Bản đồ các máy tính bị lây nhiễm
Trong quá trình phân tích về cơ sở hạ tầng của MyloBot, các nhà nghiên cứu cho biết các kết nối đến với dịch vụ proxy có tên “BHProxies”, cho thấy rằng các máy bị xâm nhập sẽ được sử dụng bởi dịch vụ proxy này.
Được biết, mạng Botnet MyloBot xuất hiện vào năm 2017 và lần đầu tiên được công ty bảo mật Deep Instinct (Israel) báo cáo vào năm 2018. Báo cáo này chỉ ra các kỹ thuật chống phân tích và khả năng hoạt động như một trình tải xuống của mạng Botnet này.
“Điều khiến Mylobot trở nên nguy hiểm là khả năng tải xuống và thực thi bất kỳ loại payload nào sau khi lây nhiễm vào máy chủ. Điều này có nghĩa là lúc nào Mylobot cũng có thể tải xuống mã độc bất kỳ mà các tin tặc mong muốn", các nhà nghiên cứu tại Bộ phận tình báo về mối đe dọa Black Lotus Labs của hãng công nghệ Lumen (Mỹ) cho biết.
Vào năm 2022, một phiên bản mới của Mylobot đã được phát hiện triển khai các payload độc hại để gửi email tống tiền các nạn nhân trong một chiến dịch tấn công mạng nhằm kiếm về số Bitcoin trị giá hơn 2.700 USD.
Các giai đoạn thực thi của MyloBot
MyloBot sử dụng trình tự nhiều giai đoạn để giải nén và khởi chạy mã độc bot. Đáng chú ý, nó không hoạt động trong 14 ngày trước khi liên hệ với máy chủ C2 để tránh bị phát hiện. Chức năng chính của Botnet là thiết lập kết nối với tên miền C2 được mã hóa cứng nhúng trong mã độc và chờ nhận lệnh để thực thi. BitSight cho biết: “Khi Mylobot nhận được lệnh từ C2, nó sẽ biến máy tính bị nhiễm thành một proxy. Máy bị nhiễm sẽ có thể xử lý nhiều kết nối và chuyển tiếp lưu lượng được gửi qua máy chủ C2 để chỉ huy và kiểm soát".
Các phiên bản tiếp theo của Botnet này được trang bị thêm tính năng của một trình tải xuống. Trình tải xuống có nhiệm vụ liên hệ với máy chủ C2, máy chủ này sẽ phản hồi bằng một thông báo được mã hóa có chứa một liên kết để truy xuất payload MyloBot.
Một trong những địa chỉ IP trong cơ sở hạ tầng C2 của MyloBot đã được tìm thấy và có kết nối với một tên miền có tên “clients.bhproxies[.]com” thông qua một truy vấn DNS ngược (Reverse DNS). Điều này chứng tỏ MyloBot có thể là một phần của một chiến dịch lớn hơn.
BitSight cho biết họ đã bắt đầu đánh sập MyloBot vào tháng 11/2018, tuy nhiên đến nay mạng botnet này vẫn đang tiếp tục phát triển theo thời gian.
Hồng Đạt
(The Hacker News)
10:00 | 03/03/2023
09:00 | 08/06/2023
09:00 | 08/03/2024
09:00 | 13/02/2024
09:00 | 16/02/2023
08:00 | 10/02/2023
15:00 | 26/01/2024
07:00 | 08/04/2024
Tháng 01/2024, nhóm nghiên cứu Zero Day Initiative (ZDI) của hãng bảo mật Trend Micro phát hiện chiến dịch phân phối phần mềm độc hại DarkGate. Các tác nhân đe dọa đã khai thác lỗ hổng CVE-2024-21412 trong Windows Defender SmartScreen để vượt qua kiểm tra bảo mật (bypass) và tự động cài đặt phần mềm giả mạo.
09:00 | 01/04/2024
Vừa qua, công ty bảo mật đám mây Akamai (Mỹ) đã đưa ra cảnh báo về việc khai thác lỗ hổng Kubernetes ở mức độ nghiêm trọng cao, có thể dẫn đến việc thực thi mã tùy ý với các đặc quyền hệ thống trên tất cả các điểm cuối Windows trong một cụm (cluster).
14:00 | 22/02/2024
Các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một dòng phần mềm độc hại mới được phân phối một cách bí mật thông qua các ứng dụng, phần mềm bẻ khóa (crack), nhắm mục tiêu vào ví tiền điện tử của người dùng macOS. Theo các nhà nghiên cứu, mối đe dọa mới này có những tính năng nổi trội hơn so với việc cài đặt trái phép Trojan trên các máy chủ proxy đã được phát hiện trước đó.
09:00 | 29/01/2024
Các nhà nghiên cứu đến từ hãng bảo mật Fortinet (Mỹ) phát hiện một biến thể mới của Trojan truy cập từ xa có tên Bandook đang được phân phối thông qua các cuộc tấn công lừa đảo nhằm mục đích xâm nhập vào các máy tính Windows. Bài viết sẽ phân tích hành vi của Bandook, cung cấp thông tin chi tiết về các thành phần được sửa đổi trong biến thể mới và giải mã một số ví dụ về cơ chế giao tiếp máy chủ ra lệnh và điều khiển (C2) của phần mềm độc hại này.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024