Những kẻ tấn công đã che giấu những payload độc hại này và ẩn chúng vào hồ sơ người dùng diễn đàn trên các trang tin tức công nghệ hoặc mô tả video trên nền tảng lưu trữ phương tiện truyền thông, chúng đóng vai trò then chốt trong việc tải xuống và thực thi phần mềm độc hại trong các cuộc tấn công.
Theo công ty an ninh mạng Mandiant (Mỹ), các tin tặc được theo dõi trong chiến dịch này có tên là UNC4990 và đã hoạt động từ năm 2020, chủ yếu nhắm mục tiêu vào người dùng ở Ý.
Cuộc tấn công bắt đầu bằng việc nạn nhân nhấp đúp vào tệp shortcut LNK độc hại trên ổ USB. Khi tệp được khởi chạy, nó sẽ thực thi tập lệnh PowerShell explorer.ps1, sau đó tải xuống một payload trung gian giải mã thành một URL được sử dụng để tải xuống và cài đặt trình tải xuống phần mềm độc hại có tên là EMPTYSPACE.
Các tin tặc UNC4990 đã thử một số cách tiếp cận để lưu trữ các payload trung gian, ban đầu sử dụng các tệp văn bản được mã hóa trên GitHub và GitLab, sau đó chuyển sang sử dụng Vimeo và Ars Technica để lưu trữ các payload chuỗi được mã hóa Base64 và mã hóa AES.
Mandiant lưu ý rằng những kẻ tấn công không khai thác lỗ hổng trong các trang web này mà chỉ sử dụng các tính năng thông thường của trang web, như trang Giới thiệu (About page) trong hồ sơ diễn đàn Ars Technica hoặc mô tả video Vimeo, để bí mật lưu trữ payload bị xáo trộn mà không gây nghi ngờ.
Ngoài ra, các payload này không đe dọa trực tiếp đến khách truy cập của các trang web bị lạm dụng vì chúng chỉ là các chuỗi văn bản vô hại và tất cả các trường hợp được Mandiant ghi nhận hiện đã bị xóa trên các nền tảng bị ảnh hưởng.
Ưu điểm của việc lưu trữ các payload trên nền tảng hợp pháp và có uy tín là chúng được bảo mật bởi hệ thống tin cậy, giảm khả năng bị gắn cờ là đáng ngờ. Hơn nữa, các tác nhân đe dọa được hưởng lợi từ mạng phân phối nội dung (CDN) của các nền tảng đó và có khả năng phục hồi khi bị gỡ bỏ. Việc nhúng payload vào nội dung hợp pháp và xáo trộn nó với lưu lượng truy cập hợp pháp khiến việc xác định và loại bỏ mã độc trở nên khó khăn hơn.
Hình 1. Mô phỏng chiến dịch tấn công của UNC4990 (Nguồn: Mandiant)
Tập lệnh PowerShell giải mã và thực thi payload trung gian được tìm nạp từ các trang web hợp pháp và nhúng phần mềm độc hại EMPTYSPACE trên hệ thống bị nhiễm, thiết lập liên lạc với máy chủ điều khiển và ra lệnh (C2) do tin tặc kiểm soát.
Hình 2. Sự phát triển của tập lệnh PowerShell (Nguồn: Mandiant)
Trong các giai đoạn tiếp theo của cuộc tấn công, EMPTYSPACE tải xuống một backdoor có tên là QUIETBOARD, cũng như các công cụ khai thác tiền điện tử để khai thác các nền tảng Monero, Ethereum, Dogecoin và Bitcoin. Các địa chỉ ví được liên kết với chiến dịch này đã kiếm được lợi nhuận vượt quá 55.000 USD (chưa tính đến Monero).
Theo các nhà nghiên cứu, QUIETBOARD là một backdoor đa thành phần phức tạp với nhiều khả năng, bao gồm:
- Thực thi các lệnh hoặc tập lệnh nhận được từ máy chủ C2.
- Thực thi mã Python nhận được từ máy chủ C2.
- Thay đổi bộ nhớ đệm.
- Lây nhiễm thông qua USB/ổ đĩa di động để phát tán phần mềm độc hại trên các hệ thống khác.
- Chụp ảnh màn hình.
- Thu thập thông tin chi tiết về hệ thống mạng.
- Xác định vị trí địa lý của hệ thống nạn nhân.
Ngoài ra, backdoor QUIETBOARD cũng thiết lập tính bền vững trong quá trình khởi động lại hệ thống và hỗ trợ linh hoạt các chức năng mới thông qua các mô-đun bổ sung. Mandiant nhấn mạnh, bất chấp các biện pháp bảo vệ thông thường, phần mềm độc hại dựa trên USB vẫn tiếp tục gây ra mối đe dọa đáng kể và hỗ trựo tội phạm mạng như một phương tiện lây nhiễm hiệu quả.
Bá Phúc
(Bleepingcomputer)
11:00 | 25/01/2024
09:00 | 02/04/2024
14:00 | 16/01/2024
08:00 | 21/03/2024
09:00 | 29/01/2024
10:00 | 06/02/2025
Năm 2025 được dự báo sẽ chứng kiến sự gia tăng các cuộc tấn công mạng, với sự xuất hiện và phát triển mạnh mẽ của những phần mềm độc hại nhắm vào cả cá nhân lẫn tổ chức trên toàn cầu. Bài viết tập trung nghiên cứu và phân tích 5 mối đe dọa phần mềm độc hại hàng đầu được dự báo sẽ gây ảnh hưởng lớn nhất trong năm nay. Từ những dòng mã độc tống tiền tinh vi đến trojan đánh cắp thông tin và công cụ truy cập từ xa. Những mối đe dọa này không chỉ đặt ra thách thức lớn cho các chuyên gia an ninh mạng mà còn yêu cầu sự chuẩn bị kỹ lưỡng từ mọi tổ chức và cá nhân.
10:00 | 31/12/2024
Các nhà nghiên cứu an ninh mạng đang đưa ra cảnh bảo về sự gia tăng đột biến của những hoạt động phá hoại liên quan đến việc kết nối các bộ định tuyến D-Link trong 2 mạng botnet khác nhau, một biến thể Mirai có tên là FICORA và một biến thể Kaiten (Tsunami) được gọi là CAPSAICIN.
10:00 | 24/12/2024
Mới đây, các nhà nghiên cứu an ninh mạng đã phát hiện một rootkit mới có tên là Pumakit trên hệ điều hành Linux, được thiết kế với nhiều lớp để ẩn mình và leo thang đặc quyền một cách tinh vi.
10:00 | 09/12/2024
Nhóm tin tặc RomCom đến từ Nga đã liên kết hai lỗ hổng zero-day trong các cuộc tấn công gần đây nhắm vào người dùng Firefox và Tor Browser trên khắp khu vực châu Âu và Bắc Mỹ.
Một lỗ hổng bảo mật trong Bypass SAML trên GitHub Enterpris định danh CVE-2025-23369 có điểm CVSS là 7,6 vừa được công bố, cho phép kẻ tấn công bỏ qua cơ chế xác thực SAML trên GitHub Enterprise.
08:00 | 19/02/2025