TRUNG TÂM GIÁM SÁT AN TOÀN KHÔNG GIAN MẠNG QUỐC GIA

CẢNH BÁO
TUẦN
SỐ 52 (26/12/2022 – 01/01/2023)

Hà Nội, ngày 01 tháng 01 năm 2021

Thông tin liên hệ: Trung tâm Giám sát an toàn không gian mạng quốc gia
024.3209.1616 – ais.@mic.gov.vn
Tầng 16, số 115 Trần Duy Hưng, quận Cầu Giấy, Tp.Hà Nội
 NỘI DUNG TUẦN
sss
“NỖ LỰC ĐỂ KHÔNG GIAN MẠNG VIỆT NAM LUÔN AN TOÀN, LÀNH MẠNH”

TIN CẢNH BÁO

- Cảnh báo: Nhóm tấn công Vice Society sử

dụng ransomware biến thể mới.
- Chiến dịch tấn công APT: Nhóm tấn công
APT Kimsuky nhằm mục tiêu vào các chuyên
gia chính sách Hàn Quốc.

ĐIỂM YẾU, LỖ HỔNG

- 460 lỗ hổng được công bố và cập nhật.

- 07 lỗ hổng, nhóm lỗ hổng trên các sản
phẩm/dịch vụ phổ biến tại Việt Nam.

SỐ LIỆU, THỐNG KÊ

- Tấn công DRDoS

- Tấn công Web
Hot News!

- Tấn công lừa đảo người dùng Việt Nam

Tài liệu lưu trữ:

Chuyên mục Báo cáo định kỳ tại địa chỉ:

https://service.khonggianmang.vn
https://khonggianmang.vn

TIN CẢNH BÁO
Cảnh báo: Nhóm tấn công Vice Society
sử dụng ransomware biến thể mới.
Nhóm Vice Society đã áp dụng một
payload ransomeware tùy chỉnh mới trong
các cuộc xâm nhập gần đây. Biến thể
ransomeware này được đặt tên là PolyVice sử
dụng thuật toán NTRUEncrypt và
ChaCha20-Poly1305.
Gần đây, các chuyên gia đã xác định
được một đợt triển khai phần mềm tống tiền
nối thêm phần mở rộng tệp .ViceSociety vào
tất cả các tệp được mã hóa ngoài việc bỏ ghi
chú đòi tiền chuộc với tên tệp “AllYFilesAE”
trong mỗi thư mục được mã hóa.
Mã độc tống tiền được đặt tên là
“PoluVice” đang trong giai đoạn phát triển.
Phần mềm tống tiền Zeppelin từng được sử
dụng trước đây, gần đây đã bị phát hiện triển
khai một sơ đồ mã hóa yếu cho phép giải mã
các tệp bị khóa, có khả năng thúc đẩy nhóm
áp dụng một trình khóa mới.
Vice Society đã sử dụng một bộ công
cụ chứa nhiều chủng và biến thể ransomware
khác nhau. Theo Microsoft, Vice Society đã
áp dụng biến thể RedAlert vào cuối tháng 9
năm 2022. Cơ sở mã được sử dụng để xây
dựng payload Windows của Vice Society đã
được sử dụng để xây dựng payload tùy chỉnh
cho các nhóm đe dọa khoác, bao gồm cả phần
mềm tống tiền Chily và SunnyDay.
Nguồn: https://www.sentinelone.com/labs/custom-branded-ransomware-the-vice-society-group-and-the-
threat-of-outsourced-development/?&web_view=true
1
Phần mềm tống tiền PolyVice là một tệp
nhị phân Windows 64 bit được biên dịch
bằng MinGW (SHA1:
c8e7ecbbe78a26bea813eeed6801a0ac9d1ea
cac). PolyVice triển khai sơ đồ mã hóa kết
hợp mã hóa đối xứng và bất đối xứng để mã
hóa an toàn các tệp. Đối với mã hóa bất đối
xứng, nó sử dụng triển khai mã nguồn mở của
thuật toán NTRUEncrypt. Đối với mã hóa đối
xứng, nó sử dụng triển khai mã nguồn mở của
thuật toán ChaCha20-Poly1305, mật mã
luồng có xác thực thông báo, khóa 256 bit và
nonce 96 bit.
Nhóm Vice Society đã tự khẳng định
mình là một tác nhân đe dọa có nguồn lực và
năng lực cao, có khả năng thực hiện thành
công các cuộc tấn công đòi tiền chuộc vào
các môi trường lớn. Việc áp dụng biến thể
PolyVice ransomware đã củng cố hơn nữa
các chiến dịch của chúng, cho phép chúng mã
hóa dữ liệu của nạn nhân một cách nhanh
chóng và hiệu quả bằng cách sử dụng sơ đồ
mã hóa mạnh mẽ. Đây là một mối đe dọa
nguy hiểm và không ngừng phát triển các cơ
quan tổ chức cần quan tâm và luôn chuẩn bị
phương pháp phòng ngừa.
 2
TIN CẢNH BÁO

