Phần mềm độc hại DirtyMoe lây nhiễm hơn 2.000 máy tính tại Ukraine

13:00 | 07/02/2024 | HACKER / MALWARE

Vừa qua, Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) phát cảnh báo về việc hơn 2.000 máy tính ở nước này đã bị lây nhiễm một loại phần mềm độc hại có tên là DirtyMoe.

Phần mềm độc hại DirtyMoe lây nhiễm hơn 2.000 máy tính tại Ukraine

CERT-UA cho rằng chiến dịch tấn công được thực hiện bởi nhóm tin tặc UAC-0027. Phần mềm độc hại DirtyMoe xuất hiện sớm nhất từ năm 2016 và được triển khai bằng nhiều bộ công cụ khác nhau như PurpleFox hoặc trình cài đặt Telegram được chèn vào yêu cầu sự tương tác của người dùng. Đặc biệt, DirtyMoe có khả năng thực hiện các cuộc tấn công mã hóa, tấn công từ chối dịch vụ phân tán (DDoS) và khai thác tiền điện tử.

DirtyMoe thực thi dưới dạng dịch vụ Windows với các đặc quyền hệ thống thông qua EternalBlue (mã khai thác thông tin được phát triển bởi Cục An ninh Quốc gia Mỹ - NSA) và ít nhất ba hoạt động khai thác khác. Theo công ty an ninh mạng Avast (Cộng hòa Séc), chức năng cụ thể này được điều khiển từ xa bởi tác giả phần mềm độc hại, những người có thể cấu hình lại hàng nghìn phiên bản DirtyMoe để đạt được các chức năng mong muốn trong vòng vài giờ. Vào tháng 3/2022, Avast cũng đã tiết lộ khả năng lây nhiễm của DirtyMoe với các đặc điểm của Worm bằng cách lợi dụng các lỗi bảo mật đã được công bố.

Theo các nhà nghiên cứu của CERT-UA, botnet DDoS trong chiến dịch lây nhiễm DirtyMoe được phát tán thông qua Purple Fox hoặc các gói cài đặt MSI giả mạo cho các phần mềm phổ biến như Telegram. Purple Fox cũng được trang bị rootkit cho phép kẻ tấn công che giấu phần mềm độc hại trên máy mục tiêu và gây khó khăn cho việc phát hiện cũng như loại bỏ.

Điều đáng chú ý, DirtyMoe có chức năng tự lan truyền bằng cách thu thập dữ liệu xác thực hoặc khai thác một số lỗ hổng liên quan đến các máy tính nằm trong mạng cục bộ và các máy tính dựa trên danh sách địa chỉ IP được tạo bởi một thuật toán cụ thể, tùy thuộc vào địa chỉ IP công cộng của mục tiêu.

Để đảm bảo khả năng chịu lỗi (Fault Tolerance) trong giao tiếp với cơ sở hạ tầng điều khiển, ít nhất ba phương pháp khai thác được các tin tặc sử dụng, một trong số đó có liên quan đến việc lấy giá trị bản ghi A cho các tên miền được xác định bằng cả máy chủ DNS cục bộ và bên ngoài, bao gồm: 8.8.8.8 ; 1.1.1.1 ; 114.114.114.114 và 119.29.29.29. Ngoài ra, các địa chỉ IP được lưu trữ trong registry của hệ điều hành và những địa chỉ có được thông qua truy vấn DNS đều bị xáo trộn.

CERT-UA cho biết họ đã xác định được 486 địa chỉ IP của các máy chủ kiểm soát trung gian trong khoảng thời gian từ ngày 20 đến ngày 31/01/2024, phần lớn trong số đó có liên quan đến các thiết bị phần cứng bị xâm nhập ở Trung Quốc. Đồng thời, CERT-UA cũng khuyến nghị các tổ chức nên cập nhật bản vá bảo mật đối với các hệ thống chủ quản và giám sát lưu lượng truy cập mạng để phát hiện bất kỳ hoạt động bất thường nào.

