Blog

Báo cáo hoạt động năm 2020 và quý 1 năm 2021 của nhóm tin tặc Mustang Panda

Báo cáo hoạt động năm 2020 và quý 1 năm 2021 của nhóm tin tặc Mustang Panda

Trước tần suất và mức độ nguy hiểm ngày càng tăng của các vụ tấn công APT, việc nghiên cứu về các nhóm APT trở thành một nhiệm vụ quan trọng nhằm xác định phương thức, thủ đoạn, công cụ tấn công; từ đó chuẩn bị phương án giám sát, ngăn chặn, giảm thiểu các mối đe dọa đối với hệ thống. Đó là một trong các nhiệm vụ mà đội nghiên cứu Threat Intelligence của GTSC thực hiện. Trong báo cáo này, chúng tôi trình bày tóm tắt hoạt động của nhóm APT Mustang Panda trong năm 2020 và quý I/2021. Đây là một nhóm APT nổi tiếng thế giới và có khá nhiều "ân oán" với Việt Nam.
Phân tích một gadget chain lỗ hổng PHP unserialize trên ZendFramework

Phân tích một gadget chain lỗ hổng PHP unserialize trên ZendFramework

Lỗ hổng Insecure Deserialization trong PHP hay với một tên gọi khác là PHP Object Injection có thể giúp kẻ tấn câng thực hiện các loại tấn công khác nhau, chẳng hạn như Code Injection, SQL Injection, Path Traversal, DDoS …, tùy thuộc vào ngữ cảnh. Lỗ hổng này xảy ra khi dữ liệu đầu vào không được kiểm tra đúng cách trước khi được chuyển đến hàm PHP unserialize. Với các lớp phương thức Magic method cùng các POP chain giúp cho đối tượng tấn công thực thi lỗi này.

Tổng hợp phân tích nghiên cứu mã độc Industroyer/CrashOverride (P2)

Tổng hợp phân tích nghiên cứu mã độc Industroyer/CrashOverride (P2)

Hệ thống truyền thông công nghiệp với tính chất mở, tích hợp nhiều thiết bị với nhiều giao thức truyền thông khác nhau trên cùng một hệ thống điều khiển. Tiếp theo phần 1 bài báo cáo nghiên cứu về mã độc Industroyer/CrashOverride, trong phần 2 này chúng tôi sẽ đi sâu phân tích các  Payload của mã độc này nhắm mục tiêu vào các giao thức truyền thông công nghiệp, các thiết bị công nghiệp cụ thể là các giao thức IEC 60870-5-101, IEC 60870-5-104, OPC DA và IEC 61850, thiết bị Relay bảo vệ SIPROTEC của Siemens.  

 
Tổng hợp phân tích nghiên cứu mã độc Industroyer/CrashOverride (P1)

Tổng hợp phân tích nghiên cứu mã độc Industroyer/CrashOverride (P1)

Tiếp theo loạt bài viết về bảo mật cho môi trường OT, chúng tôi sẽ tổng hợp các báo cáo nghiên cứu về mã độc Industroyer/CrashOverride, là thủ phạm tấn công và gây ra sự cố mất điện một phần thủ đô Kiev (Ukraine) vào 12/2016, gây ra thiệt hại nghiêm trọng. Industroyer/CrashOverride Malware là một loại mã độc trong môi trường OT, với mức độ tinh vi và khả năng nhắm mục tiêu là chưa từng có. Nó có khả năng khai thác điểm yếu của các giao thức truyền thông công nghiệp phổ biến và lỗ hổng CVE-2015-5374 của thiết bị Siemens SIPROTEC 4 & SIPROTEC Compact. Bài viết sẽ chia làm 2 phần. Phần 1 chúng tôi phân tích cách thức quy trình thâm nhập, cấu trúc và các Payload như Backdoor, Launcher, Data Wiper,… của mã độc. Phần 2 phân tích các Payload nhắm vào các giao thức truyền thông công nghiệp, các thiết bị công nghiệp cụ thể là các giao thức OPC DA, IEC 60870-5-101, IEC 60870-5-104 và IEC 61850, thiết bị Relay bảo vệ Siemens SIPROTEC.
 

Liên hệ

Name
Email
Phone
Message