Lỗ hổng trong phần mềm Microsoft Office này đã được vá vào cuối năm 2015 nhưng vẫn bị nhiều mối đe dọa sử dụng. Platinum, APT16, EvilPost và SPIVY là những nhóm tội phạm đã sử dụng lỗ hổng này và giờ đây chúng hợp nhất thành cái tên mới: Danti.
Lỗ hổng là công cụ độc hại được sử dụng rộng rãi bởi nhiều nhóm gián điệp mạng và tội phạm mạng nhằm lây nhiễm máy tính nạn nhân bằng phần mềm độc hại. Nhiều năm trước, việc sử dụng lỗ hổng zero-day (những lỗ hổng bị lợi dụng trước khi nhà cung cấp phần mềm phát hành bản vá lỗi) là đặc điểm nhận dạng những mối đe dọa tinh vi nhưng nhiều thứ đã thay đổi. Ngày nay, các nhóm gián điệp mạng có khả năng sử dụng những lỗ hổng đã được biết đến, chỉ vì nó rẻ và lây nhiễm ở một mức độ có thể chấp nhận được.
Lỗ hổng trong phần mềm Microsoft Office này đã được vá vào cuối năm 2015 nhưng vẫn bị nhiều mối đe dọa sử dụng. |
Lỗi CVE-2015-2545 cho phép kẻ tấn công lập đoạn mã tùy ý sử dụng file hình ảnh đặc biệt EPS. Khai thác lỗ hổng này gây nên tình trạng nghiêm trọng vì nó sử dụng thủ thuật PostScript và có thể lách chức năng bảo mật ngẫu nhiên hóa sơ đồ không gian địa chỉ - Address Space Layout Randomization (ASLR) và ngăn chặn thực thi dữ liệu - Data Execution Prevention (DEP) trên Windows. Danti là nhóm lớn nhất bị phát hiện đã sử dụng lỗ hổng này.
Danti tập trung cao vào các tổ chức ngoại giao. Nó có thể có được quyền truy cập vào mạng lưới nội bộ trong nhiều tổ chức chính phủ Ấn Độ. Theo mạng lưới bảo mật Kaspersky, nhiều trojan từ Danti đã được phát hiện tại Kazakhstan, Kyrgyzstan, Uzbekistan, Myanmar, Nepal và the Philippines. Hoạt động của nó bị phát hiện lần đầu tiên vào tháng 2, tiếp tục sang tháng 3 và cho đến tận bây giờ.
Việc khai thác được thực hiện thông qua những email có liên kết đến những trang web lừa đảo. Nhằm thu hút sự chú ý của nạn nhân, những kẻ đứng sau Danti đã tạo ra email dưới danh nghĩa của những quan chức cấp cao trong chính phủ Ấn Độ. Một khi việc khai thác lỗ hổng được thực hiện, backdoor Danti được cài đặt và giúp kẻ tấn công có được quyền truy cập vào máy tính bị lây nhiễm và lấy đi thông tin nhạy cảm.
Nguồn gốc Danti hiện vẫn chưa rõ nhưng những nhà nghiên cứu tại Kaspersky Lab có lí do để nghi ngờ rằng, nhóm này có liên quan đến nhóm Nettraveler và DragonOK. Tin chắc rằng hacker nói tiếng Trung đứng sau những nhóm này.
Bên cạnh đó, các nhà nghiên cứu tại Kaspersky Lab đã phát hiện nhiều cuộc tấn công vào lỗ hổng CVE-2015-2545 không rõ nguồn gốc vào nhiều tổ chức tại Đài Loan và Thái Lan. Các cuộc tấn công này được đặt tên theo trojan được tải xuống sau khi lỗ hổng bị khai thác – SVCMONDR. Trojan này khác với những trojan Danti sử dụng nhưng chúng có điểm chung với Danti và APT16 – nhóm gián điệp mạng được cho rằng đến từ Trung Quốc.
Alex Gostev, chuyên gia bảo mật cấp cao Trung tâm nghiên cứu Kaspersky Lab APAC, cho biết: “Chúng tôi mong chờ những vụ việc với cuộc khai thác này và chúng tôi sẽ tiếp tục quan sát những đợt sóng tấn công mới và mối liên hệ tiềm ẩn với những cuộc tấn công khác trong khu vực. Đợt tấn công được thực hiện chỉ với sự trợ giúp của một lỗ hổng nói lên 2 điều: Đầu tiên, mối đe dọa có xu hướng sẽ không đầu tư nhiều nguồn lực để phát triển công cụ tinh vi như với việc khai thác zero-day khi 1-day cũng có khả năng tương tự. Thứ hai, mức độ cập nhật vá lỗi trong những công ty mục tiêu và tổ chức chính phủ là rất thấp. Chúng tôi đề nghị các công ty nên chú ý đến việc quản lí vá lỗi trong hệ thống CNTT nhiều hơn để tự bảo vệ mình trước hết là với những lỗ hổng đã được biết đến”.