Kể từ tháng 7/2024, Trung tâm Giám sát an toàn thông tin, Cục An toàn thông tin đã ghi nhân thông tin liên quan đến chiến dịch tấn công có chủ đích sử dụng kỹ thuật mới AppDomainManager Injection để phát tán mã độc.
Qua phân tích, mã độc trong chiến dịch này được xác định là CobaltStrike, với các dấu hiệu kỹ thuật và hạ tầng tương tự nhóm APT41. Chiến dịch đã gây ra những tác động ảnh hưởng đến các tổ chức chính phủ tại Đài Loan, các đơn vị quân sự ở Philippines… Điều này, cho thấy quy mô và tính chất nguy hiểm của cuộc tấn công, đòi hỏi các biện pháp phòng chống nâng cao từ các cơ quan an ninh mạng trong khu vực.
AppDomain Manager Injection là một kỹ thuật cho phép biến bất kỳ ứng dụng Microsoft.NET nào trên máy chủ Windows thành LOLBIN (Living Off the Land Binary) một cách hiệu quả bằng cách buộc ứng dụng tải một assembly .NET được chế tạo đặc biệt, sử dụng tên đầy đủ của assembly đó.
Khuyến cáo phòng ngừa: Kiểm tra, rà soát các hệ thống thông tin có sử dụng Microsoft.NET. Chủ động theo dõi các thông tin liên quan đến chiến dịch nhằm thực hiện ngăn chặn nhằm tránh nguy cơ bị tấn công.
Trong trường hợp cần thiết, có thể liên hệ đầu mối hỗ trợ:
– Thường trực Đội ứng cứu – Sở Thông tin và Truyền thông (thông qua Trung tâm Công nghệ Thông tin và Truyền thông), điện thoại: 02963.856.188, Email: hotro@angiang.gov.vn.
– Cục An toàn thông tin: Trung tâm Giám sát an toàn không gian mạng quốc gia, điện thoại: 02432.09.16.16, thư điện tử: ncsc@ais.gov.vn.
Minh Hải – Khoa TT-GDSK, TT.KSBT An Giang
(Nguồn Công văn số 1435/ĐƯCSCATTTM ngày 29/08/2024 của Đội ứng cứu sự cố an toàn thông tin mạng)