Đe dọa tài liệu Microsoft Office Thả phần mềm độc hại LokiBot

Trong một tuần đầy những sự kiện quan trọng đối với Microsoft, bao gồm một cuộc tấn công APT của Trung Quốc và việc vá các lỗ hổng zero-day bị khai thác trong Patch Tuesday, các nhà nghiên cứu đã thực hiện một khám phá đáng báo động khi quan sát nhiều trường hợp tài liệu Microsoft Office độc hại, khi thực thi sẽ giải phóng phần mềm độc hại LokiBot vào hệ thống mục tiêu. Phần mềm độc hại này đe dọa nghiêm trọng nạn nhân bằng cách xâm nhập vào hệ thống của họ, có khả năng dẫn đến truy cập trái phép và đánh cắp dữ liệu.

Khai thác các lỗ hổng nổi tiếng, cụ thể là CVE-2021-40444 (CVSS 7.8) và CVE-2022-30190 (CVSS 7.8), các tài liệu Microsoft Office đe dọa đã trở thành cửa ngõ cho sự xâm nhập của phần mềm độc hại khét tiếng LokiBot. Mặc dù đã có các bản vá cho các lỗ hổng này trong hơn một năm, nhưng những kẻ tấn công đã lợi dụng các hệ thống chưa được vá.

LokiBot là gì?

LokiBot, một trojan đánh cắp thông tin lâu đời được biết đến từ năm 2015, tập trung vào nền tảng Windows, tìm cách trích xuất dữ liệu có giá trị từ các máy bị xâm nhập. Sự hiện diện liên tục của nó trong bối cảnh mối đe dọa nhấn mạnh tầm quan trọng của việc duy trì các biện pháp bảo mật mạnh mẽ để chống lại các mối đe dọa mạng đang phát triển.

LokiBot sử dụng kết hợp các kỹ thuật có hại để thực hiện các hoạt động có hại của nó. Nó tận dụng nhiều lỗ hổng và sử dụng macro Visual Basic for Applications (VBA) để bắt đầu các cuộc tấn công. Ngoài ra, LokiBot kết hợp một trình tiêm Visual Basic hỗ trợ tránh bị phát hiện và phân tích. Bằng cách tận dụng bộ tiêm này, phần mềm độc hại có thể phá vỡ các biện pháp bảo mật cụ thể, khiến nó trở thành mối đe dọa ghê gớm đối với người dùng. Khả năng LokiBot sử dụng các kỹ thuật tiên tiến này nêu bật tầm quan trọng của việc triển khai các biện pháp bảo mật mạnh mẽ và cảnh giác trước các mối đe dọa mạng đang gia tăng.

Sai lầm ở khía cạnh thận trọng

Các nhà nghiên cứu đặc biệt khuyên người dùng nên thận trọng và áp dụng cách tiếp cận thận trọng khi xử lý các tài liệu Office hoặc các tệp lạ, đặc biệt là những tệp chứa liên kết đến các trang web bên ngoài. Họ nhấn mạnh tầm quan trọng của việc duy trì cảnh giác và không nhấp vào các liên kết đáng ngờ hoặc mở tệp đính kèm từ các nguồn không đáng tin cậy. Ngoài ra, việc cập nhật phần mềm và hệ điều hành với các bản vá bảo mật mới nhất là rất quan trọng để giảm thiểu rủi ro bị phần mềm độc hại khai thác.

Những lỗ hổng đã biết này đặt ra một thách thức đáng kể khi chúng khai thác các kỹ thuật kỹ thuật xã hội cổ điển nhắm vào người dùng cuối. Những kẻ tấn công dựa vào các tệp đính kèm hấp dẫn, hy vọng những người dùng không nghi ngờ hoặc được bảo vệ không đầy đủ sẽ mở chúng. Điều đó nhấn mạnh nhu cầu nâng cao nhận thức và giáo dục về an ninh mạng mạnh mẽ để trao quyền cho người dùng trong việc nhận biết và tránh các mối đe dọa tiềm ẩn.

May mắn thay, Microsoft đã thực hiện các biện pháp chủ động để giải quyết và cung cấp giải pháp cho sự cố, đồng thời nhấn mạnh nhu cầu của các nhóm bảo mật để đảm bảo các sản phẩm bảo vệ điểm cuối của họ luôn được cập nhật.

Điều quan trọng là luôn coi các lỗ hổng thực thi mã từ xa là ưu tiên hàng đầu liên quan đến mức độ đe dọa. Bạn nên kiểm tra kỹ lưỡng các dấu hiệu thỏa hiệp và tiến hành điều tra ban đầu để xác minh xem lỗ hổng bảo mật có ảnh hưởng đến chúng hay không. Cách tiếp cận chủ động này cho phép các tổ chức xác định và giảm thiểu bất kỳ tác động tiềm ẩn nào một cách nhanh chóng.

Sự xuất hiện của bao bì mới này dành cho LokiBot làm dấy lên mối lo ngại nghiêm trọng do khả năng tránh bị phát hiện, che giấu các hoạt động của nó và có khả năng xâm phạm dữ liệu nhạy cảm. Để đối phó với điều đó, các tổ chức không nên đơn giản ngừng sử dụng Microsoft Office mà nên ưu tiên các hành động để giữ cho hệ thống của họ được bảo vệ. Điều đó bao gồm việc thường xuyên cập nhật các bản vá và chữ ký chống phần mềm độc hại, đồng thời giáo dục người dùng về việc thận trọng khi xử lý các tài liệu Office. Bằng cách thực hiện các biện pháp chủ động này, các tổ chức có thể tăng cường khả năng phòng thủ của mình và giảm thiểu rủi ro trở thành nạn nhân của các hoạt động gây hại đó.

Đe dọa tài liệu Microsoft Office Thả phần mềm độc hại LokiBot ảnh chụp màn hình