Phát hiện chiến dịch tấn công sử dụng botnet khai thác các lỗ hổng trên Linux

09:00 | 26/01/2021 | LỖ HỔNG ATTT

Mới đây, các chuyên gia đã phát hiện một chiến dịch tấn công sử dụng mã độc hại, khai thác các lỗ hổng tồn tại trong thiết bị lưu trữ mạng trên hệ điều hành Linux, với mục tiêu thực hiện tấn công từ chối dịch vụ và khai thác tiền điện tử Monero.

Phát hiện chiến dịch tấn công sử dụng botnet khai thác các lỗ hổng trên Linux

Chiến dịch sử dụng phần mềm độc hại mới có tên "FreakOut", bằng cách khai thác các lỗ hổng nghiêm trọng đã được vá (trong dự án Laminas và Liferay Portal) và lỗ hổng chưa được khắc phục trong TerraMaster.

Các nhà nghiên cứu cho biết phần mềm độc hại này là sản phẩm của một tội phạm mạng lâu năm. Các lỗ hổng CVE-2020-28188, CVE-2021-3007 và CVE-2020-7961 được khai thác để thực thi các lệnh độc hại trong máy chủ mục tiêu.

Quy trình tấn công sử dụng mã độc FreakOut

Đầu tiên, tội phạm mạng lừa người dùng tải xuống và thực thi một tập lệnh có tên "out.py" trên Python 2. Điều này có nghĩa, tội phạm mạng đang nhắm đến các thiết bị của người dùng sử dụng các phiên bản Python không còn được hỗ trợ.

Các nhà nghiên cứu cho biết cuộc tấn công đầu tiên đã được phát hiện vào ngày 8/1/2021, "Phần mềm độc hại được tải xuống từ trang web hxxp://gxbrowser.net, là một tập lệnh Python được làm rối mã nguồn có chứa mã độc đa hình, được thay đổi mỗi khi tập lệnh được tải xuống".

Ngày 11/1/2021, Công ty an ninh mạng F5 Labs (Mỹ) đã cảnh báo về một loạt các cuộc tấn công nhắm vào các thiết bị lưu trữ kết nối mạng (Network attached storage - NAS) NAS từ TerraMaster (tồn tại lỗ hổng CVE-2020-28188) và Liferay CMS (tồn tại lỗ hổng CVE-2020-7961), để lây lan bot N3Cr0m0rPh IRC và khai thác tiền điện tử Monero.

Trong trường hợp của FreakOut, các thiết bị bị xâm nhập được cấu hình để giao tiếp với máy chủ điều khiển và ra lệnh được mã hóa cứng, từ đó chúng nhận lệnh để thực thi.

Phần mềm độc hại này cũng đi kèm với các khả năng mở rộng, cho phép thực hiện nhiều tác vụ khác nhau bao gồm: quét cổng, thu thập thông tin, tạo và gửi các gói dữ liệu, dò tìm mạng, thực hiện tấn công DDoS....

Hơn nữa, các máy chủ cũng có thể trở thành một phần của mạng botnet để khai thác tiền điện tử, phát tán qua mạng và phát động các cuộc tấn công vào các mục tiêu khác.

Các nhà nghiên cứu cảnh báo, "hàng trăm thiết bị đã bị nhiễm trong vài ngày sau khi cuộc tấn công được phát động. Dự báo, mã độc FreakOut sẽ gia tăng mức độ lây nhiễm trong tương lai gần".

Nhà phát triển TerraMaster dự kiến sẽ vá lỗ hổng trong phiên bản 4.2.07. Trong thời gian chờ đợi, người dùng cần nâng cấp lên Liferay Portal 7.2 CE GA2 (7.2.1) trở lên và Laminas-http 2.14.2 để giảm thiểu rủi ro.

Adi Ikan, người đứng đầu bộ phận Nghiên cứu an ninh mạng tại Check Point cho biết, “Những gì chúng tôi đã xác định được là một chiến dịch tấn công mạng đang diễn ra và trực tiếp nhắm vào những người dùng Linux cụ thể. Tội phạm mạng đứng sau chiến dịch này rất giàu kinh nghiệm và nguy hiểm. Thực tế là một số lỗ hổng bị khai thác vừa được công bố đã cung cấp cho tất cả chúng ta một ví dụ điển hình để làm nổi bật tầm quan trọng của việc bảo mật mạng bằng cập nhật bản vá nhanh nhất có thể".

Thanh Bùi ( Theo The Hacker News)

‹ › ×

Tin liên quan

NVIDIA vá nhiều lỗ hổng nghiêm trọng ảnh hưởng đến các thiết bị Windows, Linux

07:00 | 18/01/2021

NVIDIA vừa phát hành bản vá giải quyết 6 lỗ hổng trong trình điều khiển GPU trên hệ điều hành Windows và Linux và 10 lỗ hổng khác ảnh hưởng đến phần mềm quản lý NVIDIA Virtual GPU (vGPU).

Mã độc sử dụng kỹ thuật DLL Side-Loading

09:00 | 13/06/2022

DLL Side-Loading là một trong những kỹ thuật của DLL Hijacking được các tin tặc lợi dụng bằng cách thêm vào tính năng cho mã độc nhằm mục đích vượt qua chương trình diệt virus và các công cụ bảo mật của Windows. Bằng cách chiếm đoạt thứ tự tìm kiếm DLL của một ứng dụng hợp pháp, DLL chứa mã độc sẽ được gọi ngay khi ứng dụng đó được mở. Khi đó, mã độc sẽ được kích hoạt một cách hợp pháp trên máy tính nạn nhân. Tin tặc có thể lợi dụng phương pháp này để tiến hành tấn công vào các cơ quan, tổ chức để đánh cắp thông tin, dữ liệu quan trọng. Bài báo đưa ra phương pháp tiêm mã độc vào DLL của một ứng dụng hợp lệ, có chữ ký số của Microsoft.

