Được phát hiện vào ngày 30/1/2020, module có tên gọi là rdpScanDll vẫn đang trong quá trình phát triển. Theo các nhà nghiên cứu, cho đến nay rdpScanDll đã cố gắng tấn công 6.013 máy chủ hoạt động giao thức truy cập từ xa (Remote Desktop Protocol – RDP), của các doanh nghiệp hoạt động trong lĩnh vực viễn thông, giáo dục và tài chính ở Hoa Kỳ và Hồng Kông.
Tính linh hoạt của TrickBot đến từ kiến trúc module, biến nó thành một mã độc phức tạp và tinh vi. Chỉ cần có 1 trình cắm (plugin), TrickBot có thể thực hiện một loạt các tấn công khác nhau, như: khai thác các tiện ích bổ sung để đánh cắp dữ liệu nhạy cảm của OpenSSH và OpenVPN; bổ sung module thực hiện các cuộc tấn công SIM-swapping nhằm kiểm soát số điện thoại của người dùng; vô hiệu hóa các cơ chế bảo mật tích hợp của Windows trước khi tải xuống các module chính.
Hoạt động của module rdpScanDll
Khi bắt đầu thực thi, TrickBot sẽ tạo một thư mục chứa các payload độc hại được mã hóa và các tệp cấu hình liên quan, bao gồm danh sách các máy chủ C&C mà plugin cần liên kết để truy xuất các lệnh được thực thi.
Theo Bitdefender, plugin của rdpScanDll sẽ chia sẻ tệp cấu hình của nó với module vncDll. Cùng lúc, rdpScanDll sử dụng định dạng URL tiêu chuẩn để kết nối với các máy chủ C2 mới - https://C&C/tag/computerID/controlEndpoint.
Trong đó, “C&C” là máy chủ C&C, “tag” là thẻ nhóm được sử dụng bởi mẫu của TrickBot, “computerID” là ID máy tính bị lây nhiễm và “controlEndpoint” là danh sách các chế độ tấn công. Danh sách các địa chỉ IP sẽ là mục tiêu thông qua một cuộc tấn RDP brute-force.
Các lĩnh vực mà TrickBot nhắm tới
Module rdpScanDll có ba chế độ tấn công là: check - kiểm tra kết nối RDP từ danh sách mục tiêu, trybrute - khai thác với danh sách tài khoản người dùng được xác định trước trong “/rdp/names” và “/rdp/dict” tương ứng trên các mục tiêu đã chọn và brute – chế độ đang được phát triển.
Chế độ brute không chỉ có một bộ các chức năng thực thi không được gọi (invoked), chế độ này còn không nạp danh sách tên người dùng, khiến cho plugin sử dụng mật khẩu và tên người dùng dạng null để xác thực trong danh sách mục tiêu.
Khi danh sách ban đầu của các IP được thu thập thông qua “/rdp/domain” đã hết, plugin sẽ lấy một danh sách IP khác bằng cách sử dụng “/rdp/over” thứ hai. Hai danh sách có lần lượt 49 và 5.964 địa chỉ IP. Chúng bao gồm các mục tiêu đặt tại Hoa Kỳ và Hồng Kông.
Phân bố địa lý khu vực tấn công của TrickBot
Theo báo cáo của Bitdefender, trong sáu tháng qua, các plugin chuyển động bên (lateral movement) và trên mạng (WormDll, TabDll, ShareDll) có nhiều nhiều cập nhật nhất. Tiếp sau đó là các module giúp thực hiện trinh sát hệ thống và mạng (SystemInfo , NetworkDll), cuối cùng là các module thu thập dữ liệu (ImportDll, Pwgrab, aDll). Tỷ lệ cập nhật cụ thể là 32,07% đối với wormDll, 31,44% đối với shareDll và 16,35% cho tabDll. Các plugin khác có ít hơn 5%.
