Mã độc mới SprySOCKS trên Linux
Phân tích của Công ty an ninh mạng Trend Micro về backdoor mới cho thấy nó bắt nguồn từ mã độc mã nguồn mở “Trochilus” trên Windows, với nhiều chức năng của nó được chuyển sang hoạt động trên các hệ thống Linux.
Tuy nhiên, mã độc này có vẻ như là sự kết hợp của nhiều phần mềm độc hại vì giao thức truyền thông của máy chủ điều khiển và kiểm soát (C2) SprySOCKS tương tự như “RedLeaves”, một backdoor trên Windows. Ngược lại, việc triển khai shell tương tác dường như bắt nguồn từ “Derusbi”, một phần mềm độc hại trên Linux và được nhiều nhóm tin tặc của Trung Quốc sử dụng trong các chiến dịch tấn công kể từ năm 2008.
Cuộc tấn công của Earth Lusca
Earth Lusca lần đầu tiên được Trend Micro ghi nhận vào tháng 01/2022, với các cuộc tấn công nhằm vào các thực thể khu vực công và tư nhân trên khắp châu Á, Úc, châu Âu và Bắc Mỹ.
Hoạt động từ năm 2021, nhóm tin tặc này đã dựa vào các cuộc tấn công Spear-phishing và Watering hole để thực hiện các hoạt động gián điệp mạng của mình. Một số hoạt động của nhóm này trùng lặp với một cụm mối đe dọa khác được công ty an ninh mạng Recorded Future theo dõi dưới tên “RedHotel”.
Những phát hiện mới nhất từ Trend Micro cho thấy, Earth Lusca tiếp tục là một nhóm tin tặc hoạt động tích cực, thậm chí còn mở rộng hoạt động sang các tổ chức mục tiêu trên toàn thế giới trong nửa đầu năm 2023, trong đó tập trung mục tiêu chính vào các cơ quan chính phủ có liên quan đến các vấn đề đối ngoại, công nghệ và viễn thông ở Đông Nam Á, Trung Á và vùng Balkan.
Báo cáo của Trend Micro, các nỗ lực khai thác đối với một số lỗi n-day thực thi mã từ xa không được xác thực kéo dài từ năm 2019 đến năm 2022, ảnh hưởng đến các điểm cuối tiếp xúc với Internet.
Chuỗi tấn công bắt đầu bằng việc khai thác các lỗ hổng bảo mật đã biết trong Fortinet (CVE-2022-39952 và CVE-2022-40684), GitLab (CVE-2021-22205), Microsoft Exchange Server (ProxyShell), Progress Telerik UI (CVE-2019-18935) và các máy chủ Zimbra (CVE-2019-9621 và CVE-2019-9670) để nhúng web shell và cung cấp Cobalt Strike.
Hình 1. Các lỗ hổng được Earth Lusca sử dụng để khai thác lần đầu
Những lỗ hổng này được khai thác để triển khai “đèn hiệu” (beacon) Cobalt Strike, cho phép truy cập từ xa vào mạng bị xâm phạm. Quyền truy cập này được sử dụng để phát tán ngang trên mạng trong khi lọc các tệp, đánh cắp thông tin xác thực tài khoản và triển khai các payload bổ sung, như “ShadowPad”.
Các nhà nghiên cứu bảo mật Joseph C. Chen và Jaromir Horejsi của Trend Micro cho biết: “Earth Lusca có ý định lọc các tài liệu và thông tin xác thực tài khoản email, cũng như triển khai thêm các backdoor nâng cao như ShadowPad và phiên bản Linux của Winnti để tiến hành các hoạt động gián điệp lâu dài chống lại các mục tiêu của nó”.
Những kẻ đe dọa cũng sử dụng đèn hiệu Cobalt Strike để loại bỏ trình tải SprySOCKS, một biến thể của trình nhúng ELF Linux có tên là “mandibule”, xuất hiện trên các máy mục tiêu dưới dạng tệp có tên “libmonitor.so.2”.
Các nhà nghiên cứu của Trend Micro cho biết những kẻ tấn công đã điều chỉnh mandibule cho phù hợp với nhu cầu của chúng, nhưng hơi vội vàng và để lại các thông báo và biểu tượng gỡ lỗi.