Microsoft triệt phá thành công mạng lưới botnet Necurs

09:00 | 25/03/2020

Trung tuần tháng 3, Microsoft thông báo, hãng đã phá vỡ thành công mạng lưới botnet của mã độc Necurs. Đây là phần mềm độc hại lây nhiễm hơn 9 triệu máy tính trên toàn cầu.

Lỗ hổng mới trong Sudo cho phép người dùng cục bộ chiếm đặc quyền root

13:00 | 05/02/2021

Một lỗ hổng vừa được vá trong Sudo cho phép bất kỳ người dùng cục bộ nào cũng có thể chiếm các đặc quyền root trên hệ điều hành như Unix mà không yêu cầu xác thực.

Chiến dịch mới nhắm mục tiêu các nhà nghiên cứu bảo mật

14:00 | 05/02/2021

Trong nhiều tháng qua, nhóm Phân tích mối đe dọa của Google (Threat Analysis Group - TAG) đã xác định một chiến dịch đang diễn ra nhằm vào các nhà nghiên cứu bảo mật tại các công ty và tổ chức khác nhau. Các tác nhân đứng sau chiến dịch này được xác định là một tổ chức được chính phủ hậu thuẫn, có trụ sở tại Triều Tiên. Chúng đã sử dụng một số công cụ cực kỳ tiên tiến để nhắm mục tiêu vào các nhà nghiên cứu.

7 công cụ thực thi các cuộc tấn công các máy chủ Linux

09:00 | 16/04/2021

Hệ điều hành Linux là một nhóm thuộc họ hệ điều hành giống Unix (Unix-like). Đã từ lâu, có nhiều ý kiến cho rằng Linux là hệ điều hành mặc định an toàn và không dễ bị nhiễm mã độc. Linux đã không phải đối mặt với sự tràn lan của virus, sâu và Trojan giống như những hệ thống chạy Windows nhưng hệ thống Linux chịu tấn công từ các backdoor PHP, rootkit và mã khai thác. Nhóm Nghiên cứu và Phân tích toàn cầu (GReAT) tại hãng Kaspersky đã nghiên cứu về hoạt động của mối đe dọa dai dẳng nâng cao (APT) dựa trên các thu thập dữ liệu thông minh về các mối đe dọa trong không gian mạng. Dưới đây sẽ giới thiệu 7 công cụ thực thi các cuộc tấn công máy chủ Linux.

Phát hiện mã độc IoT botnet dựa trên đồ thị PSI với mô hình Skip-gram

15:00 | 18/02/2020

CSKH-01.2018 - (Tóm tắt) - Trong bài báo này, nhóm tác giả đề xuất một phương pháp phát hiện mã độc IoT botnet dựa trên đồ thị PSI (Printable String Information) sử dụng mạng nơ-ron tích chập (Convolutional Neural Network - CNN). Thông qua việc phân tích đặc tính của Botnet trên các thiết bị IoT, phương pháp đề xuất xây dựng đồ thị để thể hiện các mối liên kết giữa các PSI, làm đầu vào cho mô hình mạng nơ-ron CNN phân lớp. Kết quả thực nghiệm trên bộ dữ liệu 10033 tập tin ELF gồm 4002 mẫu mã độc IoT botnet và 6031 tập tin lành tính cho thấy phương pháp đề xuất đạt độ chính xác (accuracy) và độ đo F1 lên tới 98,1%.

Tin cùng chuyên mục

Tin tặc Mustang Panda nhắm mục tiêu vào các quốc gia châu Á với biến thể mới của PlugX

09:00 | 06/03/2024

Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.

Lỗ hổng trong camera của Wyze cho phép người dùng có thể xem video từ các ngôi nhà khác

10:00 | 04/03/2024

Mới đây, công ty sản xuất camera Wyze đã chia sẻ thông tin chi tiết về sự cố bảo mật đã ảnh hưởng đến hàng nghìn người dùng vào hôm 16/02 và cho biết ít nhất 13.000 khách hàng có thể xem clip từ camera nhà của những người dùng khác.

Giải mã biến thể mới của Trojan ngân hàng Mispadu khai thác lỗ hổng Windows SmartScreen

11:00 | 29/02/2024

Các nhà nghiên cứu của hãng bảo mật Palo Alto Networks (Mỹ) đã phát hiện một biến thể mới của Trojan ngân hàng Mispadu đang tiến hành các hoạt động khai thác lỗ hổng Windows SmartScreen đã được vá để nhắm mục tiêu đến các nạn nhân ở Mexico. Bài viết sẽ phân tích và thảo luận xoay quanh biến thể mới của Mispadu và tấn công khai thác lỗ hổng Windows SmartScreen dựa trên báo cáo của Palo Alto Networks.

Phân tích chiến dịch gián điệp mạng Sea Turtle của tin tặc Thổ Nhĩ Kỳ

13:00 | 23/01/2024

Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet (ISP), nhà cung cấp dịch vụ công nghệ thông tin và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới do nhóm tin tặc có tên gọi là Sea Turtle thực hiện. Nhóm này hoạt động với động cơ chính trị nhằm thu thập thông tin tình báo phù hợp với những lợi ích của Thổ Nhĩ Kỳ. Bài viết này sẽ cùng phân tích về các hoạt động của nhóm tin tặc này và các kỹ thuật trong chiến dịch mới nhất, dựa trên báo cáo điều tra của công ty an ninh mạng Hunt&Hackett (Hà Lan).