Các nhà nghiên cứu có thể xác định ít nhất 3.460 địa chỉ IP hoạt động như các máy chủ C&C trên toàn thế giới, có 556 IP chỉ dành riêng để tải xuống các plugin mới và 22 IP thực hiện cả hai vai trò.
Lịch sử phát triển của TrickBot
Phổ biến thông qua các chiến dịch lừa đảo qua email, TrickBot bắt đầu được biết đến như một Trojan ngân hàng vào năm 2016 chuyên thực hiện hành vi trộm cắp tài chính. Sau đó, nó đã phát triển để cung cấp các loại phần mềm độc hại khác, bao gồm cả ransomware khét tiếng Ryuk. Ryuk đã hoạt động như một mã độc đánh cắp thông tin, ví Bitcoin, thu thập email và thông tin đăng nhập.
Các chiến dịch thư rác độc hại có chứa TrickBot sử dụng vỏ bọc của một bên thứ ba quen thuộc với người nhận. Chúng có thể là hóa đơn từ các công ty tài chính và kế toán hay bất kỳ địa chỉ email uy tín nào.
Các email thường bao gồm tệp đính kèm như tệp Word hoặc Excel. Khi được mở, nó sẽ thông báo người dùng cần kích hoạt macro, từ đó thực thi VBScript, chạy tập lệnh PowerShell và tải xuống phần mềm độc hại.
TrickBot cũng có thể bị tải xuống như một payload thứ cấp bởi các phần mềm độc hại khác, nổi bật nhất là chiến dịch spam do Emotet điều khiển. Để có duy trì và tránh bị phát hiện, mã độc này có thể tạo một dịch vụ hay một lịch trình cho các công việc, thậm chí vô hiệu hóa và xóa phần mềm chống virus Windows Defender.
Vì lý do này, hãng Microsoft đã bổ sung tính năng Tamper Protection để bảo vệ hệ thống trước các thay đổi độc hại và trái phép trong lõi bảo mật từ năm 2019.
Trí Công
(theo The Hacker new)
14:00 | 15/08/2019
09:00 | 12/03/2020
10:00 | 28/03/2024
Các nhà nghiên cứu phát hiện nhóm ransomware ShadowSyndicate đang quét các máy chủ tồn tại lỗ hổng directory traversal định danh CVE-2024-23334, hay còn gọi là lỗ hổng path traversal trong thư viện Aiohttp của Python.
07:00 | 11/03/2024
Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.
17:00 | 22/12/2023
Mới đây, các nhà nghiên cứu tới từ hãng bảo mật Kaspersky đã đưa ra báo cáo về việc phát hiện một loại Trojan mới có liên quan đến nhóm tin tặc APT BlueNoroff và chiến dịch RustBucket đang diễn ra. Trojan này là một trình tải độc hại được thiết kế để tải và thực thi mã độc khác trên hệ thống bị xâm nhập với mục tiêu nhắm vào người dùng macOS. Bài viết này sẽ cùng tìm hiểu, khám phá Trojan BlueNoroff cũng như thông tin xoay quanh nhóm tin tặc này.
09:00 | 08/12/2023
Để bổ sung thêm những tính năng dành cho các nền tảng ứng dụng nhắn tin hiện nay, các nhà phát triển bên thứ ba đã đưa ra các bản mod (phiên bản sửa đổi của ứng dụng không chính thức) cung cấp các tính năng mới bên cạnh những nâng cấp về mặt giao diện. Tuy nhiên, một số mod này có thể chứa phần mềm độc hại cùng với các cải tiến hợp pháp. Một trường hợp điển hình đã xảy ra vào năm ngoái khi các nhà nghiên cứu Kaspersky phát hiện ra Trojan Triada bên trong bản mod WhatsApp. Gần đây, các nhà nghiên cứu đã phát hiện một bản mod Telegram có module gián điệp được nhúng và phân phối thông qua Google Play. Câu chuyện tương tự hiện tại xảy ra với WhatsApp, khi một số bản mod trước đây đã được phát hiện có chứa module gián điệp có tên là Trojan-Spy.AndroidOS.CanesSpy.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024