Công ty bảo mật và an ninh mạng Check Point (Israel) cho biết bộ cấy có một số thành phần độc hại, bao gồm một cửa hậu tùy chỉnh có tên “Horse Shell” cho phép tin tặc duy trì quyền truy cập liên tục, xây dựng cơ sở hạ tầng ẩn danh và cho phép di chuyển ngang vào các mạng bị xâm nhập. Do thiết kế không liên quan đến phần sụn, các thành phần của bộ cấy ghép có thể được tích hợp vào nhiều phần sụn khác nhau bởi các nhà cung cấp khác nhau.
Phương pháp chính xác được sử dụng để triển khai chương trình giả mạo trên các bộ định tuyến bị nhiễm hiện chưa được biết, cũng như cách sử dụng và sự tham gia của nó trong các cuộc tấn công thực tế. Các nhà nghiên cứu nghi ngờ rằng quyền truy cập ban đầu có thể có được bằng cách khai thác các lỗi bảo mật đã biết hoặc các thiết bị dò quét mật khẩu mặc định, dễ đoán.
Theo đó, bộ cấy Horse Shell dựa trên C++ cung cấp cho kẻ tấn công khả năng thực thi các lệnh Shell tùy ý, tải lên và tải xuống các tệp đến và từ bộ định tuyến cũng như chuyển tiếp liên lạc giữa hai máy khách khác nhau. Phần sụn đã thay đổi cũng có khả năng flash một hình ảnh khác qua giao diện web của bộ định tuyến mà không bị phát hiện.
Cửa hậu của bộ định tuyến được cho là nhắm mục tiêu vào các thiết bị trên mạng dân dụng và mạng gia đình. Việc chuyển tiếp liên lạc giữa các bộ định tuyến bị nhiễm bằng cách sử dụng đường hầm SOCKS với mục đích là tạo ra một lớp ẩn danh và che giấu máy chủ cuối cùng, vì mỗi nút trong chuỗi chỉ chứa thông tin về các nút trước và sau nó. Nói cách khác, các phương pháp che giấu nguồn gốc và đích đến của lưu lượng truy cập theo cách tương tự như TOR, khiến việc phát hiện phạm vi tấn công và phá hủy nó trở nên khó khăn hơn rất nhiều.
Nếu một nút trong chuỗi bị phát hiện hoặc gỡ xuống, tin tặc vẫn có thể duy trì quyền truy cập bằng cách định tuyến lưu lượng truy cập qua một nút khác trong chuỗi. Trước đó, vào năm 2021, Cơ quan An ninh mạng Quốc gia của Pháp (ANSSI) đã trình bày chi tiết về một nhóm xâm nhập do APT31 (còn gọi là Judgement Panda hoặc Violet Typhoon ) dàn dựng, sử dụng một phần mềm độc hại nâng cao có tên là Pakdoor để cho phép các bộ định tuyến bị nhiễm giao tiếp với các bộ định tuyến khác. Các nhà nghiên cứu cho biết: “Phát hiện này là một ví dụ về xu hướng lâu dài của các tác nhân đe dọa từ Trung Quốc nhằm khai thác các thiết bị mạng kết nối Internet và sửa đổi phần mềm hoặc chương trình cơ sở của chúng”.
Trường An
thehackernews.com
17:00 | 11/08/2023
07:00 | 12/06/2023
15:00 | 20/09/2023
14:00 | 10/05/2023
09:00 | 06/03/2024
14:00 | 05/06/2023
09:00 | 06/06/2023
10:00 | 07/04/2023
07:00 | 20/04/2023
14:00 | 16/05/2023
11:00 | 26/04/2024
Các nhà nghiên cứu của công ty an ninh mạng BlackBerry đã phát hiện một chiến dịch gián điệp mạng nhắm vào người dùng iPhone ở khu vực Nam Á, với mục đích phân phối payload của phần mềm gián điệp có tên là LightSpy. BlackBerry cho biết chiến dịch này có khả năng cho thấy sự tập trung mới của các tác nhân đe dọa vào các mục tiêu chính trị và căng thẳng trong khu vực.
08:00 | 10/02/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Fortinet (Mỹ) đã xác định được các gói độc hại trên kho lưu trữ Python Package Index (PyPI) mã nguồn mở nhằm phân phối phần mềm độc hại đánh cắp thông tin có tên là WhiteSnake trên hệ thống Windows. Bài viết này tập trung phân tích một số payload trên các gói trong kho lưu trữ PyPI.
09:00 | 05/02/2024
Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.
09:00 | 01/02/2024
Một lỗ hổng nghiêm trọng trong giao diện dòng lệnh (CLI) của Jenkins cho phép kẻ tấn công lấy được các khóa mật mã có thể được sử dụng để thực thi mã tùy ý từ xa.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024