Phần mềm độc hại sunspot được sử dụng để đưa vào cửa hậu SolarWinds

14:00 | 21/01/2021 | HACKER / MALWARE

Khi cuộc điều tra về cuộc tấn công chuỗi cung ứng SolarWinds vẫn đang được tiếp tục, các nhà nghiên cứu an ninh mạng đã tiết lộ một phần mềm độc hại thứ ba được sử dụng để đưa cửa hậu vào nền tảng giám sát mạng Orion.

Phần mềm độc hại được phát hiện có tên gọi "Sunspot", nó bổ sung vào danh sách các phần mềm độc hại được tiết lộ trước đây như Sunburst và Teardrop.

Sudhakar Ramakrishna, Giám đốc điều hành mới của SolarWinds giải thích: "Đoạn mã rất phức tạp và mới lạ này được thiết kế để đưa mã độc Sunburst vào Nền tảng SolarWinds Orion mà không làm đội ngũ phát triển và xây dựng phần mềm của công ty phát hiện ra".

Trong khi các bằng chứng sơ bộ cho thấy rằng những kẻ đứng đằng sau chiến dịch gián điệp đã cố gắng xâm nhập vào cơ sở hạ tầng ký mã và xây dựng phần mềm của SolarWinds Orion Platform vào tháng 10/2019 để cung cấp cửa hậu Sunburst. Cùng với đó, những phát hiện mới nhất cho thấy mốc thời gian thiết lập vi phạm đầu tiên của mạng SolarWinds vào ngày 4/9/2019. Tất cả đều được thực hiện với mục đích triển khai Sunspot.

Phần mềm độc hại sunspot được sử dụng để đưa vào cửa hậu SolarWinds

Các nhà nghiên cứu của Crowdstrike cho biết: “Sunspot giám sát các tiến trình thực thi của những người tham gia biên soạn sản phẩm Orion và thay thế một trong các tệp nguồn để bao gồm mã cửa hậu Sunburst”. Crowdstrike đang theo dõi vụ xâm nhập này dưới biệt danh "StellarParticle".

Sau khi được cài đặt, phần mềm độc hại ("taskhostsvc.exe") tự cấp đặc quyền gỡ lỗi và thực hiện chiếm quyền điều khiển quy trình xây dựng Orion bằng cách giám sát các quy trình phần mềm đang chạy trên máy chủ và sau đó thay thế tệp mã nguồn trong thư mục bản dựng bằng tệp độc hại, để inject Sunburst trong khi Orion đang được xây dựng.

Các nhà nghiên cứu của Kaspersky cũng phát hiện mối liên hệ tiềm năng giữa Sunburst và Kazuar - một họ phần mềm độc hại có liên quan đến tổ chức gián điệp mạng Turla được cho là hoạt động dưới sự hậu thuẫn của Nga.

Tuy nhiên, Kaspersky đã hạn chế rút ra suy luận từ các điểm tương đồng, thay vào đó họ cho rằng các phần trùng lặp có thể đã được cố tình thêm vào để gây hiểu lầm. Trong khi những điểm tương đồng khác xa so với smoking-gun liên quan đến vụ tấn công vào Nga, các quan chức chính phủ Mỹ tuần trước đã chính thức xác nhận chiến dịch Solorigate đối với những mục tiêu có thể có nguồn gốc từ Nga.

Thanh Bùi ( Theo The Hacker News)

‹ › ×

Tin liên quan

Phần mềm độc hại đa nền tảng nhắm vào ví tiền điện tử

08:00 | 12/01/2021

Các nhà nghiên cứu an ninh mạng vừa tiết lộ một chiến dịch lừa đảo trên diện rộng nhắm vào người dùng tiền ảo được bắt đầu từ tháng 01/2020. Chiến dịch này phát tán các ứng dụng độc hại để từ đó cài đặt công cụ truy cập từ xa trên các hệ thống mục tiêu.

TikTok đề xuất liên minh với các mạng xã hội khác để chặn nội dung độc hại

16:00 | 05/10/2020

TikTok đã đề xuất thành lập một liên minh toàn cầu giữa các công ty truyền thông xã hội để xác định sớm và loại bỏ những nội dung độc hại.

Microsoft chia sẻ cách thức mà tin tặc SolarWinds đã thực hiện để tránh bị phát hiện

07:00 | 04/02/2021

Microsoft đã chia sẻ chi tiết về các phương pháp tinh vi mà các tin tặc đã sử dụng để che giấu hoạt động của mình bên trong mạng của các công ty sử dụng nền tảng SolarWinds Orion hay gọi tắt là tin tặc SolarWinds để tránh phát hiện.

