.jpg)
Theo các chuyên gia bảo mật tại Microsoft, chiến dịch tấn công được tin tặc thực hiện bằng việc sử dụng backdoor trên các thiết bị để triển khai mã độc và IRC bot để đánh cắp, chiếm đoạt tài nguyên thiết bị. Tin tặc bắt đầu bằng chuỗi tấn công Brute-force các thông tin xác thực để xâm nhậm vào các thiết bị Linux và IoT có cấu hình sai hoặc để cấu hình xác thực yếu theo mặc định ban đầu của nhà sản xuất.
Sau khi xâm nhập vào thiết bị, một phiên bản OpenSSH có chứa Trojan từ một máy chủ ở xa sẽ được tải về và cài đặt trên thiết bị mục tiêu nhằm chiếm đoạn các thông tin xác thực SSH, giúp tin tặc di chuyển được bên trong mạng và che giấu các kết nối SSH bất hợp pháp tới các thiết bị bị xâm hại. Để duy trì tấn công và che giấu các hành động xâm phạm, tin tặc còn được cho là đã cài đặt thêm các rootkit mã nguồn mở như Diamorphine và Reptile (có mã nguồn trên Github) để xóa các bản ghi và nhật ký hệ thống trên thiết bị mục tiêu (Hình 1).
Hình 1. Chuỗi tấn công đào tiền số trên thiết bị Linux hoặc IoT của tin tặc
Để đảm bảo quyền truy cập SSH liên tục vào thiết bị, tin tặc tiến hành chèn thêm hai khóa công khai vào trong tập tin cấu hình khóa xác thực SSH của tất cả người dùng trên hệ thống thiết bị mục tiêu. Sau khi xâm nhập vào thiết bị, các mã độc chạy tiến trình đào tiền số trên thiết bị, thậm chí chúng còn ưu tiên chạy các tiến trình đào do mình tạo ra và loại bỏ các tiến trình đào tiền số khác đã cài bởi nhóm tin tặc khác trước đó nếu có.
Hơn nữa, tin tặc còn triển khai thêm một phiên bản chỉnh sửa của mã độc "ZiggyStarTux" nhằm biến thiết bị thành một IRC bot có khả năng nhận lệnh từ xa bởi máy chủ được điều khiển bởi tin tặc (C2 Server – Máy chủ IRC được điều khiển bởi tin tặc) để thực hiện tấn công từ chối dịch vụ phân tán. Mã độc này được chỉnh sửa từ mã độc botnet khác có tên là "Kaiten" (hay còn gọi là "Tsunami").
ZiggyStartux được đăng ký chạy như một dịch vụ hệ thống trên thiết bị mục tiêu và được cấu hình dịch vụ tại tệp tin /etc/systemd/system/network-check.service. Sự giao tiếp giữa ZiggyStartux Bots tới máy chủ C2 được che giấu và duy trì thông qua việc sử dụng tên miền phụ của một tổ chức tài chính Đông Nam Á hợp pháp.
Microsoft quy kết chiến dịch tấn công này cho người dùng có tên "Asterzeu" trên diễn đàn tấn công mạng là cardingforum.cx. Người dùng này đã cung cấp nhiều công cụ tấn công để bán đối với các nền tảng linux, bao gồm cả backdoor SSH.
Các công bố về chiến dịch tấn công này của Microsoft diễn ra hai ngày sau khi một báo cáo về chiến dịch tấn công tương tự đã được xuất bản bởi Trung tâm ứng phó bảo mật khẩn cấp Ahnlab. Chiến dịch tấn công bao gồm mã độc Tsunami - một tên khác cho Kaiten hay một dạng DDoS Bot được cài đặt trên các máy chủ Linux SSH được cấu hình yếu. Theo phân tích của các chuyên gia an ninh mạng Microsoft, Tsunami được sử dụng để cài đặt nhiều công cụ độc hại và đào tiền điện tử khác nhau, như shellbot, xmrig coinminer và log Cleaner.
Đinh Văn Hùng
(Học viện Kỹ thuật mật mã)
11:00 | 21/03/2023
15:00 | 04/08/2023
14:00 | 17/10/2022
10:00 | 26/05/2023
15:00 | 20/12/2023
14:00 | 24/04/2024
Europol đưa ra thông báo, nền tảng cung cấp dịch vụ lừa đảo (PhaaS) LabHost vừa bị triệt phá trong chiến dịch kéo dài 1 năm của các nhà hành pháp toàn cầu, 37 nghi phạm bị bắt giữ.
10:00 | 22/04/2024
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
14:00 | 01/03/2024
Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.
14:00 | 19/02/2024
Tin tặc có thể giành quyền truy cập root trên nhiều bản phân phối chính của Linux trong cấu hình mặc định bằng cách khai thác lỗ hổng leo thang đặc quyền cục bộ mới được tiết lộ trong Thư viện GNU C (glibc).
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024
