Công ty công nghệ an ninh mạng Việt Nam NCS cho biết vừa phát hành một chiến dịch tấn công có mục tiêu APT quy mô lớn vào các công ty, tổ chức, trọng yếu tại Việt Nam. Công ty chiến dịch khai thác vào lỗ hổng zero-day của Microsoft Exchange, một trong những phần mềm mail server phổ biến nhất trong các cơ quan, tổ chức tại Việt Nam.
Cụ thể, từ đầu tháng 8/2022, trong quá trình thực hiện giám sát an ninh mạng và xử lý sự cố, Trung tâm vận hành bảo mật GTSC SOC phát hiện ra một đơn vị trọng yếu bị tấn công an ninh mạng vào hệ thống ứng dụng Microsoft Exchange. Quá trình điều tra, đội ngũ chuyên gia BlueTeam xác định công cụ tấn công đã sử dụng một lỗ hổng bảo mật của Microsoft Exchange chưa từng được công bố – hay còn gọi là lỗ hổng zero-day.
“Trong thời gian chờ đợi Microsoft phát hành chính thức bản vá lỗi, các hệ thống quản trị sử dụng máy chủ Microsoft Exchange được khuyến cáo cần nhanh chóng rà soát toàn bộ hệ thống để phát hiện các dấu hiệu bất thường.”
Ông Vũ Ngọc Sơn, Giám đốc Công ty Công nghệ an ninh mạng Việt Nam NCS.
Mặc dù GTSC SOC ngay lập tức đưa ra phương pháp ngăn chặn, tuy nhiên chuyên gia RedTeam cũng bắt tay ngay vào nghiên cứu, sửa lỗi mã nguồn ứng dụng Mail Exchange để tìm ra khai thác mã (khai thác).
Cùng với việc cảnh báo về công cụ APT chiến dịch quy mô lớn nhằm vào các tổ chức, doanh nghiệp quan trọng tại Việt Nam thông qua việc khai thác lỗ hổng trên Microsoft Exchange máy chủ, Công ty NCS cũng phát hành công cụ kiểm tra miễn phí .
Ông Vũ Ngọc Sơn, Giám đốc Công ty Công nghệ an ninh mạng Việt Nam NCS nhận định, chiến dịch tấn công khai thác vào lỗ hổng zero-day của Microsoft Exchange rất nghiêm trọng, ảnh hưởng đến nhiều đơn vị trọng yếu at Viet Nam. NCS chuyên gia đã lập tức nghiên cứu và phát hiện khai thác mã hóa, sau đó thông tin đến tổ chức ZDI làm việc với Microsoft, để hãng có thể cập nhật nhanh chóng bản vá.
“Trong thời gian chờ đợi Microsoft phát hành chính thức bản vá lỗi, hệ thống quản trị sử dụng máy chủ Microsoft Exchange được khuyến cáo cần nhanh chóng rà soát toàn bộ hệ thống để phát hiện các dấu hiệu bất thường”, Giám đốc NSC khuyến cáo công nghệ.
Show nay, NCS đã phát hành công cụ miễn phí NCS E0 Scanner, hỗ trợ hệ thống quản trị quét Microsoft Exchange máy chủ để kiểm tra có bị tấn công hay không. Để kiểm tra, nhân viên quản trị công cụ tải hệ thống kiểm tra NCS E0 Scanner tại địa chỉ github.com/ncsgroupvn/NCSE0Scannerrun on server and press scan the node, the tool will be message to be message for people check the details, system information register if the server is being aredation.