Mã độc mới SprySOCKS trên Linux
Phân tích của Công ty an ninh mạng Trend Micro về backdoor mới cho thấy nó bắt nguồn từ mã độc mã nguồn mở “Trochilus” trên Windows, với nhiều chức năng của nó được chuyển sang hoạt động trên các hệ thống Linux.
Tuy nhiên, mã độc này có vẻ như là sự kết hợp của nhiều phần mềm độc hại vì giao thức truyền thông của máy chủ điều khiển và kiểm soát (C2) SprySOCKS tương tự như “RedLeaves”, một backdoor trên Windows. Ngược lại, việc triển khai shell tương tác dường như bắt nguồn từ “Derusbi”, một phần mềm độc hại trên Linux và được nhiều nhóm tin tặc của Trung Quốc sử dụng trong các chiến dịch tấn công kể từ năm 2008.
Cuộc tấn công của Earth Lusca
Earth Lusca lần đầu tiên được Trend Micro ghi nhận vào tháng 01/2022, với các cuộc tấn công nhằm vào các thực thể khu vực công và tư nhân trên khắp châu Á, Úc, châu Âu và Bắc Mỹ.
Hoạt động từ năm 2021, nhóm tin tặc này đã dựa vào các cuộc tấn công Spear-phishing và Watering hole để thực hiện các hoạt động gián điệp mạng của mình. Một số hoạt động của nhóm này trùng lặp với một cụm mối đe dọa khác được công ty an ninh mạng Recorded Future theo dõi dưới tên “RedHotel”.
Những phát hiện mới nhất từ Trend Micro cho thấy, Earth Lusca tiếp tục là một nhóm tin tặc hoạt động tích cực, thậm chí còn mở rộng hoạt động sang các tổ chức mục tiêu trên toàn thế giới trong nửa đầu năm 2023, trong đó tập trung mục tiêu chính vào các cơ quan chính phủ có liên quan đến các vấn đề đối ngoại, công nghệ và viễn thông ở Đông Nam Á, Trung Á và vùng Balkan.
Báo cáo của Trend Micro, các nỗ lực khai thác đối với một số lỗi n-day thực thi mã từ xa không được xác thực kéo dài từ năm 2019 đến năm 2022, ảnh hưởng đến các điểm cuối tiếp xúc với Internet.
Chuỗi tấn công bắt đầu bằng việc khai thác các lỗ hổng bảo mật đã biết trong Fortinet (CVE-2022-39952 và CVE-2022-40684), GitLab (CVE-2021-22205), Microsoft Exchange Server (ProxyShell), Progress Telerik UI (CVE-2019-18935) và các máy chủ Zimbra (CVE-2019-9621 và CVE-2019-9670) để nhúng web shell và cung cấp Cobalt Strike.
Hình 1. Các lỗ hổng được Earth Lusca sử dụng để khai thác lần đầu
Những lỗ hổng này được khai thác để triển khai “đèn hiệu” (beacon) Cobalt Strike, cho phép truy cập từ xa vào mạng bị xâm phạm. Quyền truy cập này được sử dụng để phát tán ngang trên mạng trong khi lọc các tệp, đánh cắp thông tin xác thực tài khoản và triển khai các payload bổ sung, như “ShadowPad”.
Các nhà nghiên cứu bảo mật Joseph C. Chen và Jaromir Horejsi của Trend Micro cho biết: “Earth Lusca có ý định lọc các tài liệu và thông tin xác thực tài khoản email, cũng như triển khai thêm các backdoor nâng cao như ShadowPad và phiên bản Linux của Winnti để tiến hành các hoạt động gián điệp lâu dài chống lại các mục tiêu của nó”.
Những kẻ đe dọa cũng sử dụng đèn hiệu Cobalt Strike để loại bỏ trình tải SprySOCKS, một biến thể của trình nhúng ELF Linux có tên là “mandibule”, xuất hiện trên các máy mục tiêu dưới dạng tệp có tên “libmonitor.so.2”.
Các nhà nghiên cứu của Trend Micro cho biết những kẻ tấn công đã điều chỉnh mandibule cho phù hợp với nhu cầu của chúng, nhưng hơi vội vàng và để lại các thông báo và biểu tượng gỡ lỗi.