Nhóm tấn công APT Ngoài ra nhóm Kimsuky bị phát hiện

nhằm vào các thiết bị Android ở Hàn
Kimsuky nhằm mục quốc. Nhóm sử dụng 3 phần mềm độc hại
Android có tên là FastFire, FastViewer,

tiêu vào các chuyên FastSpy, giả dạng APK cho 3 công cụ tiện
ích nhằm mục tiêu người dùng.

gia chính sách Hàn Theo các chuyên gia, nhóm Kimsuky
sẽ tiếp tục nhằm mục tiêu khác trên toàn
Quốc cầu. Vì hầu hết các cuộc tấn công này
được thực hiện thông qua email lừa đảo,
Cơ quan Cảnh sát Hàn Quốc đã công nên người dùng và các cơ quan, tổ chức
bố chi tiết về một chiến dịch lừa đảo mới do được khuyến nghị bảo mật tài khoản email
Kimsuky thực hiện. Chiến dịch nhằm tới gần và các thông tin quan trọng khác.
900 chuyên gia chính sách đối ngoại tại Hàn
Quốc.
Trong chiến dịch này, đối tượng tấn
công gửi email lừa đảo từ nhiều tài khoản mạo
danh các cơ quan chức năng nổi tiếng khác
nhau ở Hàn Quốc. Những email này bao gồm
một liên kết đến trang web giả mạo hoặc tệp
đính kèm độc hại để tải xuống phần mềm độc
hại.
Để tránh bị phát hiện nhóm đã sử dụng
địa chỉ IP từ các máy chủ bị tấn công, bao gồm
326 máy chủ từ khắp 26 quốc gia, trong đó 87
máy chủ thuộc về các tổ chức ở Hàn Quốc.

Nguồn: https://cyware.com/news/kimsuky-apt-linked-to-a-new-attack-targeting-south-korean-policy-experts-
ec924272
 3

Nguy cơ tấn công mạng từ

điểm yếu, lỗ hổng

Trong tuần, các tổ chức quốc tế đã công

bố và cập nhật ít nhất 460 lỗ hổng, trong đó có
24 lỗ hổng mức Cao, 27 lỗ hổng mức Trung
bình, 0 lỗ hổng mức Thấp và 409 lỗ hổng chưa
đánh giá. Trong đó có ít nhất 20 lỗ hổng cho
phép chèn và thực thi mã lệnh.

Hệ thống kỹ thuật của Cục ATTT chủ Một số lỗ hổng trên các sản phẩm/dịch vụ
động rà quét trên không gian mạng Việt Nam,
phổ biến tại Việt Nam:
đánh giá, thống kê cho thấy có 07 lỗ
- Apache: CVE-2022-44621, CVE-2022-43396,…
hổng/nhóm lỗ hổng trên các sản phẩm, dịch vụ
CNTT phổ biến, có thể gây ảnh hưởng lớn đến - Huawei: CVE-2022-44564, CVE-2022-45874,…

người dùng ở Việt Nam: Nhóm 02 lỗ hổng - Wordpress: CVE-2021-24942, CVE-2021-30134,...

