiết lập kết nối thông qua cổng 443, cổng 47000 để tải xuống file, thực thi câu lệnh,…

Sau khi phát tán mã độc trong chiến dịch tấn công, nhóm này thực hiện các hành trái phép như: truy cập vào nơi lưu trữ thông tin xác thực của hệ thống mạng, phát tán mã độc tới các thiết bị khác trong mạng cục bộ; thực hiện các hành vi theo dõi, trích xuất thông tin người dùng. Ngoài ra, MirrorFace còn sử dụng công cụ GO Simple Tunnel trong chiến dịch.

Để tránh bị phát hiện, nhóm đối tượng đã khai thác MSBuild để thực thi file .XML chứa mã độc; ghi đè dữ liệu độc hại lên registry của file; chỉnh sửa timestamp; thêm luật vào tường lửa hệ thống để cho phép mã độc được kết nối tới các cổng nhất định; ẩn đi các dịch vụ được kích hoạt; xóa đi ghi chép của Windows Event; xóa file mã độc sau khi khai thác. Chiến dịch sử dụng kỹ thuật DLL side-loading và khai thác MSBuild để thực thi mã độc trên hệ thống.

Nhằm đảm bảo an toàn thông tin cho hệ thống thông tin của các cơ quan, đơn vị, địa phương (gọi tắt là đơn vị). Sở Thông tin và Truyền thông đề nghị các đơn vị quan tâm triển khai thực hiện:

1. Kiểm tra, rà soát hệ thống thông tin đang sử dụng có khả năng bị ảnh hưởng bởi chiến dịch tấn công trên; đồng thời cập nhật các IoC được ghi nhận tại Phụ lục kèm theo vào các giải pháp, thiết bị bảo mật của hệ thống thông tin của đơn vị để phát hiện và ngăn chặn, xử lý kịp thời các dấu hiệu tấn công.

2. Tăng cường giám sát và sẵn sàng phương án xử lý khi phát hiện có dấu hiệu bị khai thác, tấn công mạng; đồng thời thường xuyên theo dõi kênh cảnh báo của các cơ quan chức năng và các tổ chức lớn về an toàn thông tin để phát hiện kịp thời các nguy cơ tấn công mạng.

3. Báo cáo ngay khi phát hiện dấu hiệu tấn công để được hỗ trợ, xử lý kịp thời theo đầu mối: Ông Lê Duy An - Trung tâm Công nghệ thông tin và Truyền thông Bình Thuận; điện thoại: 0252.3750.293; thư điện tử: anld@itc.binhthuan.gov.vn./.

Hữu Tri