Cảnh báo mạng Botnet MyloBot lan rộng toàn cầu

12:00 | 16/03/2023 | HACKER / MALWARE

Theo các nhà nghiên cứu của công ty an ninh mạng BitSight (Mỹ), một mạng Botnet có tên gọi là “MyloBot” đã lây lan và xâm nhập trên hàng nghìn hệ thống, hầu hết ở Ấn Độ, Hoa Kỳ, Indonesia và Iran. Các phát hiện mới từ BitSight chỉ ra rằng hiện có hơn 50.000 hệ thống bị nhiễm mỗi ngày.

Cảnh báo mạng Botnet MyloBot lan rộng toàn cầu

Bản đồ các máy tính bị lây nhiễm

Trong quá trình phân tích về cơ sở hạ tầng của MyloBot, các nhà nghiên cứu cho biết các kết nối đến với dịch vụ proxy có tên “BHProxies”, cho thấy rằng các máy bị xâm nhập sẽ được sử dụng bởi dịch vụ proxy này.

Được biết, mạng Botnet MyloBot xuất hiện vào năm 2017 và lần đầu tiên được công ty bảo mật Deep Instinct (Israel) báo cáo vào năm 2018. Báo cáo này chỉ ra các kỹ thuật chống phân tích và khả năng hoạt động như một trình tải xuống của mạng Botnet này.

“Điều khiến Mylobot trở nên nguy hiểm là khả năng tải xuống và thực thi bất kỳ loại payload nào sau khi lây nhiễm vào máy chủ. Điều này có nghĩa là lúc nào Mylobot cũng có thể tải xuống mã độc bất kỳ mà các tin tặc mong muốn", các nhà nghiên cứu tại Bộ phận tình báo về mối đe dọa Black Lotus Labs của hãng công nghệ Lumen (Mỹ) cho biết.

Vào năm 2022, một phiên bản mới của Mylobot đã được phát hiện triển khai các payload độc hại để gửi email tống tiền các nạn nhân trong một chiến dịch tấn công mạng nhằm kiếm về số Bitcoin trị giá hơn 2.700 USD.

Các giai đoạn thực thi của MyloBot

MyloBot sử dụng trình tự nhiều giai đoạn để giải nén và khởi chạy mã độc bot. Đáng chú ý, nó không hoạt động trong 14 ngày trước khi liên hệ với máy chủ C2 để tránh bị phát hiện. Chức năng chính của Botnet là thiết lập kết nối với tên miền C2 được mã hóa cứng nhúng trong mã độc và chờ nhận lệnh để thực thi. BitSight cho biết: “Khi Mylobot nhận được lệnh từ C2, nó sẽ biến máy tính bị nhiễm thành một proxy. Máy bị nhiễm sẽ có thể xử lý nhiều kết nối và chuyển tiếp lưu lượng được gửi qua máy chủ C2 để chỉ huy và kiểm soát".

Các phiên bản tiếp theo của Botnet này được trang bị thêm tính năng của một trình tải xuống. Trình tải xuống có nhiệm vụ liên hệ với máy chủ C2, máy chủ này sẽ phản hồi bằng một thông báo được mã hóa có chứa một liên kết để truy xuất payload MyloBot.

Một trong những địa chỉ IP trong cơ sở hạ tầng C2 của MyloBot đã được tìm thấy và có kết nối với một tên miền có tên “clients.bhproxies[.]com” thông qua một truy vấn DNS ngược (Reverse DNS). Điều này chứng tỏ MyloBot có thể là một phần của một chiến dịch lớn hơn.

BitSight cho biết họ đã bắt đầu đánh sập MyloBot vào tháng 11/2018, tuy nhiên đến nay mạng botnet này vẫn đang tiếp tục phát triển theo thời gian.

Hồng Đạt

(The Hacker News)

‹ › ×

Tin liên quan

FortiGuard Labs cảnh báo: Các hoạt động liên quan đến mã độc Wiper đã gia tăng hơn 50%

10:00 | 03/03/2023

Mới đây, FortiGuard Labs đã công bố bản báo cáo mới nhất về toàn cảnh các mối đe dọa toàn cầu nửa cuối năm 2022 và đưa ra những lời khuyên từ những chuyên gia. Trong bối cảnh các mối đe dọa và bề mặt tấn công của các tổ chức liên tục thay đổi, tội phạm mạng cũng có thể thiết kế và điều chỉnh các kỹ thuật của chúng cho phù hợp nhằm tiếp tục gây thiệt hại cho các tổ chức, doanh nghiệp thuộc mọi lĩnh vực và trên mọi khu vực địa lý.

Phát hiện Botnet Dark Frost mới triển khai các cuộc tấn công DDoS vào ngành công nghiệp trò chơi

09:00 | 08/06/2023

Các nhà nghiên cứu tại công ty công nghệ điện toán đám mây Akamai (Mỹ) cho biết vừa phát hiện một mạng botnet mới có tên là “Dark Frost” đang thực hiện các chiến dịch tấn công từ chối dịch vụ phân tán (DDoS) nhằm vào ngành công nghiệp trò chơi.