trong Apache, Nhóm 05 lỗ hổng trong Huawei, - Dlink: CVE-2022-46641, CVE-2022-46642,...
Nhóm 36 lỗ hổng trong Wordpress, Nhóm 02 - Linux: CVE-2022-47942, CVE-2022-47939,…
lỗ hổng trong Dlink, Nhóm 07 lỗ hổng trong - Tp-link: CVE-2022-48194.
Linux, 01 lỗ hổng trong Tp-link, Nhóm 10 lỗ - IBM: CVE-2022-39165, CVE-2022-40233,…
hổng trong IBM. Thông tin chi tiết về một số
lỗ hổng trên các sản phẩm/dịch vụ phổ biến tại
Việt Nam cụ thể như sau:
Thông tin điểm yếu, lỗ hổng 4

Sản
TT phẩm/ dịch Mã lỗi quốc tế Mô tả ngắn Ghi chú
vụ
CVE-2022-44621 Chưa có
Nhóm 02 lỗ hổng trong Apache (Kylin) cho
thông tin
1 Apache CVE-2022-43396 phép đối tượng tấn công truy cập/thực hiện
xác nhận và
các hành động trái phép
bản vá
CVE-2022-44564
Nhóm 05 lỗ hổng trong Huawei (Aslan Chưa có
CVE-2022-45874 Children's Watch,…) cho phép đối tượng tấn thông tin
2 Huawei
CVE-2022-46740 công truy cập và sửa đổi dữ liệu của hệ thống, xác nhận và
… tấn công từ chối dịch vụ. bản vá

CVE-2021-24942
Chưa có
CVE-2021-30134 Nhóm 36 lỗ hổng trong Wordpress cho phép
thông tin
3 Wordpress đối tượng tấn công thu thập thông tin dữ liệu,
CVE-2022-4150 xác nhận và
thực thi mã PHP tùy ý.
… bản vá

CVE-2022-46641 Chưa có
Nhóm 02 lỗ hổng trong Dlink (DIR-846) cho
CVE-2022-46642 thông tin
4 Dlink phép đối tượng tấn công truy cập/thực hiện
xác nhận và
các hành động trái phép.
bản vá
CVE-2022-47942
Nhóm 07 lỗ hổng trong Linux (kernel) cho Đã có
CVE-2022-47939 phép đối tượng tấn công gây ra lỗi tràn bộ thông tin
5 Linux
CVE-2022-47940 đệm, truy cập/thực hiện các hành động trái xác nhận và
… phép. bản vá

Chưa có
01 lỗ hổng trong Tp-link (TL-WR902AC)
thông tin
6 Tp-link CVE-2022-48194 cho phép đối tượng tấn công thực hiện tấn
xác nhận và
công từ chối dịch vụ.
bản vá

CVE-2022-39165 Đã có
Nhóm 10 lỗ hổng trong IBM (AIX, Security thông tin
CVE-2022-40233
Verify Governance,… ) cho phép đối tượng xác nhận và
7 IBM
CVE-2022-43380 tấn công thực hiện tấn công từ chối dịch vụ, bản vá
thu thâp thông tin dữ liệu trái phép.
...
 5
Thống kê nguy cơ, các cuộc
tấn công tại Việt Nam
Tấn công DRDoS

Thống kê nguy cơ, các cuộc

Tuần vừa qua tại Việt Nam, có rất
nhiều máy chủ, thiết bị có thể trở thành
nguồn phát tán tấn công DRDoS. Trong
tấn công tại Việt Nam
tuần có 48,843 (tăng so với tuần trước
47,933) thiết bị có khả năng bị huy động
và trở thành nguồn tấn công DRDoS. Các
Tuần vừa
thiết bị qua
này tại Việt
đang mở sửNam, cócác
dụng rất dịch
nhiềuvụmáy chủ, thiết bị có

công tại Việt Namzzzzzzzzz

NTP (123), DNS (53), Chargen (19). Dưới
đây là biểu đồ thống kê thiết bị theo cổng Tấn công Web
dịch vụ phổ biến trong tuần. Trong tuần, có 236 trường hợp tấn
công vào trang/cổng thông tin điện tử của Việt
Thống kê tấn công vào trang/cổng Nam: 52 trường hợp tấn công thay đổi giao
thông tin điện tử
diện (Deface), 173 trường hợp tấn công lừa
của Việt Nam
đảo (Phishing), 11 trường hợp tấn công cài
Deface 52 cắm mã độc.
Cài mã độc 11
Lừa đảo (Phishing) 173

