Mã độc mới SprySOCKS trên Linux
Phân tích của Công ty an ninh mạng Trend Micro về backdoor mới cho thấy nó bắt nguồn từ mã độc mã nguồn mở “Trochilus” trên Windows, với nhiều chức năng của nó được chuyển sang hoạt động trên các hệ thống Linux.
Tuy nhiên, mã độc này có vẻ như là sự kết hợp của nhiều phần mềm độc hại vì giao thức truyền thông của máy chủ điều khiển và kiểm soát (C2) SprySOCKS tương tự như “RedLeaves”, một backdoor trên Windows. Ngược lại, việc triển khai shell tương tác dường như bắt nguồn từ “Derusbi”, một phần mềm độc hại trên Linux và được nhiều nhóm tin tặc của Trung Quốc sử dụng trong các chiến dịch tấn công kể từ năm 2008.
Cuộc tấn công của Earth Lusca
Earth Lusca lần đầu tiên được Trend Micro ghi nhận vào tháng 01/2022, với các cuộc tấn công nhằm vào các thực thể khu vực công và tư nhân trên khắp châu Á, Úc, châu Âu và Bắc Mỹ.
Hoạt động từ năm 2021, nhóm tin tặc này đã dựa vào các cuộc tấn công Spear-phishing và Watering hole để thực hiện các hoạt động gián điệp mạng của mình. Một số hoạt động của nhóm này trùng lặp với một cụm mối đe dọa khác được công ty an ninh mạng Recorded Future theo dõi dưới tên “RedHotel”.
Những phát hiện mới nhất từ Trend Micro cho thấy, Earth Lusca tiếp tục là một nhóm tin tặc hoạt động tích cực, thậm chí còn mở rộng hoạt động sang các tổ chức mục tiêu trên toàn thế giới trong nửa đầu năm 2023, trong đó tập trung mục tiêu chính vào các cơ quan chính phủ có liên quan đến các vấn đề đối ngoại, công nghệ và viễn thông ở Đông Nam Á, Trung Á và vùng Balkan.
Báo cáo của Trend Micro, các nỗ lực khai thác đối với một số lỗi n-day thực thi mã từ xa không được xác thực kéo dài từ năm 2019 đến năm 2022, ảnh hưởng đến các điểm cuối tiếp xúc với Internet.
Chuỗi tấn công bắt đầu bằng việc khai thác các lỗ hổng bảo mật đã biết trong Fortinet (CVE-2022-39952 và CVE-2022-40684), GitLab (CVE-2021-22205), Microsoft Exchange Server (ProxyShell), Progress Telerik UI (CVE-2019-18935) và các máy chủ Zimbra (CVE-2019-9621 và CVE-2019-9670) để nhúng web shell và cung cấp Cobalt Strike.
Hình 1. Các lỗ hổng được Earth Lusca sử dụng để khai thác lần đầu
Những lỗ hổng này được khai thác để triển khai “đèn hiệu” (beacon) Cobalt Strike, cho phép truy cập từ xa vào mạng bị xâm phạm. Quyền truy cập này được sử dụng để phát tán ngang trên mạng trong khi lọc các tệp, đánh cắp thông tin xác thực tài khoản và triển khai các payload bổ sung, như “ShadowPad”.
Các nhà nghiên cứu bảo mật Joseph C. Chen và Jaromir Horejsi của Trend Micro cho biết: “Earth Lusca có ý định lọc các tài liệu và thông tin xác thực tài khoản email, cũng như triển khai thêm các backdoor nâng cao như ShadowPad và phiên bản Linux của Winnti để tiến hành các hoạt động gián điệp lâu dài chống lại các mục tiêu của nó”.
Những kẻ đe dọa cũng sử dụng đèn hiệu Cobalt Strike để loại bỏ trình tải SprySOCKS, một biến thể của trình nhúng ELF Linux có tên là “mandibule”, xuất hiện trên các máy mục tiêu dưới dạng tệp có tên “libmonitor.so.2”.