Một số kỹ thuật phát hiện botnet bằng Honeynet

09:00 | 08/03/2024

Từ lâu, botnet là một trong những mối đe dọa lớn nhất đối với an ninh mạng, nó đã gây ra nhiều thiệt hại cho các tổ chức và doanh nghiệp trên toàn thế giới. Bài báo sẽ giới thiệu tới độc giả một số kỹ thuật phát hiện botnet bằng Honeynet và tính hiệu quả của chúng, đồng thời đề xuất một số hướng phát triển trong tương lai để nâng cao khả năng phát hiện và ngăn chặn botnet bằng Honeynet.

Dự đoán các mối đe dọa nâng cao năm 2024

09:00 | 13/02/2024

Các cuộc tấn công APT (Advanced Persistent Threat) hiện nay là một trong những mối đe dọa nguy hiểm nhất vì chúng sử dụng các công cụ và kỹ thuật phức tạp, đồng thời thường nhắm đến những đối tượng, mục tiêu có giá trị và khó phát hiện. Trong bối cảnh căng thẳng địa chính trị leo thang, những cuộc tấn công mạng tinh vi này thậm chí trở nên khó lường hơn. Nhóm nghiên cứu và phân tích toàn cầu của Kaspersky (GReAT) đã tiến hành giám sát một số nhóm tin tặc APT, phân tích xu hướng và dự đoán hoạt động trong tương lai để đón đầu bối cảnh mối đe dọa ngày càng gia tăng. Trong bài báo này sẽ đưa ra dự đoán xu hướng các mối đe dọa APT trong năm 2024 dựa trên báo cáo của GReAT.

Biến thể mã độc tống tiền ESXiArgs mới xuất hiện sau khi CISA phát hành công cụ giải mã

09:00 | 16/02/2023

Mã độc tống tiền ESXiArgs đã quay trở lại với một phiên bản cập nhật mã hóa nhiều dữ liệu hơn sau khi Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) phát hành bộ giải mã giúp các nạn nhân bị ảnh hưởng có thể khôi phục dữ liệu sau các cuộc tấn công của mã độc này trước đó.

34 ứng dụng chứa mã độc có khả năng điều khiển và theo dõi điện thoại từ xa

08:00 | 10/02/2023

Mới đây, các chuyên gia bảo mật của công ty an ninh mạng ThreatFabric (Hà Lan) đã phát hiện một số ứng dụng có chứa mã độc, cho phép tin tặc giám sát và theo dõi điện thoại của người dùng từ xa.

Giải mã mạng botnet NoaBot nhắm mục tiêu khai thác tiền điện tử

15:00 | 26/01/2024

Các nhà nghiên cứu bảo mật của công ty an ninh mạng Akamai (Mỹ) phát hiện ra một mạng botnet mới dựa trên Mirai có tên là NoaBot, hiện đang được các tác nhân đe dọa sử dụng như một phần của chiến dịch khai thác tiền điện tử đã hoạt động kể từ đầu năm 2023. Bài viết này sẽ phân tích về đặc điểm của NoaBot và công cụ khai thác tiền điện tử được sử dụng trong chiến dịch tấn công mạng botnet này.

Tin cùng chuyên mục

Phân tích chiến dịch khai thác lỗ hổng Windows SmartScreen để phân phối phần mềm độc hại DarkGate

07:00 | 08/04/2024

Tháng 01/2024, nhóm nghiên cứu Zero Day Initiative (ZDI) của hãng bảo mật Trend Micro phát hiện chiến dịch phân phối phần mềm độc hại DarkGate. Các tác nhân đe dọa đã khai thác lỗ hổng CVE-2024-21412 trong Windows Defender SmartScreen để vượt qua kiểm tra bảo mật (bypass) và tự động cài đặt phần mềm giả mạo.

Lỗ hổng Kubernetes cho phép thực thi mã từ xa trên điểm cuối Windows

09:00 | 01/04/2024

Vừa qua, công ty bảo mật đám mây Akamai (Mỹ) đã đưa ra cảnh báo về việc khai thác lỗ hổng Kubernetes ở mức độ nghiêm trọng cao, có thể dẫn đến việc thực thi mã tùy ý với các đặc quyền hệ thống trên tất cả các điểm cuối Windows trong một cụm (cluster).

Phân tích phần mềm độc hại mới đánh cắp ví tiền điện tử trong các ứng dụng bẻ khóa trên macOS

14:00 | 22/02/2024

Các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một dòng phần mềm độc hại mới được phân phối một cách bí mật thông qua các ứng dụng, phần mềm bẻ khóa (crack), nhắm mục tiêu vào ví tiền điện tử của người dùng macOS. Theo các nhà nghiên cứu, mối đe dọa mới này có những tính năng nổi trội hơn so với việc cài đặt trái phép Trojan trên các máy chủ proxy đã được phát hiện trước đó.

Giải mã biến thể mới của phần mềm độc hại Bandook

09:00 | 29/01/2024

Các nhà nghiên cứu đến từ hãng bảo mật Fortinet (Mỹ) phát hiện một biến thể mới của Trojan truy cập từ xa có tên Bandook đang được phân phối thông qua các cuộc tấn công lừa đảo nhằm mục đích xâm nhập vào các máy tính Windows. Bài viết sẽ phân tích hành vi của Bandook, cung cấp thông tin chi tiết về các thành phần được sửa đổi trong biến thể mới và giải mã một số ví dụ về cơ chế giao tiếp máy chủ ra lệnh và điều khiển (C2) của phần mềm độc hại này.