Le Département de la sécurité de l'information a déclaré qu'au cours du processus de surveillance de la sécurité de l'information dans le cyberespace, le Centre national de surveillance de la cybersécurité - NCSC a découvert et enregistré des informations liées à la campagne de cyberattaque menée par le groupe APT MiroFace.
Il est connu que l'APT MirrorFace cible les institutions financières, les instituts de recherche et les fabricants. Le groupe d'attaque a ainsi exploité des vulnérabilités informatiques des logiciels d'Array AG et de FortiGate pour diffuser le malware NOOPDOOR.
Selon les experts, le malware NOOPDOOR est installé dans des applications légitimes du système sous deux formes : les fichiers « .XML » et « .DLL ». Ces deux variantes permettent aux attaquants d'établir des connexions via les ports 443 et 47000 pour télécharger des fichiers et exécuter des commandes.
Après la diffusion du logiciel malveillant, les attaquants ont mené des actions illégales telles que l'accès au stockage des informations d'authentification du système réseau, la propagation du logiciel malveillant sur d'autres appareils du réseau local et la surveillance et l'extraction des informations des utilisateurs.
En outre, le groupe d'attaque a également pris des mesures pour éviter la détection, telles que : la modification des horodatages, l'ajout de règles au pare-feu du système afin que le logiciel malveillant puisse se connecter à certains ports, le masquage des services activés...
Le Département de la sécurité de l'information recommande donc aux organisations et entreprises de tout le pays d'inspecter et d'analyser les systèmes d'information utilisés susceptibles d'être affectés par la campagne d'attaque lancée par le groupe APT MirrorFace. Parallèlement, il est recommandé de surveiller activement les informations relatives à cette campagne afin de prévenir et d'éviter tout risque d'attaque.
Dans le même temps, il est également recommandé aux organisations d’accroître la surveillance et de préparer des plans d’intervention lorsqu’elles détectent des signes d’exploitation et de cyberattaques.
Par ailleurs, les unités doivent également surveiller les informations afin de détecter rapidement les risques de cyberattaques. En cas de besoin, elles peuvent contacter le Centre national de surveillance de la cybersécurité au 02432091616 ou par courriel à l'adresse ncsc@ais.gov.vn.
Source : https://kinhtedothi.vn/canh-bao-chien-dich-tan-cong-nham-vao-to-chuc-tai-chinh-vien-nghien-cuu.html
Comment (0)