Các diễn viên độc hại, được theo dõi dưới mã hiệu UTA0218, đã quản lý để khai thác lỗ hổng này để cài đặt một backdoor tùy chỉnh vào hệ thống của mục tiêu của họ. Backdoor này cho phép họ thực hiện nhiều hoạt động độc hại, bao gồm phát hành lệnh, khởi tạo shell ngược và đánh cắp dữ liệu nhạy cảm. Kịch bản Python được sử dụng trong các cuộc tấn công này đã khéo léo thao túng tệp cấu hình hệ thống tại /usr/lib/python3.6/site-packages/system.pth, biến nó thành một kênh để thực thi các lệnh được mã hóa được trích xuất từ nhật ký truy cập máy chủ web.
Những cuộc tấn công này đã gây thiệt hại đặc biệt nghiêm trọng, cho phép các hacker truy cập vào các mạng nội bộ của nhiều tổ chức. Họ đã sử dụng quyền truy cập của mình để trích xuất các tệp quan trọng từ môi trường Windows, bao gồm cơ sở dữ liệu Active Directory và dữ liệu trình duyệt từ Google Chrome và Microsoft Edge, làm lộ thông tin đăng nhập và cookie của người dùng. Phạm vi dữ liệu truy cập nhấn mạnh rủi ro nghiêm trọng mà backdoor này đặt ra đối với an ninh nội bộ và toàn vẹn dữ liệu của các tổ chức.
Cuộc điều tra của Volexity tiết lộ rằng những cuộc tấn công này có khả năng do nhà nước tài trợ, với tính phức tạp và bản chất của các mục tiêu liên quan. Việc sử dụng backdoor cho việc tống tiền dữ liệu rộng rãi và kiểm soát hệ thống cho thấy mức độ năng lực và nguồn lực cao của các tác nhân đe dọa. Palo Alto Networks đã phản ứng trước mối đe dọa bằng cách phát hành các bản vá nóng cho các phiên bản PAN-OS bị ảnh hưởng và dự định phát hành thêm các bản vá cho các phiên bản khác thường được sử dụng.
Sự cố này nhấn mạnh tầm quan trọng then chốt của việc duy trì các thực hành bảo mật cập nhật, bao gồm các bản cập nhật và vá lỗi thường xuyên, đặc biệt là đối với các thiết bị là một phần của cơ sở hạ tầng quan trọng của tổ chức. Nó cũng làm nổi bật những thách thức liên tục trong an ninh mạng, nơi các nhóm được nhà nước tài trợ khai thác các lỗ hổng cấp cao để thực hiện gián điệp và các cuộc tấn công có thể gây rối loạn.
Source: Red Hot Cyber
Để giảm thiểu các mối đe dọa tiềm năng, điều quan trọng là cần thực hiện các biện pháp bảo mật mạng bổ sung với sự giúp đỡ của một đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn cũng có thể tự thử bằng cách sử dụng check.website.