Sau khi được một tổ chức khách hàng thông báo về tình trạng ứng dụng và mạng trở nên trì trệ, công ty đã quyết định điều tra về vụ việc này và phát hiện một loại biến thể mã độc đào tiền ảo ẩn mình mới.
Công ty cho biết, hầu như mọi máy chủ và máy trạm của tổ chức khách hàng này đều bị nhiễm mã độc. Hầu hết đều là các biến thể thông thường của mã độc đào tiền ảo, như các công cụ kết xuất (dumping), trình PHP shell ẩn mình... một số mã độc đã xuất hiện trong nhiều năm. Trong số mã độc bị phát hiện có một loại mã độc mới và đáng chú ý nhất được đặt tên là Norman.
Norman là mã độc đào tiền ảo Monero hiệu suất cao, khác biệt so với nhiều mẫu mã độc khác ở phương thức ẩn mình tinh vi của nó. Khác với thường lệ, mã độc này được biên dịch với Nullsoft Scriptable Install System (NSIS), một hệ thống mã nguồn mở thường được sử dụng để tạo các trình cài đặt Windows.
Gói tin độc hại được thiết kế để thực thi mã độc đào tiền ảo và tự ẩn mình. Nó tránh bị phát hiện bằng cách kết thúc tính năng đào tiền ảo khi người dùng mở Trình quản lý tác vụ (Task Manager). Sau khi trình quản lý đóng lại, nó sẽ chèn lại mã độc và tiếp tục đào tiền ảo. Tính năng đào tiền ảo có tên là XMRig, được giấu trong phần mềm độc hại bằng công cụ nén UPX và được chèn vào Notepad hoặc Explorer tùy theo đường dẫn thực thi.
Mã độc đào tiền ảo này còn có thể liên kết với trình PHP shell trong hệ thống của nạn nhân, liên tục kết nối với máy chủ C&C. Cả mã độc Norman và trình PHP shell đều sử dụng dịch vụ cấp tên miền động DuckDNS để kết nối với máy chủ C&C.
Không mã độc nào trong số các mẫu đã phát hiện có khả năng di chuyển biên (lateral movement), mặc dù chúng đã lây lan trên các thiết bị và phân khúc mạng khác nhau. Cho dù tin tặc có thể đã lây nhiễm từng máy chủ riêng lẻ (có thể thông qua cùng một hướng tấn công được sử dụng trong lần lây nhiễm ban đầu), nhưng khả năng lây lan bằng cách sử dụng trình PHP shell để di chuyển biên và lây nhiễm sang các thiết bị khác trong mạng nạn nhân là không xảy ra.
Ngoài ra, công ty cũng tuyên bố là không có sự tương đồng về mã nguồn hoặc khả năng kết nối giữa mã độc đào tiền ảo và PHP shell. Theo suy đoán, tin tặc có thể là người nói tiếng Pháp do ngôn ngữ này đã xuất hiện trong mã nguồn.
Thông qua vụ việc lần này, công ty Varonis kêu gọi các tổ chức cần cảnh giác với mối nguy hại mã độc đào tiền ảo và thực hiện các biện pháp phòng chống như: luôn cập nhật hệ điều hành; giám sát lưu lượng mạng và proxy web; duy trì phần mềm antivirus trên các điểm cuối; cẩn trọng với DNS và theo dõi hoạt động của CPU; đồng thời có kế hoạch ứng phó sự cố đã được thử nghiệm và sẵn sàng triển khai.
Đỗ Đoàn Kết
Theo Infosecurity
14:00 | 27/09/2018
14:00 | 25/07/2018
07:00 | 09/07/2018
17:00 | 03/01/2020
16:00 | 15/03/2024
Ngày 11/3, Văn phòng Thủ tướng Pháp thông báo một số cơ quan nhà nước của Pháp đã bị tấn công mạng với cường độ chưa từng có đồng thời nhấn mạnh rằng chính phủ đã có thể hạn chế tác động từ vụ việc này.
07:00 | 11/03/2024
Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.
13:00 | 23/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet (ISP), nhà cung cấp dịch vụ công nghệ thông tin và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới do nhóm tin tặc có tên gọi là Sea Turtle thực hiện. Nhóm này hoạt động với động cơ chính trị nhằm thu thập thông tin tình báo phù hợp với những lợi ích của Thổ Nhĩ Kỳ. Bài viết này sẽ cùng phân tích về các hoạt động của nhóm tin tặc này và các kỹ thuật trong chiến dịch mới nhất, dựa trên báo cáo điều tra của công ty an ninh mạng Hunt&Hackett (Hà Lan).
13:00 | 14/12/2023
RisePro là một phần mềm độc hại đánh cắp thông tin dưới dạng dịch vụ, được xác định lần đầu tiên vào năm 2022. Gần đây, các nhà nghiên cứu của Anyrun nhận thấy hoạt động của phần mềm độc hại này tăng đột biến, đồng thời thay đổi cách giao tiếp với máy chủ điều khiển và kiểm soát (C2), cũng như trang bị những khả năng mới, đặc biệt là các tính năng điều khiển từ xa khiến nó có khả năng hoạt động như một RAT (Remote Access Trojan).
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024