Office, Java vá lỗ hổng zero-day sử dụng bởi APT 28

APT28 – nhóm tin tặc gián điệp mạng hoạt động tại Nga đã làm được những điều khó tin khi phát hiện và khai thác 6 lỗ hổng zero-day chỉ trong 4 tháng. Hai lỗ hổng zero-day gần đây nhất đã được vá bởi Microsoft và Oracle.

APT28 hay còn được biết đến với những tên gọi khác như Tsar Team,Operation Pawn Storm, và Sednit luôn bận rộn với các cuộc tấn công tới hoạt động gián điệp và quân sự. APT28 thường xuyên khai thác Adobe Flash, Microsoft và lỗ hổng trong Java.

Tuần này, 2 lỗ hổng zero-day đã được vá bởi Microsoft và Oracle lần lượt trong Office và Java. Các nhà nghiên cứu tại iSight Partners báo cáo lỗ hổng Office zero-day vào 30 tháng 6 và nó đã được vá trong bản Patch Tuesday MS15-070 với 13 lỗ hổng khác. Ngày hôm qua, Oracle cũng xử lí lỗ hổng Java zero-day trong bản cập nhật định kì Critical Patch Update. Lỗ hổng này bị khai thác nhắm đến tổ chức quốc phòng Mỹ. Đây là lỗ hổng Java zero-day đầu tiên bị khai thác kể từ năm 2013.

APT28 kiểm soát một lượng lớn malware và domain độc hại. Nhóm sử dụng đồng tiền mã hóa Bitcoin để mua domain nhằm che dấu thông tin đăng kí và luôn ẩn danh. Điều này chứng tỏ rằng có hẳn một tổ chức đứng đằng sau APT28. Rất khó để có thể biết được cơ sở hạ tầng thuộc APT28 lớn như thế nào. Năm trong sáu lỗ hổng zero-day được APT28 tự xây dựng. Trong khi lỗ hổng thứ 6 là lỗ hổng CVE-2015-5119 thuộc Hacking Team, được khai thác chỉ 2 giờ sau vụ rò rỉ.

Lỗ hổng Office zero-day, CVE-2015-2424 dường như vẫn đang trong quá trình phát triển vì các chuyên gia cho biết nó có khá nhiều bug và không ổn định. Khai thác đã được phát tán qua email, đặc biệt nhắm đến các cá nhân và và tổ chức có dữ liệu nhạy cảm.

Dù Office—và Java—zero day đã được vá, nhưng chúng ta không thể biết được tiềm lực của APT28 đến đâu. Nguy cơ rủi ro của các tổ chức là rất lớn nếu không được trang bị các giải pháp bảo mật hiệu quả.

threatpost