Phần mềm độc hại SpectralBlur ban đầu được phát hiện và phân tích bởi nhà nghiên cứu mối đe dọa cấp cao Greg Lesnewich của công ty an ninh mạng Proofpoint (Mỹ). Lesnewich cho biết, SpectralBlur có các tính năng thông thường của một backdoor độc hại, bao gồm khả năng có thể tải lên (upload)/tải xuống (download) tệp, chạy lệnh shell, cập nhật cấu hình, xóa tệp. Phần mềm độc hại này thực hiện tác vụ dựa trên các lệnh được đưa ra từ máy chủ điều khiển và ra lệnh (C2), thông tin liên lạc với máy chủ được mã hóa bằng Rivest Cipher 4 (RC4).
Một trong những khía cạnh độc đáo nhất của SpectralBlur từng được ghi nhận bởi nhà nghiên cứu bảo mật Phil Stokes tới từ công ty an ninh mạng SentinelOne (Mỹ), đó là sử dụng hàm Grantpt để thiết lập một thiết bị đầu cuối giả mạo.
Bên cạnh đó, nhà nghiên cứu Patrick Wardle cũng phát hiện ra việc sử dụng các thiết bị đầu cuối giả để thực thi các lệnh shell từ xa trong phân tích của mình. Wardle nhận định đây là một phần trong chiến thuật lén lút của SpectralBlur, bao gồm mã hóa giao tiếp của nó với máy chủ C2, xóa nội dung tệp của chính nó bằng cách ghi đè chúng bằng số 0 và tự chia thành nhiều phiên bản.
Theo đánh giá của Lesnewich, SpectralBlur dường như có liên quan đến KandyKorn (còn gọi là SockRacket), một phần mềm độc hại tiên tiến có chức năng như một Trojan truy cập từ xa có khả năng kiểm soát máy chủ bị xâm nhập trong một chiến dịch tấn công trong lĩnh vực Blockchain vào tháng 11/2023.
Điều đáng chú ý là các hoạt động KandyKorn cũng tương tự với một chiến dịch khác do nhóm tin tặc BlueNoroff (có liên quan đến nhóm gián điệp mạng khét tiếng Lazarus của Triều Tiên) thực hiện, mà đỉnh điểm là việc triển khai một backdoor được gọi là RustBucket và một payload giai đoạn cuối có tên là ObjCShellz. Trong những tháng gần đây, các nhà nghiên cứu đã quan sát thấy kẻ tấn công kết hợp các phần khác nhau của hai chuỗi lây nhiễm này, tận dụng các công cụ Dropper RustBucket để phân phối KandyKorn.
Những phát hiện mới nhất là một dấu hiệu khác cho thấy các tác nhân đe dọa của Triều Tiên đang nhắm tới thiết bị macOS để xâm nhập vào các mục tiêu có giá trị cao, đặc biệt là các mục tiêu trong ngành công nghiệp tiền điện tử và Blockchain.
Lesnewich nhấn mạnh, nhóm tin tặc BlueNoroff tiếp tục phát triển các hoạt động tấn công mạng và cải tiến với các dòng phần mềm độc hại macOS mới này. Theo nhà nghiên cứu Wardle, người đã chia sẻ những chi tiết bổ sung về hoạt động bên trong của SpectralBlur cho biết, tệp nhị phân Mach-O đã được tải lên dịch vụ quét phần mềm độc hại VirusTotal vào tháng 8/2023 từ Colombia.
Sự tương đồng về chức năng giữa Kandykorn và SpectralBlur làm dấy lên nghi vấn chúng có thể được xây dựng bởi các nhà phát triển khác nhau, nhưng có cùng yêu cầu.
Tiết lộ này được đưa ra khi tổng cộng 21 dòng phần mềm độc hại mới nhắm mục tiêu vào các hệ thống macOS, bao gồm phần mềm tống tiền, trình đánh cắp thông tin, Trojan truy cập từ xa và một số phần mềm độc hại được cho là do nhà nước hậu thuẫn, đã được phát hiện vào năm 2023. Wardle lưu ý rằng, với sự phát triển và phổ biến không ngừng của macOS (đặc biệt là trong doanh nghiệp), năm 2024 dự báo các tin tặc sẽ phát triển thêm những biến thể độc hại mới trên hệ điều hành này.
Hồng Đạt
(Tổng hợp)
14:00 | 05/03/2024
07:00 | 08/04/2024
23:00 | 28/09/2023
07:00 | 27/12/2023
08:00 | 04/12/2023
17:00 | 08/11/2023
12:00 | 25/10/2023
09:00 | 19/04/2024
Theo nhận định của Cục An toàn thông tin (Bộ Thông tin và Truyền thông), trong thời gian gần đây các chiêu trò lừa đảo trực tuyến ngày càng gia tăng với các hình thức tinh vi hơn. Điều này khiến cho nhiều người dân khó nhận biết để phòng tránh nguy cơ mất an toàn thông tin.
14:00 | 23/02/2024
Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.
09:00 | 09/01/2024
Một nhóm tin tặc có tên Cyber Toufan được cho là do nhà nước Palestine hậu thuẫn tuyên bố đã tấn công hơn 100 tổ chức của Israel thông qua các hoạt động xóa và đánh cắp dữ liệu. Đây là một phần của chiến dịch tấn công toàn diện mà nguyên nhân là việc căng thẳng chính trị ngày càng gia tăng trong khu vực.
13:00 | 14/12/2023
RisePro là một phần mềm độc hại đánh cắp thông tin dưới dạng dịch vụ, được xác định lần đầu tiên vào năm 2022. Gần đây, các nhà nghiên cứu của Anyrun nhận thấy hoạt động của phần mềm độc hại này tăng đột biến, đồng thời thay đổi cách giao tiếp với máy chủ điều khiển và kiểm soát (C2), cũng như trang bị những khả năng mới, đặc biệt là các tính năng điều khiển từ xa khiến nó có khả năng hoạt động như một RAT (Remote Access Trojan).
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024