Phần mềm độc hại nguy hiểm Emotet đã bị phá vỡ

11:00 | 08/02/2021

Các cơ quan thực thi pháp luật từ 8 quốc gia đã phá vỡ cơ sở hạ tầng của Emote - một phần mềm độc hại trên Windows phát tán qua email. Phần mềm này đứng sau một số chiến dịch thư rác do botnet điều khiển và các cuộc tấn công ransomware trong thập kỷ qua.

Vụ SolarWinds - tin tặc đánh cắp một số mã nguồn của Microsoft

08:00 | 22/02/2021

Sau khi kết thúc cuộc điều tra về vụ tấn công SolarWinds, Microsoft phát hiện một số mã nguồn đã bị đánh cắp, nhưng không có bằng chứng nào cho thấy tin tặc lợi dụng hệ thống nội bộ của hãng để tấn công các công ty khác hoặc giành quyền truy cập vào các dịch vụ hoặc dữ liệu khách hàng.

Phần mềm độc hại Joker tấn công Google Play

16:00 | 17/09/2020

Bằng cách ẩn mã độc bên trong các ứng dụng của hệ điều hành Android, phần mềm độc hại Joker đã vượt qua các biện pháp bảo vệ của Google để tấn công cửa hàng Google Play.

Giải mã tấn công SolarWinds

10:00 | 24/02/2021

Nhóm tin tặc Cozy Bear (Nga) đã nắm quyền truy cập vào các hệ thống của chính phủ Mỹ và nhiều tổ chức lớn khác thông qua bản cập nhật phần mềm Orion bị sửa đổi của SolarWinds. Điều này làm dấy lên thực tế rằng hầu hết các tổ chức đều không có kinh nghiệm trong việc phòng tránh, xử lý tấn công chuỗi cung ứng phần mềm.

SolarWinds phát hành bản vá lỗ hổng bảo mật trong phần mềm Serv-U

09:00 | 26/07/2021

Ngay sau khi Microsoft có thông báo phát hiện lỗ hổng thực thi mã từ xa (RCE) CVE-2021-35211 trong phần mềm Serv-U Managed File Transfer Server và Serv-U Secured FTP, SolarWinds đã cung cấp một bản vá cập nhật vào ngày 13/7/2021.

Hơn 100 công ty bị ảnh hưởng bởi tấn công SolarWinds

08:00 | 23/02/2021

Chính phủ Hoa Kỳ vừa công bố số liệu mới nhất về số lượng công ty và cơ quan liên bang bị ảnh hưởng bởi cuộc tấn công SolarWinds gần đây.

Tin cùng chuyên mục

Phần mềm độc hại WogRAT mới lợi dụng Notepad trực tuyến để lưu trữ và phân phối mã độc

08:00 | 12/03/2024

Mới đây, các nhà nghiên cứu từ Trung tâm Ứng phó khẩn cấp bảo mật AhnLab - ASEC (Hàn Quốc) phát hiện phần mềm độc hại mới có tên WogRAT, đang được các tác nhân đe dọa triển khai trong các cuộc tấn công lạm dụng nền tảng Notepad trực tuyến có tên là aNotepad để bí mật lưu trữ và truy xuất mã độc trên cả Windows và Linux.

Biến thể mới của kỹ thuật tấn công DLL vượt qua các biện pháp bảo vệ của Windows 10, 11

08:00 | 19/01/2024

Các nhà nghiên cứu bảo mật đến từ Công ty an ninh mạng Security Joes (Israel) đã mô tả một cách chi tiết về một biến thể mới của kỹ thuật chiếm quyền điều khiển thứ tự tìm kiếm thư viện liên kết động (DLL) mà các tin tặc có thể sử dụng để vượt qua các cơ chế bảo mật và thực thi mã độc trên các hệ thống chạy Windows 10 và Windows 11.

Tin tặc Triều Tiên phát triển backdoor mới trên macOS

07:00 | 16/01/2024

Các nhà nghiên cứu an ninh mạng đã phát hiện một backdoor macOS mới có tên là SpectralBlur. Đặc biệt backdoor này có những điểm tương đồng với dòng phần mềm độc hại KandyKorn của các tin tặc Triều Tiên trong các chiến dịch tấn công mạng được xác định gần đây.

Biến thể mới của Trojan ngân hàng Android Chameleon có khả năng vượt qua xác thực sinh trắc học

07:00 | 08/01/2024

Mới đây, các nhà nghiên cứu an ninh mạng tới từ công ty bảo mật di động ThreatFabric (Hà Lan) cho biết một phiên bản cập nhật mới của Trojan ngân hàng Android có tên là Chameleon đang mở rộng mục tiêu nhắm tới người dùng ở Anh và Ý. Trojan này được phân phối thông qua Zombinder - một loại phần mềm Dropper dưới dạng dịch vụ (DaaS). Bài viết này sẽ tập trung phân tích biến thể mới của Chameleon với khả năng đặc biệt vượt qua tính năng xác thực sinh trắc học.