Tấn công Phishing

Trên thế giới có nhiều các trang

web giả mạo các tổ chức, doanh nghiệp,
nhà cung cấp, dịch vụ lớn như: Các mạng
xã hội, ngân hàng, thư điện tử .v.v… Việt
Nam có nhiều người dùng các dịch vụ, ứng
dụng nước ngoài (cả miễn phí và tính phí)
như các mạng xã hội, Paypment, Apple,
Paypal ..v.v… vì vậy người dùng cần phải
hết sức cảnh giác với những trang web giả
Danh sách IP/tên miền độc hại có nhiều kết nối từ
Việt Nam
differentia.ru: 15375 IP xjpakmdcfuqe.ru: 254 IP
disorderstatus.ru: 4871 IP xjpakmdcfuqe.in: 194 IP
atomictrivia.ru: 2353 IP restlesz.su: 486 IP
xjpakmdcfuqe.biz: 895 IP amnsreiuojy.ru: 406 IP
xjpakmdcfuqe.com: 448 IP hzmksreiuojy.ru: 45 IP

mạo để đánh cắp tài khoản.

 6

Tấn công lừa đảo người dùng Việt Nam

Trong tuần đã có 248 phản ánh trường hợp lừa đảo do người dùng Internet Việt

Thống kê nguy cơ, các cuộc

Nam thông báo về Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) qua hệ
thống tại địa chỉ https://canhbao.khonggianmang.vn. Qua kiểm tra, phân tích có nhiều
trường hợp lừa đảo giả mạo website của ngân hàng, các trang thương mại điện tử…
tấn công tại Việt Nam
Dưới đây là một số trường hợp người dùng cần nâng cao cảnh giác.

STT Website lừa đảo Ghi chú

Giả mạo website sàn TMĐT
1 la7168.com
Lazada
vebo1s.co
2 Giả mạo ví điện tử MoMo
clmm.nl
3 vp111.vip Trang web lừa đảo
 7

Khuyến nghị đối với các cơ quan, đơn vị

1. Đối với các nguy cơ, cảnh báo đã được đề cập trong phần Tin cảnh báo Quý đơn
vị cần thường xuyên cập nhật thông tin (như các chiến dịch tấn công của các nhóm
APT, thông tin IoC kèm theo từng chiến dịch, điểm yếu lỗ hổng đang bị lợi dụng để
khai thác,…), rà soát trên các hệ thống thống thông tin để phát hiện và ngăn chặn, xử
lý kịp thời.
***
2. Đối với các điểm yếu, lỗ hổng trong phần Nguy cơ tấn công mạng từ điểm yếu
lỗ hổng, Quý đơn vị cần lưu ý theo dõi và cập nhật bản vá cho các lỗ hổng liên quan
đến sản phẩm đang sử dụng. Ngoài ra, những đơn vị đã có tài khoản trên “Hệ thống
Cảnh báo điểm yếu và rà soát lỗ hổng bảo mật tự động” tại địa chỉ
https://service.khonggianmang.vn, quản trị viên có thể thêm các sản phẩm đang sử
dụng để giám sát và nhận cảnh báo ngay khi có lỗ hổng mới phát sinh.
***
3. Đối với các nguy cơ về tấn công từ chối dịch vụ, tấn công web trong phần Thống
kê nguy cơ, các cuộc tấn công tại Việt Nam, Quý đơn vị cần rà soát, hạn chế tối đa
việc mở các cổng dịch vụ có thể bị lợi dụng để thực hiện tấn công từ chối dịch vụ;
thường xuyên kiểm tra, rà soát máy chủ web để kịp thời phát hiện và xử lý nguy cơ
tấn công.
***
4. Đối với các IP/tên miền được đề cập trong mục Danh sách IP/tên miền độc hại
có nhiều kết nối từ Việt Nam, Quý đơn vị cần kiểm tra và xử lý các thiết bị trong
toàn bộ hệ thống mạng nếu có dấu hiệu kết nối đến các tên miền độc hại mà Cục
ATTT đã chia sẻ.
***

Thông tin liên hệ:

Trung tâm Giám sát an toàn không gian mạng quốc gia

024.3209.1616 - ais@mic.gov.vn

Tầng 16, số 115 Trần Duy Hưng, quận Cầu Giấy, Tp. Hà Nội