Trong an ninh mạng, payload là một phần của một malware, một đoạn mã được chạy trên máy tính nạn nhân, dùng để thực hiện một số hoạt động độc hại nào đó như: hủy bỏ dữ liệu, spam hay mã hóa dữ liệu. Gần đây, một biến thể MacOS backdoor đã được phát hiện chứa nhiều payload và các biến thể được cập nhật các cơ chế chống phát hiện mới. Các nhà nghiên cứu nhận thấy sự liên kết của backdoor này với nhóm APT OceanLotus (SeaLotus).
Hoạt động sớm nhất từ năm 2013, OceanLotus thực hiện các cuộc tấn công có chủ đích nhằm vào các công ty truyền thông, nghiên cứu và xây dựng. Nhóm hacker này đang nhắm mục tiêu vào người dùng tại Việt Nam, vì tên của các tập tin sử dụng để phát tán mã độc được viết bằng tiếng Việt.
Các nhà nghiên cứu cho thấy: “Một số cập nhật của biến thể mới này bao gồm các hành vi và tên miền mới. OceanLotus đang tích cực cập nhật các biến thể của phần mềm độc hại nhằm cố gắng tránh bị phát hiện và cải thiện tính bền bỉ”.
Hiện tại, các nhà nghiên cứu chưa phát hiện cách phát tán loại mã độc mới này. Tuy nhiên, OceanLotus gần đây đã bị phát hiện sử dụng các trang web độc hại và ứng dụng Google Play để phát tán các phần mềm độc hại khác.
Phần mềm độc hại trên MacOS được đóng gói trong một ứng dụng và nén dưới định dạng .zip. Chúng giả dạng thành một tài liệu Microsoft Word bằng cách sử dụng biểu tượng Word. Ứng dụng sau khi đóng gói sẽ chứa hai thành phần: Tập lệnh chứa các tiến trình độc hại chính và tệp tin “Word” được hiển thị trong quá trình thực thi. Trong một nỗ lực khác nhằm tránh bị phát hiện, tên của ứng dụng sử dụng các ký tự đặc biệt - ba byte (“efb880”) dưới dạng mã hóa UTF-8.
Hình 1. Tập tin nén chứa mã độc
Khi một người dùng bắt đầu tìm kiếm thư mục thông qua ứng dụng macOS Finder hoặc trên cửa sổ dòng lệnh terminal, một thư mục có tên "ALL tim nha Chi Ngoc Canada.doc" sẽ hiện ra. Tuy nhiên, vì có ba ký tự đặc biệt nên hệ điều hành sẽ hiểu đây là một loại thư mục đặc biệt. Vì vậy, ứng dụng độc hại sẽ được thực thi ngay khi người dùng mở thư mục.
Hình 2. Ba ký tự đặc biệt trong tên tập tin
Sau đó, mã độc sẽ khởi chạy payload thứ hai để tải xuống payload thứ ba và áp dụng các kỹ thuật che dấu và giúp payload thứ ba có thể khởi động cùng hệ thống trước khi tự xoá chính nó. Payload thứ ba sử dụng một loại mã hóa tùy chỉnh base64 và thay đổi byte để tránh bị dịch ngược. Payload này có khả năng thu thập thông tin hệ điều hành và gửi/nhận dữ liệu đến các máy chủ câu lệnh và điều khiển (C2).
Các chức năng của backdoor bao gồm khả năng lấy thông tin bộ xử lý và bộ nhớ, số sê-ri và địa chỉ MAC của cổng mạng. Tất cả thông tin này được mã hóa và gửi đến máy chủ C2. Các lệnh khác được hỗ trợ bao gồm: Tải xuống và thực thi các lệnh, tải lên các tập tin và hiển thị kết quả các lệnh đã chạy.
Các nhà nghiên cứu cho biết, biến thể mã độc này có những điểm tương đồng với một backdoor của OceanLotus khác được phát hiện vào năm 2018 về các lệnh hỗ trợ và mã nguồn.
Hình 3. So sánh giữa hai mẫu mã độc cũ và mới của nhóm Oceanlotus
Để phòng tránh lây nhiễm phần mềm độc hại, người dùng MacOS không nên nhấp vào liên kết hoặc tải xuống tệp đính kèm từ email đến từ các nguồn đáng ngờ và thường xuyên cập nhật các bản vá cho phần mềm và ứng dụng của họ.
Đăng Thứ (Theo Threatpost)
13:00 | 09/12/2020
08:00 | 27/11/2019
10:00 | 25/02/2020
14:00 | 23/02/2024
Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.
07:00 | 16/01/2024
Các nhà nghiên cứu an ninh mạng đã phát hiện một backdoor macOS mới có tên là SpectralBlur. Đặc biệt backdoor này có những điểm tương đồng với dòng phần mềm độc hại KandyKorn của các tin tặc Triều Tiên trong các chiến dịch tấn công mạng được xác định gần đây.
15:00 | 18/12/2023
Ngày 12/12, Kyivstar - nhà mạng lớn nhất Ukraine hứng chịu một cuộc tấn công mạng lớn, khiến hàng triệu người dùng mất kết nối di động và Internet. Đáng chú ý sự cố gây ảnh hưởng đến hệ thống cảnh báo không kích của nước này.
13:00 | 14/12/2023
RisePro là một phần mềm độc hại đánh cắp thông tin dưới dạng dịch vụ, được xác định lần đầu tiên vào năm 2022. Gần đây, các nhà nghiên cứu của Anyrun nhận thấy hoạt động của phần mềm độc hại này tăng đột biến, đồng thời thay đổi cách giao tiếp với máy chủ điều khiển và kiểm soát (C2), cũng như trang bị những khả năng mới, đặc biệt là các tính năng điều khiển từ xa khiến nó có khả năng hoạt động như một RAT (Remote Access Trojan).
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024