Sau khi được một tổ chức khách hàng thông báo về tình trạng ứng dụng và mạng trở nên trì trệ, công ty đã quyết định điều tra về vụ việc này và phát hiện một loại biến thể mã độc đào tiền ảo ẩn mình mới.
Công ty cho biết, hầu như mọi máy chủ và máy trạm của tổ chức khách hàng này đều bị nhiễm mã độc. Hầu hết đều là các biến thể thông thường của mã độc đào tiền ảo, như các công cụ kết xuất (dumping), trình PHP shell ẩn mình... một số mã độc đã xuất hiện trong nhiều năm. Trong số mã độc bị phát hiện có một loại mã độc mới và đáng chú ý nhất được đặt tên là Norman.
Norman là mã độc đào tiền ảo Monero hiệu suất cao, khác biệt so với nhiều mẫu mã độc khác ở phương thức ẩn mình tinh vi của nó. Khác với thường lệ, mã độc này được biên dịch với Nullsoft Scriptable Install System (NSIS), một hệ thống mã nguồn mở thường được sử dụng để tạo các trình cài đặt Windows.
Gói tin độc hại được thiết kế để thực thi mã độc đào tiền ảo và tự ẩn mình. Nó tránh bị phát hiện bằng cách kết thúc tính năng đào tiền ảo khi người dùng mở Trình quản lý tác vụ (Task Manager). Sau khi trình quản lý đóng lại, nó sẽ chèn lại mã độc và tiếp tục đào tiền ảo. Tính năng đào tiền ảo có tên là XMRig, được giấu trong phần mềm độc hại bằng công cụ nén UPX và được chèn vào Notepad hoặc Explorer tùy theo đường dẫn thực thi.
Mã độc đào tiền ảo này còn có thể liên kết với trình PHP shell trong hệ thống của nạn nhân, liên tục kết nối với máy chủ C&C. Cả mã độc Norman và trình PHP shell đều sử dụng dịch vụ cấp tên miền động DuckDNS để kết nối với máy chủ C&C.
Không mã độc nào trong số các mẫu đã phát hiện có khả năng di chuyển biên (lateral movement), mặc dù chúng đã lây lan trên các thiết bị và phân khúc mạng khác nhau. Cho dù tin tặc có thể đã lây nhiễm từng máy chủ riêng lẻ (có thể thông qua cùng một hướng tấn công được sử dụng trong lần lây nhiễm ban đầu), nhưng khả năng lây lan bằng cách sử dụng trình PHP shell để di chuyển biên và lây nhiễm sang các thiết bị khác trong mạng nạn nhân là không xảy ra.
Ngoài ra, công ty cũng tuyên bố là không có sự tương đồng về mã nguồn hoặc khả năng kết nối giữa mã độc đào tiền ảo và PHP shell. Theo suy đoán, tin tặc có thể là người nói tiếng Pháp do ngôn ngữ này đã xuất hiện trong mã nguồn.
Thông qua vụ việc lần này, công ty Varonis kêu gọi các tổ chức cần cảnh giác với mối nguy hại mã độc đào tiền ảo và thực hiện các biện pháp phòng chống như: luôn cập nhật hệ điều hành; giám sát lưu lượng mạng và proxy web; duy trì phần mềm antivirus trên các điểm cuối; cẩn trọng với DNS và theo dõi hoạt động của CPU; đồng thời có kế hoạch ứng phó sự cố đã được thử nghiệm và sẵn sàng triển khai.
Đỗ Đoàn Kết
Theo Infosecurity
14:00 | 27/09/2018
14:00 | 25/07/2018
07:00 | 09/07/2018
17:00 | 03/01/2020
10:00 | 29/03/2024
Một dịch vụ lừa đảo mới có tên là Darcula sử dụng 20.000 tên miền để giả mạo thương hiệu và đánh cắp thông tin xác thực từ người dùng Android và iPhone tại hơn 100 quốc gia thông qua iMessage.
15:00 | 25/03/2024
Ngày 15/3/2024, Quỹ Tiền tệ Quốc tế (IMF) cho biết họ đã bị tấn công mạng sau khi những kẻ tấn công xâm phạm 11 tài khoản email của tổ chức này vào đầu năm nay.
09:00 | 06/03/2024
Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.
14:00 | 16/01/2024
Các tài khoản X (Twitter) chính thức của Netgear và Hyundai MEA (có hơn 160.000 người theo dõi) là những tài khoản nổi tiếng mới nhất bị tin tặc tấn công để phát tán lừa đảo, nhằm lây nhiễm phần mềm độc hại, chiếm đoạt tiền điện tử của các nạn nhân.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lợi dụng lỗ hổng CVE-2024-27956 (có điểm 9,9) trong plugin WP Automatic của WordPress, tin tặc có thể tấn công hơn 30.000 trang web bằng cách tạo tài khoản người dùng với đặc quyền quản trị và cài đặt backdoor để truy cập lâu dài.
10:00 | 13/05/2024
