Các mục tiêu chính của chiến dịch tấn công này bao gồm cơ quan truyền thông, tổ chức giáo dục và cơ quan chính phủ tại Nga (Ảnh minh họa: Kaspersky).
Lỗ hổng được phát hiện bởi nhóm Nghiên cứu & Phân tích Toàn cầu của Kaspersky (GReAT), được đánh giá là một lỗ hổng vô cùng phức tạp, tinh vi.
Vào giữa tháng 3, Kaspersky phát hiện một làn sóng lây nhiễm xảy ra khi người dùng nhấp vào các liên kết lừa đảo được cá nhân hóa và gửi qua email.
Sau khi nhấp vào liên kết, hệ thống người dùng ngay lập tức bị xâm nhập, ngay cả khi người đó không thực hiện thêm bất cứ thao tác nào.
Theo đó, tin tặc đã khai thác lỗ hổng zero-day (một lỗ hổng chưa từng được phát hiện) trong phiên bản Chrome mới nhất, đội ngũ Kaspersky đã ngay lập tức cảnh báo tới nhóm bảo mật Google.
Bản vá bảo mật cho lỗ hổng này được phát hành sau đó vào ngày 25/3.
Kẻ tấn công thông qua hình thức gửi email, mời nạn nhân tham dự diễn đàn "Primakov Readings" để thực hiện hành vi lừa đảo.
Các mục tiêu chính bao gồm cơ quan truyền thông, tổ chức giáo dục và cơ quan chính phủ tại Nga.
Tinh vi hơn, các liên kết độc hại chỉ tồn tại trong thời gian ngắn nhằm tránh bị phát hiện. Và trong đa số trường hợp, các liên kết sẽ chuyển hướng đến trang web hợp pháp của Primakov Readings nhằm che giấu dấu vết sau khi hoàn tất quá trình lừa đảo.
Lỗ hổng zero-day trong Chrome chỉ là một mắt xích trong chuỗi tấn công, trong đó kẻ tấn công sử dụng ít nhất hai công cụ khai thác. Một trong số đó là lỗ hổng thực thi mã từ xa (Remote Code Execution - RCE), được cho là bước mở đầu cho cuộc tấn công.
Hiện các chuyên gia vẫn chưa thu thập được đầy đủ thông tin về lỗ hổng này.
Bước thứ hai trong chuỗi tấn công là thông qua lỗ hổng vượt qua sandbox của Google Chrome, cũng chính là lỗ hổng mà Kaspersky đã phát hiện.
Theo các chuyên gia, chiến dịch này chủ yếu phục vụ mục đích gián điệp. Các bằng chứng thu thập được đều cho thấy chiến dịch có liên quan đến một nhóm tin tặc APT.
Ông Boris Larin, Trưởng nhóm các nhà nghiên cứu bảo mật tại GReAT cho biết: "Lỗ hổng này đặc biệt nguy hiểm hơn so với hàng chục lỗ hổng zero-day mà chúng tôi từng phát hiện trong nhiều năm qua.
Kẻ tấn công khai thác lỗ hổng này để vượt qua cơ chế bảo vệ sandbox của Chrome mà không cần thực hiện bất kỳ hành vi rõ ràng nào, như thể hệ thống bảo mật của trình duyệt gần như không tồn tại.
Nhìn vào mức độ tinh vi đó, có thể thấy phương thức tấn công này được phát triển bởi những nhóm tội phạm mạng có trình độ cao và nguồn lực lớn. Chúng tôi khuyến cáo tất cả người dùng nên cập nhật Google Chrome và các trình duyệt sử dụng nền tảng Chromium lên phiên bản mới nhất để tránh nguy cơ bị tấn công".
Google đã ghi nhận đóng góp của Kaspersky trong việc phát hiện và báo cáo lỗ hổng này, thể hiện cam kết trong việc hợp tác với cộng đồng an ninh mạng toàn cầu nhằm đảm bảo an toàn cho người dùng.
Trước đó, nhóm GReAT của Kaspersky cũng đã phát hiện một lỗ hổng zero-day khác trên Chrome (CVE-2024-4947). Lỗ hổng này từng bị nhóm APT Lazarus khai thác trong chiến dịch trộm cắp tiền điện tử.
Thời điểm đó, các nhà nghiên cứu của Kaspersky đã phát hiện một lỗi "type confusion" trong công cụ V8 JavaScript của Chrome, cho phép tin tặc vượt qua cơ chế bảo mật thông qua một trang web giả mạo về tiền điện tử.
Biện pháp được các chuyên gia khuyến nghị để bảo vệ khỏi các mối đe dọa phức tạp gồm: Cập nhật phần mềm kịp thời, áp dụng mô hình bảo mật nhiều lớp và sử dụng dịch vụ tình báo bảo mật, giúp cập nhật các lỗ hổng zero-day và kỹ thuật tấn công mới nhất.