Tiết lộ này được đưa ra khi hãng bảo mật Securonix (Mỹ) trình bày chi tiết về một chiến dịch lừa đảo đang diễn ra có tên là STEADY#URSA để cung cấp backdoor PowerShell SUBTLE-PAWS, với mục tiêu nhắm vào các cơ quan thuộc Quân đội Ukraine.

Vũ Mạnh Hà

(Tổng hợp)

‹ › ×

Tin liên quan

Phân tích kỹ thuật lây nhiễm của mã độc Shikitega

14:00 | 29/09/2022

Vừa qua, một mã độc tàng hình mới có tên là Shikitega đã được phát hiện thông qua một chuỗi lây nhiễm nhiều giai đoạn với mục tiêu gửi các payload độc hại tới hệ điều hành Linux và các thiết bị IoT. Bài báo này tập trung trình bày về kỹ thuật lây nhiễm của loại mã độc mới trên Linux này.

Phần mềm độc hại WogRAT mới lợi dụng Notepad trực tuyến để lưu trữ và phân phối mã độc

08:00 | 12/03/2024

Mới đây, các nhà nghiên cứu từ Trung tâm Ứng phó khẩn cấp bảo mật AhnLab - ASEC (Hàn Quốc) phát hiện phần mềm độc hại mới có tên WogRAT, đang được các tác nhân đe dọa triển khai trong các cuộc tấn công lạm dụng nền tảng Notepad trực tuyến có tên là aNotepad để bí mật lưu trữ và truy xuất mã độc trên cả Windows và Linux.

Phương thức lây nhiễm của mã độc tống tiền LockBit

12:00 | 12/08/2022

Các nhà nghiên cứu tại Trung tâm Điều hành An ninh toàn cầu Cybereason (GSOC) vừa công bố một bản báo cáo Phân tích mối đe dọa về các cuộc tấn công. Trong đó, tập trung nghiên cứu vào sự phát triển của mã độc tống tiền LockBit với các kỹ thuật được sử dụng để lây nhiễm trên các hệ thống mục tiêu.

Phần mềm độc hại mới GTPDOOR đánh cắp thông tin thuê bao và dữ liệu cuộc gọi

08:00 | 21/03/2024

Phần mềm độc hại mới trên Linux có tên là GTPDOOR được thiết kế để nhắm mục tiêu vào các mạng viễn thông dựa trên khai thác giao thức đường hầm trên GPRS (GPRS Tunneling Protocol-GTP) để thực thi câu lệnh và điều khiển (C2).

Tin tặc Nga sử dụng DropBox và Google Drive để lây nhiễm mã độc

13:00 | 02/08/2022

Nhóm tin tặc APT29 được cho là có liên quan đến Cơ quan Tình báo Đối ngoại Liên bang Nga (SVR) đã tiến hành một chiến dịch lừa đảo lợi dụng các dịch vụ đám mây hợp pháp như Google Drive và Dropbox để lây nhiễm mã độc trên các hệ thống mục tiêu.

Tin cùng chuyên mục

Gia tăng các hình thức lừa đảo trực tuyến

09:00 | 19/04/2024

Theo nhận định của Cục An toàn thông tin (Bộ Thông tin và Truyền thông), trong thời gian gần đây các chiêu trò lừa đảo trực tuyến ngày càng gia tăng với các hình thức tinh vi hơn. Điều này khiến cho nhiều người dân khó nhận biết để phòng tránh nguy cơ mất an toàn thông tin.

Plugin GPT của bên thứ ba có thể khiến người dùng bị chiếm đoạt tài khoản

08:00 | 04/04/2024

Các nhà nghiên cứu bảo mật phát hiện ra plugin của bên thứ ba hiện có dành cho ChatGPT có thể hoạt động như một bề mặt tấn công mới để truy cập trái phép vào dữ liệu nhạy cảm.

Quỹ Tiền tệ Quốc tế bị tấn công mạng

15:00 | 25/03/2024

Ngày 15/3/2024, Quỹ Tiền tệ Quốc tế (IMF) cho biết họ đã bị tấn công mạng sau khi những kẻ tấn công xâm phạm 11 tài khoản email của tổ chức này vào đầu năm nay.