Hãng bảo mật FortiGuard Labs đã phát hiện một số tài liệu chữa mã độc có tên Rehashed RAT được phát tán qua email tại Việt Nam - được sử dụng để khai thác lỗ hổng CVE-2012-0158.
1937cn được cho là nhóm hacker đứng đằng sau cuộc tấn công gần đây

Theo các chuyên gia bảo mật, Rehashed RAT (Remote Access Trojan) là loại mã độc có thể dễ dàng qua mặt các phần mềm bảo mật và tường lửa bằng cách giả mạo các phần mềm hợp pháp như GoogleUpdate.exe, SC&Cfg.exe của McAfee AV.

Chiến dịch phát tán mã độc này được triển khai bởi nhóm hacker 1937cn. Điều này dựa vào liên kết tới nhóm đã được tìm thấy thông qua các tên miền độc hại được sử dụng làm máy chủ C&C. 1937cn là nhóm tin tặc Trung Quốc bị nghi tấn công hệ thống thông tin sân bay Nội Bài và Tân Sơn Nhất trong tháng 7.2016.

Theo ghi nhận của hack-cn.com - trang thống kê và xếp hạng hacker của Trung Quốc, 1937cn đã thực hiện trên 40.000 cuộc tấn công trong thời gian qua.

Trở lại với Rehashed RAT, mã độc này khai thác lỗ hổng CVE-2012-0158 nên các tập tin phát tán có dạng như tập tin văn bản. Để thu hút sự chú ý của các nạn nhân, tin tặc sử dụng tập tin văn bản giả mạo với tựa đề và nội dung chứa nhiều thông tin liên quan đến Chính phủ Việt Nam.

Quá trình phân tích Rehashed RAT cho thấy trình downloader của mã độc này sẽ tải về một RAT từ các domain: web.thoitietvietnam.org; dalat.dulichovietnam.net; halong.dulichculao.com. Các phiên bản phần mềm có nguy cơ bị khai thác bởi Rehashed RAT gồm Microsoft Office 2003 SP3, 2007 SP2 và SP3; 2010 Gold và SP1; Office 2003 Web Components SP3; SQL Server 2000 SP4, 2005 SP4, 2008 SP2, SP3 và R2.

Các chuyên gia bảo mật khuyến cáo người dùng không nên mở các tập tin khi nhận được từ email không rõ nguồn gốc. Bên cạnh đó, người dùng cần thường xuyên cập nhật bản vá lỗi bảo mật cho hệ thống, mà trong trường hợp này là lỗ hổng CVE -2012-0158 mà Microsoft cảnh báo và phát hành bản vá từ năm 2012.

http://thanhnien.vn/cong-nghe/nhom-tin-tac-1937cn-tiep-tuc-tan-cong-vao-nhieu-doanh-nghiep-tai-viet-nam-873571.html