404 Not Found
Writer
Nhóm tin tặc Akira đang triển khai một chiến dịch tấn công có tổ chức nhắm vào các thiết bị SonicWall SSL VPN trên toàn thế giới kể từ tháng 7 năm 2025. Nhóm này khai thác lỗ hổng CVE-2024-40766, tồn tại hơn một năm trong phần mềm quản lý mạng SonicWall SonicOS, để xâm nhập vào hệ thống của nhiều doanh nghiệp thuộc các lĩnh vực khác nhau. Các chuyên gia bảo mật nhận định chuỗi tấn công được thực hiện có chủ đích, từ thu thập thông tin đăng nhập đến rò rỉ dữ liệu quan trọng, cho thấy mức độ tinh vi và chuyên nghiệp của nhóm Akira.
Lỗ hổng CVE-2024-40766 là lỗi kiểm soát quyền truy cập trong SonicOS, ảnh hưởng đến các thiết bị thế hệ 5, 6 và 7 chạy phiên bản 7.0.1-5035 trở về trước. Dù đã có bản vá từ tháng 8 năm 2024, lỗ hổng này vẫn bị khai thác để tấn công mạng doanh nghiệp, sử dụng mã độc được cung cấp theo mô hình cho thuê. Việc tận dụng một lỗi cũ nhưng phổ biến cho thấy nhóm tấn công nắm rõ môi trường mục tiêu và biết khai thác các khoảng trống trong quản lý bản vá để mở rộng phạm vi xâm nhập.
Chiến dịch bắt đầu bằng việc tin tặc quét và thu thập thông tin về hệ thống, xác định các máy chủ và dịch vụ đang hoạt động. Sau đó, chúng di chuyển trong mạng nội bộ để chiếm quyền điều khiển các máy chủ quan trọng, đánh cắp thông tin đăng nhập và mở rộng quyền kiểm soát. Nhóm tấn công còn sử dụng kỹ thuật tinh vi để trích xuất các mã bảo mật từ hệ thống và tái sử dụng chúng nhằm leo thang quyền truy cập.
Đáng chú ý, mã độc được ngụy trang dưới dạng công cụ hợp pháp của VMware và được tải lên hệ thống bằng các lệnh từ xa. Dữ liệu nhạy cảm sau đó bị gom lại và truyền ra ngoài qua các kênh mã hóa đến hệ thống do nhóm Akira kiểm soát. Các chuyên gia bảo mật đã phát hiện các kết nối bất thường từ máy nội bộ ra các địa chỉ mạng bên ngoài, cho thấy dữ liệu đã bị rò rỉ.
Để phòng ngừa và phát hiện, các tổ chức cần chú ý các dấu hiệu bất thường như tệp giả mạo, lệnh tải xuống từ xa, các phiên kết nối lớn và địa chỉ máy chủ điều khiển. Việc giám sát hệ thống, phân tích nhật ký và tuân thủ quy trình điều tra sự cố giúp nhanh chóng nhận diện, cô lập máy bị xâm và ngăn chặn dữ liệu rò rỉ.
Chỉ trong thời gian ngắn sau vụ tấn công đầu tiên, các chuyên gia đã phát hiện thêm ba vụ việc tương tự nhắm vào hạ tầng VPN SonicWall tại Mỹ. Việc lỗ hổng CVE-2024-40766 vẫn bị khai thác dù đã có bản vá hơn một năm cho thấy nhiều doanh nghiệp chưa chú trọng cập nhật phần mềm. Trong bối cảnh VPN là cửa ngõ quan trọng để truy cập hệ thống từ xa, việc trì hoãn cập nhật hay bỏ qua bản vá không chỉ tạo điều kiện cho mã độc xâm nhập mà còn đe dọa toàn bộ chuỗi bảo vệ, gây nguy cơ mất dữ liệu, gián đoạn hoạt động và ảnh hưởng uy tín lâu dài.
Lỗ hổng CVE-2024-40766 là lỗi kiểm soát quyền truy cập trong SonicOS, ảnh hưởng đến các thiết bị thế hệ 5, 6 và 7 chạy phiên bản 7.0.1-5035 trở về trước. Dù đã có bản vá từ tháng 8 năm 2024, lỗ hổng này vẫn bị khai thác để tấn công mạng doanh nghiệp, sử dụng mã độc được cung cấp theo mô hình cho thuê. Việc tận dụng một lỗi cũ nhưng phổ biến cho thấy nhóm tấn công nắm rõ môi trường mục tiêu và biết khai thác các khoảng trống trong quản lý bản vá để mở rộng phạm vi xâm nhập.
Chiến dịch bắt đầu bằng việc tin tặc quét và thu thập thông tin về hệ thống, xác định các máy chủ và dịch vụ đang hoạt động. Sau đó, chúng di chuyển trong mạng nội bộ để chiếm quyền điều khiển các máy chủ quan trọng, đánh cắp thông tin đăng nhập và mở rộng quyền kiểm soát. Nhóm tấn công còn sử dụng kỹ thuật tinh vi để trích xuất các mã bảo mật từ hệ thống và tái sử dụng chúng nhằm leo thang quyền truy cập.
Đáng chú ý, mã độc được ngụy trang dưới dạng công cụ hợp pháp của VMware và được tải lên hệ thống bằng các lệnh từ xa. Dữ liệu nhạy cảm sau đó bị gom lại và truyền ra ngoài qua các kênh mã hóa đến hệ thống do nhóm Akira kiểm soát. Các chuyên gia bảo mật đã phát hiện các kết nối bất thường từ máy nội bộ ra các địa chỉ mạng bên ngoài, cho thấy dữ liệu đã bị rò rỉ.
Để phòng ngừa và phát hiện, các tổ chức cần chú ý các dấu hiệu bất thường như tệp giả mạo, lệnh tải xuống từ xa, các phiên kết nối lớn và địa chỉ máy chủ điều khiển. Việc giám sát hệ thống, phân tích nhật ký và tuân thủ quy trình điều tra sự cố giúp nhanh chóng nhận diện, cô lập máy bị xâm và ngăn chặn dữ liệu rò rỉ.
Chỉ trong thời gian ngắn sau vụ tấn công đầu tiên, các chuyên gia đã phát hiện thêm ba vụ việc tương tự nhắm vào hạ tầng VPN SonicWall tại Mỹ. Việc lỗ hổng CVE-2024-40766 vẫn bị khai thác dù đã có bản vá hơn một năm cho thấy nhiều doanh nghiệp chưa chú trọng cập nhật phần mềm. Trong bối cảnh VPN là cửa ngõ quan trọng để truy cập hệ thống từ xa, việc trì hoãn cập nhật hay bỏ qua bản vá không chỉ tạo điều kiện cho mã độc xâm nhập mà còn đe dọa toàn bộ chuỗi bảo vệ, gây nguy cơ mất dữ liệu, gián đoạn hoạt động và ảnh hưởng uy tín lâu dài.
WhiteHat
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
