- Nhóm Phân tích Mối đe dọa (TAG) của Google gần đây đã xác nhận có các cuộc tấn công nhắm vào các nhà nghiên cứu bảo mật, trong đó có khai thác lỗ hổng zero-day.
- Lỗ hổng zero-day đã được báo cáo cho nhà cung cấp liên quan và bản vá đang được triển khai.
- Các tác nhân tấn công từ Triều Tiên đã tích cực trò chuyện với mục tiêu thông qua mạng xã hội như Twitter để xây dựng quan hệ.
- Trên thực tế, họ đã trò chuyện trong nhiều tháng với một nhà nghiên cứu bảo mật về các chủ đề cùng quan tâm và tạo dựng lòng tin.
- Sau đó, họ chuyển sang ứng dụng nhắn tin mã hóa và gửi tệp độc hại chứa ít nhất một lỗ hổng zero-day trong một gói phần mềm phổ biến.
- Khi khai thác thành công, shellcode sẽ kiểm tra máy ảo và gửi nhiều loại thông tin về máy chủ của kẻ tấn công; cách triển khai này tương tự với các cuộc tấn công khai thác lỗ hổng của Triều Tiên từng được phát hiện trước đây.
- Ngoài các cuộc tấn công có chủ đích thông qua lỗ hổng zero-day, họ còn phát triển một công cụ mã nguồn mở phục vụ reverse engineering và phát hành nó trên Github.
- Chương trình này lần đầu được đăng vào ngày 30/9/2022, sau đó được phát triển tích cực và cập nhật nhiều lần.
- Tuy nhiên, công cụ này có chứa một backdoor có thể tải xuống và thực thi mã tùy ý từ máy chủ của kẻ tấn công.
- TAG khuyến nghị nếu đã sử dụng công cụ này thì nên kiểm tra hệ thống và cài đặt lại OS nếu cần.
- Tất cả các website và domain độc hại đã được xác định đã được thêm vào Safe Browsing của Google, và các tài khoản Google có thể bị ảnh hưởng đã được gửi cảnh báo tấn công do chính phủ hậu thuẫn.
- Ngoài ra, họ cũng đã công khai mọi domain, tệp và tài khoản độc hại như dbgsymbol, blgbeach, @Paul091_ và các mục khác.
5 bình luận
Các cuộc tấn công có chủ đích đã đáng sợ, nhưng có lẽ phần cài mã độc vào dự án mã nguồn mở còn cần phải cẩn trọng hơn.
Nghe nói mã nguồn của công cụ đó thì bình thường, nhưng các tệp đi kèm trong Github Release lại chứa mã độc.
Nghe nói còn có hơn 200 sao trên GitHub nữa...
Dạo này tự nhiên liên tiếp xuất hiện tin tức về bảo mật. Có lẽ mọi người đều nên chú ý hơn đến vấn đề an ninh bảo mật.
Tôi cứ nghĩ ít nhất mã nguồn vẫn có thể được kiểm chứng, nhưng lại không ngờ nó có thể khác với bản Release. Bảo mật đúng là không có hồi kết..
Đây có vẻ cũng là một dạng tấn công chuỗi cung ứng.
Tình cờ là với Go 1.21.0 được phát hành đúng 1 tháng trước, họ đã đăng trên blog một bài viết nói rằng lần đầu tiên kết quả build toolchain của họ có thể tái lập hoàn toàn. Hai đoạn đầu của bài đó như sau.
Perfectly Reproducible, Verified Go Toolchains
Tôi còn tự hỏi sao phải lo chuyện như vậy, hóa ra kiểu tấn công này đã âm thầm diễn ra từ khoảng 1 năm trước rồi. Ôi đúng là thời buổi bất an thật…
Tôi cũng có xu hướng tin hơn một chút vào những thứ được đăng kèm mã trên GitHub... chắc phải cẩn thận hơn rồi.
Có lẽ không còn cách nào khác ngoài việc luôn rà soát mã và tự build trực tiếp...
Tóm tắt AI của luồng HN