Trình tải chạy dưới tên “kworker/0:22” để tránh bị phát hiện bằng cách giống với một luồng worker của Linux kernel, giải mã payload giai đoạn thứ hai (SprySOCKS) và thiết lập sự tồn tại lâu dài trên máy tính bị nhiễm.
Hình 2. Tiến trình kworker giả mạo
Khả năng của SprySOCKS
Backdoor SprySOCKS sử dụng framework mạng hiệu suất cao được gọi là “HP-Socket” để hoạt động, trong khi giao tiếp TCP của nó với C2 được mã hóa AES-ECB.
Các chức năng backdoor chính của mã độc mới này bao gồm:
Ngoài ra, mã độc cũng tạo ID client bằng cách sử dụng địa chỉ MAC của giao diện mạng được liệt kê đầu tiên và một số tính năng của CPU, sau đó chuyển đổi nó thành chuỗi thập lục phân 28 byte.
Cho đến nay, ít nhất hai mẫu SprySOCKS khác nhau (phiên bản 1.1 và 1.3.6) đã được xác định, cho thấy mã độc này đang được phát triển tích cực và được những kẻ tấn công liên tục sửa đổi để bổ sung thêm các tính năng mới.
Các nhà nghiên cứu cho biết: “Điều quan trọng là các tổ chức phải chủ động quản lý bề mặt tấn công của mình, giảm thiểu các điểm xâm nhập tiềm năng vào hệ thống của họ và giảm khả năng vi phạm thành công”. Đồng thời đưa ra khuyến nghị các tổ chức cần phải áp dụng các bản vá bảo mật và cập nhật các công cụ, phần mềm và hệ thống máy chủ để đảm bảo tính bảo mật, chức năng và hiệu suất tổng thể, qua đó có thể ngăn chặn sự xâm phạm ban đầu từ SprySOCKS.
Ngọc Ngân
15:00 | 13/10/2023
09:00 | 05/02/2024
08:00 | 04/12/2023
15:00 | 31/08/2023
10:00 | 10/04/2024
17:00 | 11/08/2023
11:00 | 25/01/2024
08:00 | 24/10/2023
08:00 | 24/10/2023
09:00 | 17/07/2023
11:00 | 26/04/2024
Các nhà nghiên cứu của công ty an ninh mạng BlackBerry đã phát hiện một chiến dịch gián điệp mạng nhắm vào người dùng iPhone ở khu vực Nam Á, với mục đích phân phối payload của phần mềm gián điệp có tên là LightSpy. BlackBerry cho biết chiến dịch này có khả năng cho thấy sự tập trung mới của các tác nhân đe dọa vào các mục tiêu chính trị và căng thẳng trong khu vực.
13:00 | 26/02/2024
Tin tặc Nga có thể có liên quan đến cuộc tấn công mạng lớn nhất nhằm vào cơ sở hạ tầng quan trọng của Đan Mạch, 22 công ty liên quan đến hoạt động của ngành năng lượng của nước này đã bị nhắm mục tiêu vào tháng 5/2023.
15:00 | 26/01/2024
Các nhà nghiên cứu bảo mật của công ty an ninh mạng Akamai (Mỹ) phát hiện ra một mạng botnet mới dựa trên Mirai có tên là NoaBot, hiện đang được các tác nhân đe dọa sử dụng như một phần của chiến dịch khai thác tiền điện tử đã hoạt động kể từ đầu năm 2023. Bài viết này sẽ phân tích về đặc điểm của NoaBot và công cụ khai thác tiền điện tử được sử dụng trong chiến dịch tấn công mạng botnet này.
07:00 | 15/01/2024
Pegasus được đánh giá là một trong những phần mềm gián điệp mạnh mẽ nhất hiện nay, chúng có các chức năng đánh cắp dữ liệu toàn diện hơn rất nhiều so với các phần mềm gián điệp khác, với khả năng thu thập thông tin mọi thứ từ dữ liệu có giá trị cao như mật khẩu, danh bạ và các dữ liệu từ các ứng dụng khác. Trong bài báo này, tác giả sẽ giới thiệu tổng quan về mã độc Pegasus và biến thể Chrysaor cùng các phương thức tấn công và cách phòng chống mã độc nguy hiểm này.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024