Theo nghiên cứu do Recorded Future thực hiện, các hoạt động khai thác lỗ hổng và phần mềm gián điệp gia tăng vào tháng 7, với số lượng hoạt động cao bất thường được quan sát thấy trong các cuộc xâm nhập có liên quan đến phần mềm gián điệp. Những người tạo ra phần mềm gián điệp đánh thuê dường như đã hoạt động tích cực một cách bất thường trong việc vũ khí hóa các lỗ hổng và khả năng phơi nhiễm phổ biến (CVE). Tuy nhiên, vẫn chưa rõ liệu điều này có đơn giản là do các tác nhân đe dọa khác ít hoạt động hơn trong mùa hè hay không.
Báo cáo CVE nêu chi tiết các hoạt động phần mềm gián điệp mới nhất
Phần mềm gián điệp là một loại phần mềm độc hại được cài đặt trên máy tính mà người dùng cuối không hề hay biết. Phần mềm gián điệp xâm nhập vào thiết bị, lấy thông tin nhạy cảm và số liệu thống kê sử dụng Internet, sau đó gửi thông tin đó đến quảng cáo, công ty dữ liệu hoặc những người dùng khác.
Phần mềm được tải xuống mà không có sự cho phép của người dùng được gọi là phần mềm gián điệp. Phần mềm gián điệp gây tranh cãi vì ngay cả khi được cài đặt vì những lý do tưởng chừng như vô hại, nó vẫn có thể vi phạm quyền riêng tư của người dùng cuối và có khả năng bị lạm dụng.
Phần mềm gián điệp là một trong những mối đe dọa trực tuyến phổ biến nhất. Sau khi cài đặt, nó sẽ giám sát lưu lượng truy cập internet, theo dõi mật khẩu đăng nhập và nghe trộm thông tin nhạy cảm. Mục đích chính của phần mềm gián điệp là thu thập số thẻ tín dụng, thông tin ngân hàng và mật khẩu.
Đây là bản tin về lỗ hổng bảo mật hàng tháng thứ ba do nhóm nghiên cứu mối đe dọa Insikt Group của Recorded Future tạo ra; phiên bản đầu tiên được phát hành vào tháng 6 trùng với thời điểm Microsoft ra mắt dịch vụ vá lỗi tự động dành cho các tổ chức, điều này đã giúp nhiều người bớt lo lắng hơn về Patch Tuesday.
Báo cáo hàng tháng của CVE hiện sẽ được Recorded Future phát hành vào Thứ Ba đầu tiên mỗi tháng, còn Bản vá Thứ Ba tiếp tục được phát hành vào Thứ Ba của tuần thứ hai.
Trong báo cáo gần đây nhất, nhóm nghiên cứu tuyên bố rằng họ đã quan sát thấy việc phân phối phần mềm gián điệp bằng cách sử dụng các lỗ hổng zero-day mới được tiết lộ đã ảnh hưởng đến cả Microsoft và Google. Nhóm khẳng định điều này cho thấy mối quan hệ thường xuyên chặt chẽ giữa các nhà phát triển phần mềm gián điệp hàng đầu và các lỗ hổng zero-day mới.
Chiến tranh Nga-Ukraine viết lại luật chiến tranh mạng
“Vào tháng bảy 4Vào năm 2022, Google đã tiết lộ một lỗ hổng zero-day được khai thác tích cực, CVE-2022-2294, ảnh hưởng đến Google Chrome. Mặc dù công ty không tiết lộ chi tiết về các cuộc tấn công liên quan đến lỗ hổng này nhưng không lâu sau đó, những người khác đã báo cáo về việc khai thác lỗ hổng”, nhóm giải thích.
Vào ngày 21 tháng 7 năm 2022, các nhà nghiên cứu mối đe dọa của Avast (những người đầu tiên cảnh báo Google về vấn đề này) đã công bố một báo cáo trình bày chi tiết về một chiến dịch trong đó công ty phần mềm gián điệp Candiru của Israel đã sử dụng CVE-2022-2294 để phân phối phần mềm DevilsTongue.
Một lỗ hổng zero-day khác, lần này là của Microsoft, có liên quan đến phần mềm gián điệp. Microsoft đã công bố lỗ hổng zero-day, CVE-2022-22047, vào ngày 12 tháng 7 năm 2022, ảnh hưởng đến các bản phát hành gần đây nhất của Windows Và Windows Máy chủ. Tổ chức đe dọa lính đánh thuê Knotweed, hoạt động ở Áo, đã sử dụng lỗ hổng này để phát tán phần mềm gián điệp Subzero của mình.
Bảo mật như một dịch vụ giao an ninh mạng cho các chuyên gia, nhưng đó là con dao hai lưỡi
“Lỗ hổng thứ hai, CVE-2022-30216, cũng ảnh hưởng đến các phiên bản hiện tại của Windows Và Windows Server và có điểm CVSS rất cao do thực thi mã từ xa, nhưng chúng tôi chưa thấy nỗ lực khai thác nào”, các nhà nghiên cứu cho biết.
Lỗ hổng thực thi mã từ xa (RCE) trong Apache Spark, được theo dõi là CVE-2022-33891được tìm thấy bởi nhà nghiên cứu Kostya Kortchinsky của Databricks, người đã khai thác lỗ hổng này trong vòng 48 giờ sau khi tiết lộ và lỗ hổng chèn SQL trong khung web Django Python, được theo dõi là CVE-2022-34265, nằm trong số các lỗ hổng nghiêm trọng khác trong tháng 7 2022.
CVE-2022-30190, thường được gọi là Follina, là một lỗ hổng rủi ro không cần nhấp chuột trong Microsoft Office, nếu không được chọn, sẽ cho phép kẻ đe dọa thực thi các lệnh PowerShell mà không yêu cầu người dùng nhập dữ liệu, tiếp tục chứng kiến mức độ khai thác cao trong tháng 7. Mặc dù Follina đã được công bố vào cuối tháng 5 và được đề cập trong bản cập nhật Patch Tuesday tháng 6 nhưng nhiều người vẫn không áp dụng bản vá.
Rủi ro an ninh mạng gia tăng đe dọa ngành chăm sóc sức khỏe
“Nếu chúng tôi có thể dự đoán được bất kỳ lỗ hổng nào sẽ bị khai thác ở mức độ cao sau lần tiết lộ ban đầu thì đó sẽ là Follina. Chắc chắn rồi, vào tháng bảy 62022, các nhà nghiên cứu của Fortinet đưa ra báo cáo phân tích về một chiến dịch lừa đảo sử dụng Follina để phát tán cửa hậu Rozena. Phần mềm độc hại này cho phép kẻ tấn công chiếm lấy Windows các hệ thống một cách hoàn toàn. Các nhà nghiên cứu của Fortinet đã quan sát thấy những đối thủ sử dụng Rozena để đưa kết nối shell từ xa trở lại máy của kẻ tấn công,” nhóm Recorded Future cho biết.
