Bản đồ các máy tính bị lây nhiễm
Trong quá trình phân tích về cơ sở hạ tầng của MyloBot, các nhà nghiên cứu cho biết các kết nối đến với dịch vụ proxy có tên “BHProxies”, cho thấy rằng các máy bị xâm nhập sẽ được sử dụng bởi dịch vụ proxy này.
Được biết, mạng Botnet MyloBot xuất hiện vào năm 2017 và lần đầu tiên được công ty bảo mật Deep Instinct (Israel) báo cáo vào năm 2018. Báo cáo này chỉ ra các kỹ thuật chống phân tích và khả năng hoạt động như một trình tải xuống của mạng Botnet này.
“Điều khiến Mylobot trở nên nguy hiểm là khả năng tải xuống và thực thi bất kỳ loại payload nào sau khi lây nhiễm vào máy chủ. Điều này có nghĩa là lúc nào Mylobot cũng có thể tải xuống mã độc bất kỳ mà các tin tặc mong muốn", các nhà nghiên cứu tại Bộ phận tình báo về mối đe dọa Black Lotus Labs của hãng công nghệ Lumen (Mỹ) cho biết.
Vào năm 2022, một phiên bản mới của Mylobot đã được phát hiện triển khai các payload độc hại để gửi email tống tiền các nạn nhân trong một chiến dịch tấn công mạng nhằm kiếm về số Bitcoin trị giá hơn 2.700 USD.
Các giai đoạn thực thi của MyloBot
MyloBot sử dụng trình tự nhiều giai đoạn để giải nén và khởi chạy mã độc bot. Đáng chú ý, nó không hoạt động trong 14 ngày trước khi liên hệ với máy chủ C2 để tránh bị phát hiện. Chức năng chính của Botnet là thiết lập kết nối với tên miền C2 được mã hóa cứng nhúng trong mã độc và chờ nhận lệnh để thực thi. BitSight cho biết: “Khi Mylobot nhận được lệnh từ C2, nó sẽ biến máy tính bị nhiễm thành một proxy. Máy bị nhiễm sẽ có thể xử lý nhiều kết nối và chuyển tiếp lưu lượng được gửi qua máy chủ C2 để chỉ huy và kiểm soát".
Các phiên bản tiếp theo của Botnet này được trang bị thêm tính năng của một trình tải xuống. Trình tải xuống có nhiệm vụ liên hệ với máy chủ C2, máy chủ này sẽ phản hồi bằng một thông báo được mã hóa có chứa một liên kết để truy xuất payload MyloBot.
Một trong những địa chỉ IP trong cơ sở hạ tầng C2 của MyloBot đã được tìm thấy và có kết nối với một tên miền có tên “clients.bhproxies[.]com” thông qua một truy vấn DNS ngược (Reverse DNS). Điều này chứng tỏ MyloBot có thể là một phần của một chiến dịch lớn hơn.
BitSight cho biết họ đã bắt đầu đánh sập MyloBot vào tháng 11/2018, tuy nhiên đến nay mạng botnet này vẫn đang tiếp tục phát triển theo thời gian.
Hồng Đạt
(The Hacker News)
10:00 | 03/03/2023
09:00 | 08/06/2023
09:00 | 08/03/2024
09:00 | 13/02/2024
09:00 | 16/02/2023
08:00 | 10/02/2023
15:00 | 26/01/2024
10:00 | 10/04/2024
Một nhà cung cấp dịch vụ trung tâm dữ liệu bị tấn công với hình thức và thủ đoạn tương tự như vụ tấn công mã độc tống tiền vào VnDirect, chỉ khác về loại mã độc cụ thể mà tin tặc dùng để mã hóa dữ liệu.
16:00 | 15/03/2024
Ngày 11/3, Văn phòng Thủ tướng Pháp thông báo một số cơ quan nhà nước của Pháp đã bị tấn công mạng với cường độ chưa từng có đồng thời nhấn mạnh rằng chính phủ đã có thể hạn chế tác động từ vụ việc này.
14:00 | 19/02/2024
Tin tặc có thể giành quyền truy cập root trên nhiều bản phân phối chính của Linux trong cấu hình mặc định bằng cách khai thác lỗ hổng leo thang đặc quyền cục bộ mới được tiết lộ trong Thư viện GNU C (glibc).
09:00 | 05/02/2024
Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024