Theo ghi nhận từ phần mềm Trend Micro, các tác nhân độc hại đã sử dụng kết hợp các khai thác hiện tại và các chức năng hợp pháp của Windows để tạo ra một hệ thống backdoor đáng tin cậy và tinh vi.
Các nhà nghiên cứu đã quan sát thấy ít nhất 5 lần email xảy ra từ ngày 23 tháng 6 đến ngày 27 tháng 7 năm nay. Mỗi lần chạy gửi nhiều email cho mỗi mục tiêu, sử dụng các email khác nhau cho mỗi lần chạy và cho từng mục tiêu.
Quá trình nhiễm độc bắt đầu bằng email xuất hiện từ phòng bán hàng hoặc các bộ phận thanh toán với các chủ đề như “Các quy tắc để kết nối với gateway” hoặc “Thanh toán các nghĩa vụ của tiểu bang”. Các email này có chứa tài liệu đính kèm .doc hợp pháp. Tệp tin định dạng văn bản đa phương tiện (RTF) có khai thác được biết đến có khai thác CVE-2017-0199, một phần của giao diện liên kết và đối chiếu đối tượng Windows OLE của Microsoft Office nên rất được tin tưởng.
Sự khai thác này cho phép nhân viên tải xuống bảng tính Excel giả mạo có bản chất thực sự là một ứng dụng HTML được nhúng với JavaScript độc hại. Sau đó, hai tập lệnh PowerShell và một tệp DLL được kích hoạt chạy. Tệp này sau đó thả một tệp khác trong thư mục% AppData% có đuôi .txt, nhưng thực sự là một tệp JavaScript.
Tệp mới đã sử dụng Regsvr32 để bỏ qua các hạn chế về việc chạy các tập lệnh. Cuối cùng, một tệp XML khác đã được tải xuống để làm backdoor chính.
Giữ an toàn từ email độc hại
Mặc dù các chức năng cuối của chiến dịch backdoor này rất khó phát hiện, hầu hết các cuộc tấn công lừa đảo đều bắt đầu theo cùng một cách: email độc hại.
Đối với nhiều doanh nghiệp, bảo mật email vốn không cần thiết. Tuy nhiên, theo CNN, đã có rất nhiều email đánh lừa nhiều nhân viên của chính phủ Hoa Kỳ. Mặc dù không có bí mật nhà nước bị lộ, nhưng rõ ràng có thể thấy các email độc hại dễ dàng đánh lừa được các nhân viên cấp cao nhất.
Vậy làm thế nào các công ty có thể cảnh báo nhân viên không bao giờ mở tệp đính kèm chưa được chắc chắn?
Các công ty nên liệt kê các trình thông dịch lệnh đặc biệt hoặc các ứng dụng ít khi được sử dụng cho nhân viên. Đó cũng là một ý tưởng tốt để đảm bảo rằng nhân viên chỉ có các đặc quyền mạng mà họ cần cho công việc hàng ngày.
Công ty cũng nên theo dõi nhân viên bằng cách thực thi quản lý vá lỗi nghiêm ngặt cho Microsoft Office và tắt tự động chạy macro.doc. Trend Micro lưu ý rằng, điều này “có thể ảnh hưởng đến các chức năng hệ thống hợp pháp” nhưng hiệu suất bị tấn công sẽ giảm nhẹ trước tình trạng backdoor liên tục.
Các email độc hại đang làm xôn xao các doanh nghiệp Nga. Việc đào tạo nhân viên thận trọng, và thực hiện các bước để hạn chế quyền truy cập ứng dụng và mạng là điều cần thiết nhất.
Như Quỳnh (theo Trend Micro)
Thực hiện đào tạo liên tục về an toàn thông tin
Tổ chức nên tiến hành đào tạo định kỳ cho nhân viên về các mối đe dọa bảo mật. Điều này không chỉ giúp họ nhận biết được dấu hiệu của các email độc hại mà còn trang bị cho họ kiến thức cần thiết để phản ứng kịp thời khi gặp sự cố. Các chương trình đào tạo có thể bao gồm các kịch bản giả lập tấn công để thực hành nhận diện và xử lý.
Giám sát và phát hiện xâm nhập (IDS)
Các công ty cần triển khai các hệ thống phát hiện và giám sát xâm nhập để nhanh chóng phát hiện các hoạt động bất thường diễn ra trong mạng lưới của họ. Những hệ thống này có thể cung cấp cảnh báo ngay lập tức khi phát hiện các hành vi đáng ngờ, từ đó giảm thiểu tác động của các cuộc tấn công.
Cập nhật phần mềm thường xuyên
Khi các lỗ hổng bảo mật mới được phát hiện, việc cập nhật phần mềm một cách thường xuyên sẽ giúp loại bỏ các cơ hội mà tin tặc có thể lợi dụng để xâm nhập. Đặc biệt, các bản vá bảo mật cho hệ điều hành và ứng dụng văn phòng cần được triển khai ngay lập tức nhằm bảo vệ hệ thống khỏi các cuộc tấn công.
Kiểm soát quyền truy cập người dùng
Các công ty nên áp dụng mô hình phân quyền người dùng (least privilege principle), tức là chỉ cấp quyền cho nhân viên những gì họ thực sự cần thiết cho công việc của mình. Giảm số lượng người có quyền truy cập vào các hệ thống nhạy cảm sẽ hạn chế khả năng của tin tặc trong việc khai thác lỗ hổng.
Thực hiện kế hoạch hồi phục
Mỗi tổ chức nên có một kế hoạch hồi phục khi gặp sự cố an ninh thông tin. Kế hoạch này bao gồm quy trình khôi phục hệ thống, sao lưu dữ liệu và bảo đảm rằng thông tin nhạy cảm được bảo vệ sau sự cố. Điều này không chỉ giúp tổ chức nhanh chóng lấy lại hoạt động bình thường mà còn giảm thiểu thiệt hại do các cuộc tấn công gây ra.