Các nhà nghiên cứu của Trend Micro cho biết những kẻ tấn công đã điều chỉnh mandibule cho phù hợp với nhu cầu của chúng, nhưng hơi vội vàng và để lại các thông báo và biểu tượng gỡ lỗi.
Trình tải chạy dưới tên “kworker/0:22” để tránh bị phát hiện bằng cách giống với một luồng worker của Linux kernel, giải mã payload giai đoạn thứ hai (SprySOCKS) và thiết lập sự tồn tại lâu dài trên máy tính bị nhiễm.
Hình 2. Tiến trình kworker giả mạo
Khả năng của SprySOCKS
Backdoor SprySOCKS sử dụng framework mạng hiệu suất cao được gọi là “HP-Socket” để hoạt động, trong khi giao tiếp TCP của nó với C2 được mã hóa AES-ECB.
Các chức năng backdoor chính của mã độc mới này bao gồm:
Ngoài ra, mã độc cũng tạo ID client bằng cách sử dụng địa chỉ MAC của giao diện mạng được liệt kê đầu tiên và một số tính năng của CPU, sau đó chuyển đổi nó thành chuỗi thập lục phân 28 byte.
Cho đến nay, ít nhất hai mẫu SprySOCKS khác nhau (phiên bản 1.1 và 1.3.6) đã được xác định, cho thấy mã độc này đang được phát triển tích cực và được những kẻ tấn công liên tục sửa đổi để bổ sung thêm các tính năng mới.
Các nhà nghiên cứu cho biết: “Điều quan trọng là các tổ chức phải chủ động quản lý bề mặt tấn công của mình, giảm thiểu các điểm xâm nhập tiềm năng vào hệ thống của họ và giảm khả năng vi phạm thành công”. Đồng thời đưa ra khuyến nghị các tổ chức cần phải áp dụng các bản vá bảo mật và cập nhật các công cụ, phần mềm và hệ thống máy chủ để đảm bảo tính bảo mật, chức năng và hiệu suất tổng thể, qua đó có thể ngăn chặn sự xâm phạm ban đầu từ SprySOCKS.
Ngọc Ngân
15:00 | 13/10/2023
09:00 | 05/02/2024
08:00 | 04/12/2023
15:00 | 31/08/2023
10:00 | 10/04/2024
17:00 | 11/08/2023
11:00 | 25/01/2024
08:00 | 24/10/2023
08:00 | 24/10/2023
09:00 | 17/07/2023
08:00 | 04/05/2024
Mới đây, Cisco cảnh báo rằng một nhóm tin tặc được nhà nước bảo trợ đã khai thác hai lỗ hổng zero-day trong tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11/2023 để cài đặt phần mềm độc hại trên các hệ thống mạng viễn thông và năng lượng bị ảnh hưởng tại nhiều quốc gia.
09:00 | 09/04/2024
Các nhà nghiên cứu bảo mật của IBM đã chứng minh rằng tin tặc có thể sử dụng trí tuệ nhân tạo (AI) tạo sinh và công nghệ deepfake âm thanh để chiếm quyền điều khiển và thao túng các cuộc hội thoại trực tiếp.
16:00 | 26/03/2024
Theo nhận định của các chuyên gia, Công ty chứng khoán VNDIRECT có thể đã bị tin tặc tấn công bằng hình thức mã độc tống tiền. Cho đến chiều 26/3, hệ thống của VNDIRECT và một số hệ thống liên quan vẫn trong trạng thái ngừng trệ hoạt động.
08:00 | 19/01/2024
Các nhà nghiên cứu bảo mật đến từ Công ty an ninh mạng Security Joes (Israel) đã mô tả một cách chi tiết về một biến thể mới của kỹ thuật chiếm quyền điều khiển thứ tự tìm kiếm thư viện liên kết động (DLL) mà các tin tặc có thể sử dụng để vượt qua các cơ chế bảo mật và thực thi mã độc trên các hệ thống chạy Windows 10 và Windows 11.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024