SINGAPORE – Media OutReach – Ngày 18 tháng 5 năm 2020 –Ensign InfoSecurity (Ensign), một trong những công ty an ninh mạng lớn nhất ở châu Á – Thái Bình Dương đã công bố những phát hiện mới của báo cáo có tiêu đề Singapore Threat Landscape 2019 (tạm dịch: Cảnh quan về những đe đọa ở Singapore trong năm 2019). Trong đó, báo cáo đã xác định các cuộc tấn công hố nước (Waterhole Attack là các cuộc tấn công có chủ đích vào các website của các cơ quan, tổ chức, doanh nghiệp) và tấn công giả mạo, lừa đảo (phishing) là mối đe dọa hàng đầu của Singapore trong năm 2019, chiếm 84% tất cả các cuộc tấn công mạng được phát hiện.
Báo cáo cũng tiết lộ rằng, lĩnh vực công nghệ cao [1] tại Singapore là mục tiêu hàng đầu của các tác nhân đe dọa trong năm 2019. Các công ty trong lĩnh vực này là mục tiêu hấp dẫn khi các tác nhân đe dọa muốn khai thác cơ sở hạ tầng trung tâm dữ liệu của họ để mở rộng hoạt động, cũng như nhắm mục tiêu các tổ chức khác có máy chủ đang được lưu trữ ở đó.
Trong năm 2019, 5 lĩnh vực là các mục tiêu được nhắm tới nhiều nhất ở Singapore là:
Đó là (1) Công nghệ cao; (2) Thông tin – Truyền thông; (3) Các phương tiện truyền thông; (4) Các viện nghiên cứu cao cấp, của các trường đại học và (5) các dịch vụ tài chính.
Báo cáo này được tạo bằng các công cụ và mô hình dữ liệu độc quyền của Ensign, bao gồm Ensign Singapore-centric Cyber Threat Intelligence, Cyber Threat Detection & Analytics engine (tạm dịch Công cụ của Ensign: Trí thông minh về đe dọa mạng lấy Singapore là trung tâm, công cụ Phân tích & phát hiện mối đe dọa mạng) và nền tảng IP360 của Ensign để cấu hình các hoạt động và hành vi của địa chỉ IP ẩn danh trong lưu lượng truy cập mạng doanh nghiệp.
Ông Lee Shih Yen, Phó chủ tịch cấp cao phụ trách Bộ phận Ensign Labs của Ensign InfoSecurity cho biết: “Sự liên quan và bối cảnh là những yếu tố quan trọng nhất khi phân tích trí thông minh đe doạ trực tuyến, vì các mối đe dọa và xu hướng có thể khác nhau giữa các khu vực địa lý, ngành nghề và công ty. Chỉ bằng cách kết hợp các nguồn thông tin về mối đe dọa mạng toàn cầu và địa phương khác nhau, chúng tôi mới có thể có được thông tin chính xác và sâu sắc về các mối đe dọa cụ thể của Singapore và giúp các tổ chức củng cố tư thế an ninh mạng của họ bằng cách cung cấp những hiểu biết có thể hành động theo ngữ cảnh”.
Hai mối đe dọa hàng đầu trong năm 2019
Các cuộc tấn công hố nước là mối đe dọa phổ biến nhất trong năm 2019, đóng góp tới gần một nửa (47%) trong số tất cả các cuộc tấn công mạng được phát hiện ở Singapore. Các cuộc tấn công hố nước xảy ra khi kẻ tấn công xâm nhập một trang web và thay thế nội dung của nó bằng các thông tin độc hại. Những nạn nhân không ngờ rằng, sau đó tải nội dung xuống từ các trang web này, thiết bị của họ sẽ bị lây nhiễm bằng phần mềm độc hại.
Phương pháp này cho phép các tác nhân đe dọa thực hiện các cuộc tấn công chuỗi cung ứng, nơi họ làm lây nhiễm các máy chủ chứa các bản cập nhật của phần mềm phổ biến và thay thế các bản cập nhật này bằng mã độc để phát tán phần mềm độc hại. Điều này cho phép các tác nhân đe dọa đạt được sự lây nhiễm hàng loạt, đặc biệt là khi máy chủ web dễ bị tổn thương đang thuộc loại phổ biến và được người dùng cuối tin tưởng.
Các vectơ đe dọa hàng đầu khác ở Singapore là lừa đảo (phishing hay còn được gọi là malspam) và gần 2 trong số 5 (37%) các vụ tấn công mạng được phát hiện trong năm 2019 có thể được quy cho lừa đảo. Phishing là một kỹ thuật xã hội hiệu quả và là một chiến thuật phổ biến cho các tác nhân đe dọa, vì nó dễ thực hiện và có thể nhắm mục tiêu vào một nhóm nạn nhân rộng lớn.
APT32 – Nhóm tác nhân đe dọa có dấu hiệu tấn công mạng cao nhất trong năm 2019
Cả tấn công hố nước và lừa đảo là các kỹ thuật ưa thích của APT32 – nhóm tác nhân đe dọa. Báo cáo đã tiết lộ rằng, sự gia tăng các hoạt động liên quan đến APT32, còn được gọi là Oceanlotus (tạm dịch Hoa sen đại dương) cao hơn bất kỳ nhóm tác nhân đe dọa nào khác ở Singapore trong năm 2019.
APT32 hoạt động từ năm 2014, tập trung các hoạt động tại Đông Nam Á và đã nhắm đến nhiều khu vực tư nhân và chính phủ trong khu vực.
