Đây là đợt tấn công theo hình thức APT - advanced persistent threats, tức là tấn công có chủ đích. Mục tiêu của tin tặc là nhóm người dùng máy tính (nhân viên công ty, cá nhân, chính trị gia…) đã được điều tra kỹ lưỡng và sử dụng những thủ đoạn tấn công lâu dài, khó phòng chống.
Quá trình tấn công được thực hiện thông qua hình thức phát tán tài liệu chứa mã độc bằng email. Trong vụ này, tin tặc sử dụng các file văn bản với tựa đề và nội dung chứa nhiều thông tin liên quan đến chính phủ Việt Nam để thu hút sự chú ý của nạn nhân.
Các chuyên gia bảo mật của FortiGuard cho biết, chiến dịch này được tiến hành bởi nhóm hacker 1937CN. Bằng chứng về nhóm này đã được tìm thấy thông qua các tên miền độc hại được chúng sử dụng làm server điều khiển.
Các file văn bản được cài sẵn mã độc RAT (Remote Access Trojan) có khả năng giả mạo các phần mềm hợp pháp như GoogleUpdate.exe, SC&Cfg.exe của McAfee AV để qua mặt tường lửa và các phần mềm diệt virus.
RAT có thể tấn công các phiên bản Microsoft Office bao gồm Office 2003 SP3, 2007 SP2 và SP3, 2010 Gold và SP1; Office 2003 Web Components SP3; SQL Server 2000 SP4, 2005 SP4, 2008 SP2, SP3, R2. Đây đều là các phiên bản đã ra mắt từ lâu và việc chúng trở thành đối tượng tấn công là bởi sự chậm chạp trong việc cập nhật các bản vá lỗi từ người dùng.
Các chuyên gia an ninh mạng cảnh báo người dùng không nên mở các tập tin đính kèm trong các email không rõ nguồn gốc. Ngoài ra cần áp dụng các bản vá lỗi do Microsoft cung cấp để bịt lỗ hổng CVE-2012-0158. Đây là lỗ hổng đã được Microsoft cảnh báo và phát hành bản vá từ năm 2012.
Đức Trọng
