Trang tin thehackernews cho biết, theo báo cáo của công ty an ninh mạng AhnLab có trụ sở tại Hàn Quốc (ASEC) chiến dịch tấn công này nhắm mục tiêu vào các máy chủ MS-SQL tồn tại các lỗ hổng chưa được vá lỗi và lỏng lẻo trong công tác bảo mật.
Tin tặc sử dụng công cụ Cobalt Strike để khai thác
Cobalt Strike là một framework về kiểm thử thâm nhập, cho phép tin tặc triển khai Beacon trên máy nạn nhân (Beacon như một đường dẫn trực tiếp kết nối vào mạng, được tin tặc điều khiển và thực hiện các hành vi, script độc hại) và có thể truy cập từ xa vào hệ thống. Mặc dù được biết đến là một nền tảng mô phỏng mối đe dọa dành cho Red team (nhóm thực hiện kiểm tra xâm nhập bảo mật), các phiên bản bẻ khóa của phần mềm đã được sử dụng như một công cụ khai thác bởi nhiều nhóm tin tặc khác nhau.
ASEC cho biết các cuộc tấn công bắt đầu bằng việc dò quét trên cổng mở TCP 1433, để kiểm tra các máy chủ MS-SQL công khai. Sau đó, tin tặc thực hiện các cuộc tấn công từ điển hoặc brute force đối với tài khoản quản trị viên hệ thống (tài khoản sa) để bẻ khóa mật khẩu. Để thực hiện được một trong hai hình thức tấn công này, mật khẩu mục tiêu thường được thiết lập yếu hoặc dễ đoán.
Các nhà nghiên cứu ASEC cũng đã chứng kiến một số trường hợp tấn công máy chủ MS-SQL liên quan đến các loại mã độc khai thác tiền điện tử như Vollgar, Lemon Duck và KingMinder.
Dữ liệu cài đặt Cobalt Strike
Sau khi đã xâm nhập thành công và dành được quyền truy cập tài khoản quản trị, giai đoạn tấn công tiếp theo là tạo một command shell (cmd.exe hoặc powershell.exe) thông qua process MS-SQL có tên là sqlservr.exe, để tải xuống payload chứa mã nhị phân Cobalt Strike được mã hóa vào hệ thống.
Giai đoạn cuối cùng là giải mã tệp thi hành Cobalt Strike, tiếp theo đưa nó vào chương trình Microsoft Build Engine (MSBuild.exe), vốn đã bị tin tặc lợi dụng trước đây để tải về các trojan truy cập từ xa và mã độc hại đánh cắp mật khẩu trên Windows.
Hơn nữa, Cobalt Strike được thực thi trong MSBuild.exe đi cùng với các tùy chọn cấu hình bổ sung để tránh bị các phần mềm, chương trình bảo mật phát hiện, bằng cách tải wwanmm.dll - là một thư viện Windows cho WWan Media Manager, sau đó ghi và thực thi Beacon trong vùng bộ nhớ của DLL.
Các nhà nghiên cứu lưu ý: “Vì Beacon nhận lệnh của tin tặc và thực hiện hành vi khai thác không tồn tại trong vùng bộ nhớ đáng ngờ, thay vào đó nó sẽ hoạt động trong mô-đun bình thường wwanmm.dll, do đó có thể vượt qua các phần mềm bảo mật dựa trên phát hiện thông qua bộ nhớ”.
Mã Shellcode và các chuỗi được sử dụng cho wwanmm.dll
Báo cáo của AhnLab còn cho thấy rằng tất cả URL tải xuống và URL máy chủ C2 (command and control) trong các chiến dịch tấn công gần đây đều cùng kết nối đến một tin tặc.
Các nhà nghiên cứu nhận xét rằng: “Quản lý thông tin đăng nhập tài khoản quản trị viên để chúng dễ bị tấn công từ điển hay brute force hoặc không thay đổi thông tin đăng nhập thường xuyên có thể khiến máy chủ MS-SQL trở thành mục tiêu chính của các tin tặc”.
Vì thế, để bảo vệ máy chủ MS-SQL trước các cuộc tấn công như thế này, người dùng nên sử dụng mật khẩu mạnh, bao gồm một chuỗi ký tự cả chữ hoa, chữ thường, số cũng như là các ký tự đặc biệt. Tránh sử dụng các số theo thứ tự (ví dụ như 123, 789) hay ngày có ý nghĩa (ví dụ như sinh nhật) cũng như tên thông thường.
Ngoài mật khẩu mạnh, người dùng cũng nên thiết lập máy chủ phía sau tường lửa, tiến hành ghi log và theo dõi các hành động đáng ngờ. Đồng thời nên đảm bảo rằng tất cả các bản vá bảo mật đều được cập nhật thường xuyên, cũng như sử dụng hệ thống Access Control để kiểm tra, thực thi các chính sách trên mọi hoạt động.
Lê Thị Bích Hằng
- Đinh Hồng Đạt
10:00 | 14/04/2022
10:00 | 04/02/2022
14:00 | 16/01/2024
10:00 | 20/01/2022
16:00 | 21/02/2022
14:00 | 16/01/2024
Theo nghiên cứu mới đây của Zimperium (công ty bảo mật di động có trụ sở tại Hoa Kỳ), 29 họ phần mềm độc hại đã nhắm mục tiêu vào 1.800 ứng dụng ngân hàng trên 61 quốc gia vào năm 2023. Nhiều hơn gần gấp 3 lần năm 2022 với 10 dòng phần mềm độc hại nhắm mục tiêu đến 600 ứng dụng ngân hàng. Có thể thấy được sự phát triển và tiện lợi của các ứng dụng ngân hàng trực tuyến, tuy nhiên chúng cũng đi kèm với nguy cơ tiềm ẩn về an toàn thông tin và gian lận tài chính.
09:00 | 08/12/2023
Để bổ sung thêm những tính năng dành cho các nền tảng ứng dụng nhắn tin hiện nay, các nhà phát triển bên thứ ba đã đưa ra các bản mod (phiên bản sửa đổi của ứng dụng không chính thức) cung cấp các tính năng mới bên cạnh những nâng cấp về mặt giao diện. Tuy nhiên, một số mod này có thể chứa phần mềm độc hại cùng với các cải tiến hợp pháp. Một trường hợp điển hình đã xảy ra vào năm ngoái khi các nhà nghiên cứu Kaspersky phát hiện ra Trojan Triada bên trong bản mod WhatsApp. Gần đây, các nhà nghiên cứu đã phát hiện một bản mod Telegram có module gián điệp được nhúng và phân phối thông qua Google Play. Câu chuyện tương tự hiện tại xảy ra với WhatsApp, khi một số bản mod trước đây đã được phát hiện có chứa module gián điệp có tên là Trojan-Spy.AndroidOS.CanesSpy.
08:00 | 04/12/2023
Microsoft cho biết tin tặc Triều Tiên đã xâm nhập vào một công ty phần mềm Đài Loan và lợi dụng hệ thống của công ty này để phát tán phần mềm độc hại đến các thiết bị ở Mỹ, Canada, Nhật Bản và Đài Loan trong một cuộc tấn công vào chuỗi cung ứng.
21:00 | 16/11/2023
Các nhà nghiên cứu bảo mật của công ty an ninh mạng CrowdStrike cho biết đã phát hiện một chiến dịch tấn công mạng mới được thực hiện bởi nhóm tin tặc Imperial Kitten, với các mục tiêu nhắm vào các công ty trong lĩnh vực vận tải, hậu cần và công nghệ của Israel.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024