Được viết bằng ngôn ngữ lập trình đa nền tảng Golang, mã độc mới này có khả năng khởi động lại hệ thống ở chế độ an toàn (Safe mode) và chấm dứt các tiến trình và dịch vụ dành riêng cho máy chủ. Agenda nhắm mục tiêu vào các hệ thống Windows và đã được sử dụng trong các cuộc tấn công nhắm vào các tổ chức chăm sóc sức khỏe, giáo dục tại Indonesia, Ả Rập thống nhất, Nam Phi và Thái Lan.
Theo quan sát của Trend Micro, các mẫu mã độc đã được tùy chỉnh cho từng nạn nhân, số tiền chuộc yêu cầu cũng khác nhau, dao động trong khoảng 50.000 - 800.000 USD.
“Mỗi mẫu mã độc tống tiền đều được tùy chỉnh cho nạn nhân mục tiêu. Theo điều tra của chúng tôi, các mẫu mã độc sử dụng tài khoản, mật khẩu khách hàng và ID công ty làm phần mở rộng của các tệp bị mã hóa”, Trend Micro cho biết.
Công ty bảo mật này cũng phát hiện các bài đăng trên diễn đàn dard web liên quan đến Agenda của một người dùng có tên “Qilin” và tin rằng người dùng này đang cung cấp phần mềm tống tiền cho các nhóm tin tặc khác nhau để tùy chỉnh payload với thông tin chi tiết về nạn nhân, bao gồm: ID, khóa RSA, các tiến trình và các dịch vụ sẽ bị chấm dứt trước khi mã hóa.
Agenda hỗ trợ một số đối số dòng lệnh, xây dựng cấu hình runtime để xác định hành vi, loại bỏ các bản sao, chấm dứt các tiến trình và dịch vụ antivirus khác nhau, đồng thời tạo một mục tự động khởi động trỏ vào một bản sao của chính nó. Hơn nữa, mã độc tống tiền này thay đổi mật khẩu của người dùng mặc định và sau đó cho phép đăng nhập tự động bằng thông tin đăng nhập đã sửa đổi. Nó khởi động lại thiết bị ở chế độ an toàn và bắt đầu mã hóa dữ liệu khi khởi động lại.
.jpg)
Cách thức hoạt động của Agenda
Là một phần của một cuộc tấn công, tin tặc đã sử dụng máy chủ Citrix công khai đóng vai trò là một điểm vào để thực hiện thỏa hiệp ban đầu, có thể là thông qua tài khoản hợp lệ và sử dụng máy chủ để truy cập mạng của nạn nhân. Đồng thời, tin tặc cũng sử dụng thông tin đăng nhập bị rò rỉ để kết nối với dịch vụ Active Directory thông qua giao thức truy cập từ xa (RDP) và cài đặt các công cụ dò quét như Nmap, Nping để lập bản đồ mạng. Nó cũng tạo một Chính sách nhóm (Group Policty) và triển khai mã độc trên tất cả các máy.
“Agenda lợi dụng các tài khoản cục bộ để đăng nhập với tư cách là người dùng giả mạo và thực thi mã nhị phân độc hại, tiếp tục mã hóa các máy khác nếu đăng nhập thành công. Nó cũng chấm dứt nhiều quy trình và dịch vụ, đồng thời đảm bảo sự tồn tại lâu dài bằng cách đưa DLL vào svchost.exe”, Trend Micro lưu ý.
Theo đánh giá của Trend Micro, Agenda có nhiều điểm tương đồng với các dòng mã độc tống tiền nổi tiếng như Black Basta, Black Matter và REvil (hay còn gọi là Sodinokibi). Cụ thể, trang web thanh toán và xác minh người dùng được triển khai trên trang Tor của Agenda giống với Black Basta và Black Matter, trong khi khả năng thay đổi mật khẩu Windows và khởi động lại hệ thống ở chế độ an toàn tương tự như Black Basta và REvil.
Hồng Đạt
(Theo SecurityWeek)
12:00 | 12/08/2022
14:00 | 29/09/2022
11:00 | 11/11/2022
11:00 | 03/10/2022
17:00 | 29/12/2022
07:00 | 20/05/2022
12:00 | 23/09/2022
16:00 | 28/11/2022
10:00 | 14/06/2022
12:00 | 30/06/2022
09:00 | 08/03/2024
Thông tin chi tiết về một lỗ hổng có độ nghiêm trọng mức cao trong ứng dụng Shortcut của Apple đã được công bố, trong đó lỗ hổng có thể cho phép một Shortcut truy cập thông tin nhạy cảm trên thiết bị mà không có sự đồng ý của người dùng.
14:00 | 05/03/2024
Một sự cố an ninh mạng nghiêm trọng gần đây đã xảy ra khi một trình cài đặt trong phần mềm của Chính phủ Nga bị cài đặt backdoor để phát tán trojan truy cập từ xa có tên Konni RAT (còn gọi là UpDog).
09:00 | 29/01/2024
Các nhà nghiên cứu đến từ hãng bảo mật Fortinet (Mỹ) phát hiện một biến thể mới của Trojan truy cập từ xa có tên Bandook đang được phân phối thông qua các cuộc tấn công lừa đảo nhằm mục đích xâm nhập vào các máy tính Windows. Bài viết sẽ phân tích hành vi của Bandook, cung cấp thông tin chi tiết về các thành phần được sửa đổi trong biến thể mới và giải mã một số ví dụ về cơ chế giao tiếp máy chủ ra lệnh và điều khiển (C2) của phần mềm độc hại này.
07:00 | 27/12/2023
Các nhà nghiên cứu tại Công ty công nghệ an ninh mạng Cisco Talos (Mỹ) mới đây đã phát hiện ra chiến dịch Operation Blacksmith do nhóm tin tặc Lazarus khét tiếng của Triều Tiên thực hiện, sử dụng ba họ phần mềm độc hại dựa trên ngôn ngữ lập trình DLang, bao gồm trojan truy cập từ xa (RAT) có tên là NineRAT tận dụng Telegram để ra lệnh và kiểm soát (C2), DLRAT và trình tải xuống có tên là BottomLoader.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024
