Sự cố an ninh mạng tấn công tinh vi tại Hàn Quốc

19/03/2025
2 mins read


Bài viết từ GBHackers cung cấp cái nhìn chi tiết về một sự cố an ninh mạng gần đây liên quan đến các phương pháp tấn công tinh vi nhằm vào các ứng dụng web, đặc biệt là tại Hàn Quốc. Dưới đây là các điểm chính từ bài viết:

Nội dung
Kỹ Thuật và Công Cụ Tấn Công
Chiến Lược Tấn Công
Khuyến Nghị

Kỹ Thuật và Công Cụ Tấn Công

  1. Cobalt Strike Cat: Các kẻ tấn công sử dụng một phiên bản sửa đổi của Cobalt Strike, được gọi là Cobalt Strike Cat, được phát tán qua một tệp thực thi Windows biên dịch bằng Rust.
  2. SQLMap: Các cuộc tấn công SQL injection được thực hiện bằng cách sử dụng SQLMap để khai thác các lỗ hổng SQL và giành quyền truy cập trái phép vào cơ sở dữ liệu.
  3. Dirsearch: Kẻ tấn công đã sử dụng dirsearch để brute-force các thư mục và xác định các đường dẫn ẩn, bảng điều khiển quản trị và tài nguyên bị lộ.
  4. Web-SurvivalScan: Công cụ này được sử dụng để định danh các tên miền con nhằm xác định các miền hoạt động trong môi trường mục tiêu, hỗ trợ tích hợp proxy để né tránh phát hiện.

Chiến Lược Tấn Công

  1. Thư Mục Mở: Các kẻ tấn công đã sử dụng một thư mục mở được lưu trữ trên một máy chủ ở Nhật Bản, chứa các công cụ này và đã được công khai tạm thời, cho phép họ quản lý các hoạt động.
  2. Reconnaissance: Một đoạn mã Python (urls.py) được sử dụng để tự động tổ chức dữ liệu thu thập thông tin, đơn giản hóa việc phát hiện tên miền con và hỗ trợ các nỗ lực khai thác tiếp theo.
  3. Phân Tích Malware: Phân tích malware cho thấy việc sử dụng Cobalt Strike Cat cùng với shellcode Marte được phát tán qua các bộ tải biên dịch bằng Rust. Các bộ tải này hoạt động như một lớp thực thi trung gian, giải mã và chạy shellcode thay vì thả tải trọng độc lập vào đĩa.
  4. Hành Vi Mạng: Hành vi mạng bao gồm các chuyển hướng không bình thường, có thể là chiến thuật để làm rối phân tích hoặc che giấu các giao tiếp với các máy chủ chỉ huy và kiểm soát. Các nhật ký từ máy chủ cho thấy hoạt động xâm nhập tích cực với hoạt động beacon từ các máy chủ bị xâm nhập.

Khuyến Nghị

  1. Xác Thực Đầu Vào: Việc sử dụng SQL injection để truy cập ban đầu nhấn mạnh tầm quan trọng của việc thực hiện xác thực đầu vào và áp dụng các bản vá bảo mật cho các ứng dụng web để ngăn chặn các cuộc tấn công tương tự trong tương lai.
  2. Giám Sát: Các tổ chức nên giám sát lưu lượng mạng không bình thường và ghi lại các truy vấn cơ sở dữ liệu để phát hiện các dấu hiệu của những nỗ lực khai thác.

Sự cố này nhấn mạnh nhu cầu về các biện pháp bảo mật vững chắc, bao gồm cập nhật thường xuyên, xác thực đầu vào và giám sát chặt chẽ các hoạt động mạng để ngăn chặn các cuộc tấn công tinh vi như vậy.