Trong năm 2019, Ensign đã phát hiện các hoạt động liên quan đến APT32 tại 23 trên 34 lĩnh vực (68%) tại Singapore. Sự lây lan của các cuộc tấn công mạng trên các lĩnh vực khác nhau phù hợp với chiến lược của APT32 trong việc điều hành các chiến dịch email lừa đảo cơ hội trong suốt cả năm.
Từ tháng 4 đến tháng 5 năm 2019, Ensign đã phát hiện hiện tượng tăng đột biến tới 500% trong các hoạt động của APT32 trong lĩnh vực sản xuất của Singapore. Từ tháng 10 đến tháng 12 năm 2019, Ensign đã tìm thấy sự gia tăng 800% trong các hoạt động APT32, đó là kết quả của các chiến dịch lừa đảo theo mùa mà nhóm các tác nhân đe dọa này đã chạy trong mùa mua sắm và lễ hội.
Emotet – Mối đe dọa mới nổi lên trong năm 2019
Báo cáo cũng nêu đích danh Emotet là phần mềm độc hại nổi bật nhất ở Singapore. Ensign đã phát hiện các hoạt động Emotet trong 27 trên 34 (79%) lĩnh vực trong năm 2019, ảnh hưởng đến hơn 1.200 công ty. Các cuộc tấn công rộng khắp trên một phạm vi rộng các lĩnh vực cho thấy các cuộc tấn công mang tính cơ hội khá rõ và ở dạng chiến dịch spam.
Trong 6 tháng đầu năm 2019, đặc biệt là từ tháng 2 đến tháng 4, Ensign đã phát hiện khối lượng lớn các hoạt động thăm dò trên cổng 445, đây là một cổng dễ bị tấn công bởi Emotet. Có khả năng các tác nhân đe dọa đã quét các mục tiêu dễ bị tấn công như một phần của hoạt động trinh sát của họ.
Trong quý 4 năm 2019 (từ ngày 1 tháng 10 đến 31 tháng 12), các phát hiện lừa đảo của Emotet tăng gấp 9 lần so với quý 3 năm 2019 (từ ngày 1 tháng 7 đến 30 tháng 9). Điều này có thể được quy cho sự ra mắt của các chiến dịch email lừa đảo của các nhóm diễn viên đe dọa khác nhau.
Trong cùng thời gian, số lần phát hiện Emotet C2 (chỉ huy và kiểm soát) tăng gấp 11 lần so với quý 3 năm 2019. Sự gia tăng lưu lượng đi với các chỉ số thỏa hiệp (indicators-of-compromise – IoC) Emotet có thể được quy cho các máy chủ bị nhiễm bởi chiến dịch spam lừa đảo.
Ông Lee Shih Yen cho biết thêm: “Việc phát hiện mối đe dọa dựa trên chữ ký thông thường là không đủ trong bối cảnh mối đe dọa mạng hiện nay, vì phần mềm độc hại dạng mô đun, đa hình, như Emotet, đang nổi lên nhanh hơn bao giờ hết. Các tổ chức cần phải có một tư thế an ninh mạng chủ động và điều này không chỉ đòi hỏi quyền truy cập vào trí thông minh đe dọa có thể hành động, mà còn cả khả năng bảo mật dựa trên hành vi có thể phát hiện các thay đổi trong chiến thuật và kỹ thuật bất lợi dựa trên khung MITER ATT & CK® [2]”.
Chú thích:
[1] Đối với các công ty công nghệ cao, sự đổi mới công nghệ và các hệ thống, ứng dụng và thiết bị tiên tiến đóng vai trò trung tâm trong các dịch vụ và dịch vụ kinh doanh cốt lõi của họ. Một số ví dụ bao gồm đám mây, trung tâm dữ liệu và nhà cung cấp dịch vụ lưu trữ web. Đối với các công ty thông tin – truyền thông, họ chuyên về các sản phẩm và dịch vụ công nghệ thông tin kết nối mạng. Một số ví dụ bao gồm các công ty viễn thông, nhà cung cấp dịch vụ Internet và nhà khai thác mạng.
[2] Khung MITRE ATT&CK® (Adversarial Tactics, Techniques, and Common Knowledge) – (tạm dịch: các chiến thuật đối địch, các kỹ thuật và hiểu biết thông thường) là một nền tảng kiến thức về các chiến thuật và kỹ thuật đe dọa mạng cho phép các nhà nghiên cứu an ninh mạng, thợ săn đe dọa mạng và đồng đội hiểu rõ hơn các mối đe dọa trên mạng và đánh giá các rủi ro trên không gian mạng của một tổ chức.
Thông tin về Ensign InfoSecurity
Ensign InfoSecurity là nhà cung cấp dịch vụ an ninh mạng lớn nhất ở châu Á, với một mạng lưới rộng lớn trong khu vực. Công ty hiện có trụ sở chính tại Singapore và có văn phòng tại Malaysia, Hồng Kông và Hàn Quốc. Ensign InfoSecurity có một lực lượng lao động, gồm hơn 500 chuyên gia an ninh mạng, với các kỹ năng trong việc cung cấp các dịch vụ an ninh mạng toàn diện. Năng lực cốt lõi của Ensign InfoSecurity bao gồm tư vấn và đảm bảo an ninh, thiết kế kiến trúc, triển khai, xác nhận và quản lý các kiểm soát bảo mật tiên tiến, săn lùng mối đe dọa và các dịch vụ ứng phó sự cố. Nền tảng của những năng lực này là nghiên cứu và phát triển nội bộ về an ninh mạng.
Để biết thêm thông tin, hãy truy cập www.ensigninfosecurity.com hay gửi email tới marketing@ensigninfosecurity.com