Mã độc mới có tên là Xbash, được cho là liên quan đến Iron Group hay còn gọi là Rocke - một nhóm tấn công có chủ đích tại Trung Quốc được biết đến với các cuộc tấn công mã độc tống tiền và đào tiền ảo.
Ngoài khả năng tự lan truyền, XBash còn chứa một chức năng chưa được triển khai, có thể cho phép mã độc lây lan nhanh chóng trong mạng của tổ chức. Được phát triển trên nền tảng Python, XBash tìm kiếm các dịch vụ web dễ bị tấn công hoặc không được bảo vệ và xóa các cơ sở dữ liệu như MySQL, PostgreSQL và MongoDB chạy trên các máy chủ Linux.
Xbash được thiết kế để quét các dịch vụ trên một IP đích, trên cả hai cổng TCP và UDP như HTTP, VNC, MySQL/MariaDB, Telnet, FTP, MongoDB, RDP, ElasticSearch, Oracle DB, CouchDB, Rlogin và PostgreSQL.
Khi tìm thấy một cổng mở, mã độc sẽ sử dụng tấn công vét cạn; khi thành công sẽ xóa tất cả các cơ sở dữ liệu và sau đó hiển thị thông báo tiền chuộc. Điều đáng lo ngại là bản thân mã độc không chứa bất kỳ chức năng nào cho phép khôi phục cơ sở dữ liệu đã bị xóa sau khi nạn nhân trả tiền chuộc. Cho đến nay, XBash đã lây nhiễm ít nhất 48 nạn nhân đã trả tiền chuộc, kiếm được khoảng 6.000 USD. Tuy nhiên, các nhà nghiên cứu không có bằng chứng cho thấy việc trả tiền chuộc giúp nạn nhân phục hồi được dữ liệu.
Mặt khác, XBash nhắm mục tiêu đến các máy tính Windows chỉ để khai thác tiền điện tử và tự lan truyền. Để tự lan truyền, nó khai thác ba lỗ hổng đã biết trong Hadoop, Redis và ActiveMQ bao gồm:
- Lỗi thực thi lệnh Hadilla YARN ResourceManager chưa được xác thực được tiết lộ vào tháng 10/2016 và không có định danh CVE.
- Lỗ hổng tùy ý viết lên tệp tin Redis và lỗ hổng thực thi lệnh từ xa được tiết lộ vào tháng 10/2015 và không có định danh CVE.
- Lỗ hổng tùy ý viết lên tệp tin ActiveMQ (CVE-2016-3088), được tiết lộ vào đầu năm 2016.
Nếu điểm xâm nhập là một dịch vụ Redis dễ bị tấn công, Xbash sẽ gửi payload JavaScript hoặc VBScript độc hại để tải xuống và thực thi một mã độc đào tiền ảo cho Windows thay vì mô-đun botnet và ransomware.
Xbash được phát triển bằng Python và sau đó được chuyển thành tệp tin thực thi (PE) bằng PyInstaller, có thể tạo các tệp tin nhị phân cho nhiều nền tảng, bao gồm Windows, macOS và Linux, đồng thời cung cấp tính năng chống bị phát hiện. Tuy nhiên, tại thời điểm phát hiện, các nhà nghiên cứu mới tìm thấy các mẫu cho Linux và chưa thấy bất kỳ phiên bản Windows hay macOS nào của Xbash.
Người dùng có thể tự bảo vệ mình chống lại XBash bằng cách thực hiện các phương pháp bảo mật sau:
- Thay đổi thông tin đăng nhập mặc định trên hệ thống của mình;
- Sử dụng mật khẩu mạnh và riêng biệt;
- Luôn cập nhật hệ điều hành và phần mềm;
- Tránh tải xuống và chạy các tệp không đáng tin cậy hoặc nhấp vào liên kết;
- Sao lưu dữ liệu thường xuyên;
- Ngăn chặn kết nối trái phép bằng tường lửa.
ĐT
Theo WorldStar International JSC
09:00 | 21/08/2018
13:00 | 19/09/2019
14:00 | 25/07/2018
21:00 | 18/12/2018
08:00 | 27/11/2019
10:00 | 25/07/2018
08:00 | 07/02/2022
11:00 | 24/01/2019
11:00 | 26/04/2024
Các nhà nghiên cứu của công ty an ninh mạng BlackBerry đã phát hiện một chiến dịch gián điệp mạng nhắm vào người dùng iPhone ở khu vực Nam Á, với mục đích phân phối payload của phần mềm gián điệp có tên là LightSpy. BlackBerry cho biết chiến dịch này có khả năng cho thấy sự tập trung mới của các tác nhân đe dọa vào các mục tiêu chính trị và căng thẳng trong khu vực.
13:00 | 05/04/2024
Trong một động thái mới nhất, AT&T cuối cùng đã xác nhận rằng họ bị ảnh hưởng bởi một vụ vi phạm dữ liệu ảnh hưởng đến 73 triệu khách hàng.
17:00 | 22/12/2023
Mới đây, các nhà nghiên cứu tới từ hãng bảo mật Kaspersky đã đưa ra báo cáo về việc phát hiện một loại Trojan mới có liên quan đến nhóm tin tặc APT BlueNoroff và chiến dịch RustBucket đang diễn ra. Trojan này là một trình tải độc hại được thiết kế để tải và thực thi mã độc khác trên hệ thống bị xâm nhập với mục tiêu nhắm vào người dùng macOS. Bài viết này sẽ cùng tìm hiểu, khám phá Trojan BlueNoroff cũng như thông tin xoay quanh nhóm tin tặc này.
16:00 | 18/12/2023
Các nhà nghiên cứu từ công ty bảo mật chuỗi cung ứng Binarly cho biết lỗ hổng firmware có tên gọi là LogoFAIL có thể ảnh hưởng đến 95% máy tính, cho phép tin tặc vượt qua cơ chế bảo vệ Secure Boot và thực thi phần mềm độc hại trong quá trình khởi động. Các lỗ hổng xuất phát từ trình phân tích cú pháp hình ảnh được sử dụng trong firmware hệ thống UEFI để tải hình ảnh logo trên màn hình khởi động.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024