Trình tải chạy dưới tên “kworker/0:22” để tránh bị phát hiện bằng cách giống với một luồng worker của Linux kernel, giải mã payload giai đoạn thứ hai (SprySOCKS) và thiết lập sự tồn tại lâu dài trên máy tính bị nhiễm.
Hình 2. Tiến trình kworker giả mạo
Khả năng của SprySOCKS
Backdoor SprySOCKS sử dụng framework mạng hiệu suất cao được gọi là “HP-Socket” để hoạt động, trong khi giao tiếp TCP của nó với C2 được mã hóa AES-ECB.
Các chức năng backdoor chính của mã độc mới này bao gồm:
Ngoài ra, mã độc cũng tạo ID client bằng cách sử dụng địa chỉ MAC của giao diện mạng được liệt kê đầu tiên và một số tính năng của CPU, sau đó chuyển đổi nó thành chuỗi thập lục phân 28 byte.
Cho đến nay, ít nhất hai mẫu SprySOCKS khác nhau (phiên bản 1.1 và 1.3.6) đã được xác định, cho thấy mã độc này đang được phát triển tích cực và được những kẻ tấn công liên tục sửa đổi để bổ sung thêm các tính năng mới.
Các nhà nghiên cứu cho biết: “Điều quan trọng là các tổ chức phải chủ động quản lý bề mặt tấn công của mình, giảm thiểu các điểm xâm nhập tiềm năng vào hệ thống của họ và giảm khả năng vi phạm thành công”. Đồng thời đưa ra khuyến nghị các tổ chức cần phải áp dụng các bản vá bảo mật và cập nhật các công cụ, phần mềm và hệ thống máy chủ để đảm bảo tính bảo mật, chức năng và hiệu suất tổng thể, qua đó có thể ngăn chặn sự xâm phạm ban đầu từ SprySOCKS.
Ngọc Ngân
15:00 | 13/10/2023
09:00 | 05/02/2024
08:00 | 04/12/2023
15:00 | 31/08/2023
10:00 | 10/04/2024
17:00 | 11/08/2023
11:00 | 25/01/2024
08:00 | 24/10/2023
08:00 | 24/10/2023
09:00 | 17/07/2023
14:00 | 24/10/2024
Trong tháng 9/2024, Trung tâm Giám sát an toàn không gian mạng quốc gia (Cục An toàn thông tin, Bộ TT&TT) đã ghi nhận 125.338 địa chỉ website giả mạo các cơ quan, tổ chức tăng hơn 100 địa chỉ so với tháng 8 trước đó.
16:00 | 04/09/2024
Kaspersky vừa phát hiện một nhóm tin tặc có tên Head Mare, chuyên tấn công các tổ chức ở Nga và Belarus bằng cách khai thác lỗ hổng zero-day trong phần mềm nén và giải nén phổ biến WinRAR.
10:00 | 16/08/2024
Vào tháng 5/2024, các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một mối đe dọa APT mới nhắm vào các thực thể Chính phủ Nga. Được gọi là CloudSorcerer, đây là một công cụ gián điệp mạng tinh vi được sử dụng để theo dõi lén lút, thu thập dữ liệu và đánh cắp thông tin thông qua cơ sở hạ tầng đám mây Microsoft Graph, Yandex Cloud và Dropbox. Phần mềm độc hại này tận dụng các tài nguyên đám mây và GitHub làm máy chủ điều khiển và ra lệnh (C2), truy cập chúng thông qua API bằng mã thông báo xác thực. Bài viết này sẽ tiến hành phân tích và giải mã về công cụ gián điệp mạng này, dựa trên báo cáo mới đây của Kaspersky.
14:00 | 30/07/2024
Một nhóm tin tặc có liên quan đến Trung Quốc có tên là APT17 đã được phát hiện nhắm mục tiêu vào các công ty và tổ chức của Chính phủ Ý bằng cách sử dụng một biến thể của phần mềm độc hại đã biết có tên là 9002 RAT.
Các chuyên gia phát hiện ra 02 lỗ hổng Zero-day trong camera PTZOptics định danh CVE-2024-8956 và CVE-2024-8957 sau khi Sift - công cụ chuyên phát hiện rủi ro an ninh mạng sử dụng AI tìm ra hoạt động bất thường chưa từng được ghi nhận trước đó trên mạng honeypot của công ty này.
09:00 | 08/11/2024