Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

Gián điệp mạng Trung Quốc khai thác lỗ hổng Ivanti để tấn công vượt qua xác thực và thực thi mã từ xa

08:31 | 26/05/2025
Hồng Đạt

Một nhóm gián điệp mạng có liên quan đến Trung Quốc đã khai thác hai lỗ hổng bảo mật gần đây của Ivanti Endpoint Manager Mobile (EPMM), trong các cuộc tấn công nhắm vào các thực thể quan trọng ở châu Âu, Bắc Mỹ và châu Á - Thái Bình Dương.

Hai lỗ hổng được gắn mã định danh CVE-2025-4427 và CVE-2025-4428, đây là các lỗ hổng cho phép kẻ tấn công vượt qua xác thực (bypass) và thực thi mã tùy ý từ xa (RCE). Lỗ hổng ảnh hưởng đến hai thư viện mã nguồn mở được tích hợp vào EPMM, các lỗi có thể được liên kết với nhau để tấn công RCE trên các thiết bị dễ bị tấn công. Ivanti đã vá hai lỗ hổng bảo mật này vào ngày 13/5, đồng thời cảnh báo rằng chúng đã bị khai thác như lỗ hổng zero-day đối với một số lượng khách hàng hạn chế.

Vài ngày sau đó, bằng chứng khái niệm (PoC) nhắm vào các lỗ hổng trên được công khai, kẻ tấn công đã bắt đầu phát tán chúng ngay sau đó, các nhà nghiên cứu đến từ công ty bảo mật đám mây Wiz (Mỹ) đã đưa ra cảnh báo về điều này. Xác thực về những phát hiện của Wiz, hãng bảo mật EclecticIQ (Hà Lan) cho biết, các cuộc tấn công được quan sát thấy là do một tác nhân đe dọa đến từ Trung Quốc, dưới tên gọi là UNC5221.

Được biết đến với mục tiêu thường nhắm vào các lỗ hổng zero-day trong các thiết bị biên ít nhất từ năm 2023, nhóm gián điệp mạng này đã bị phát hiện đánh cắp khối lượng lớn dữ liệu từ các thiết bị dễ bị tấn công, bao gồm thông tin nhận dạng cá nhân (PII), thông tin đăng nhập và các dữ liệu nhạy cảm khác.

Kể từ ngày 15/5 đến nay, nhóm tin tặc này đã nhắm mục tiêu vào các phiên bản EPMM bị ảnh hưởng trên Internet của các tổ chức hàng không, quốc phòng, tài chính, chính quyền địa phương, chăm sóc sức khỏe và viễn thông, để đánh cắp các tệp chứa dữ liệu hoạt động quan trọng và nắm được thông tin về các thiết bị được quản lý.

Các mục tiêu được EclecticIQ xác định bao gồm một trong những nhà cung cấp viễn thông lớn nhất của Đức, một công ty an ninh mạng, một nhà sản xuất vũ khí có trụ sở tại Mỹ và một ngân hàng đa quốc gia tại Hàn Quốc.

EclecticIQ lưu ý: “Do vai trò của EPMM trong việc quản lý và đẩy cấu hình tới các thiết bị di động của doanh nghiệp, việc khai thác thành công có thể cho phép tin tặc truy cập, thao túng hoặc xâm phạm từ xa hàng nghìn thiết bị được quản lý trên toàn tổ chức”

Là một phần của các cuộc tấn công, các tin tặc UNC5221 đã triển khai FRP (Fast Reverse Proxy), một công cụ mã nguồn mở thiết lập reverse proxy SOCKS5 để truy cập liên tục và KrustyLoader, thường được sử dụng để triển khai backdoor Sliver. “Nhóm tin tặc này cũng bị phát hiện sử dụng lệnh shell để do thám và che giấu hành vi theo thời gian thực, có khả năng sử dụng các request HTTP GET để đánh cắp dữ liệu”, EclecticIQ cho biết.

Trong các chiến dịch trước đó, kẻ tấn công đã khai thác các thiết bị Palo Alto Networks, Ivanti và SAP để triển khai các beacon KrustyLoader và Sliver. “EclecticIQ đánh giá với độ tin cậy cao rằng hoạt động khai thác Ivanti EPMM được quan sát rất có thể có liên quan đến các tin tặc UNC5221, một nhóm gián điệp mạng của Trung Quốc. Việc tái sử dụng cơ sở hạ tầng và các hoạt động thương mại được quan sát có liên quan chặt chẽ đến các chiến dịch trước đây được cho là do tác nhân này thực hiện”, EclecticIQ lưu ý.

Twitter Zalo Facebook YouTube Copy Link QR Code
EPMM TRUNG QUỐC LỖ HỔNG BẢO MẬT IVANTI VƯỢT QUA XÁC THỰC ĐÁNH CẮP THÔNG TIN THỰC THI MÃ TỪ XA BACKDOOR ZERO-DAY GIÁN ĐIỆP MẠNG
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết