Phát hiện mã độc mới trên Linux và các thiết bị IoT

13:00 | 22/09/2022 | HACKER / MALWARE

Shikitega - một mã độc mới trên Linux vừa được phát hiện trong chuỗi lây nhiễm nhiều giai đoạn với mục tiêu gửi các payload độc hại nhằm xâm phạm các thiết bị đầu cuối và thiết bị IoT.

Phát hiện mã độc mới trên Linux và các thiết bị IoT

Các nhà nghiên cứu của AT&T Alien Labs (Hoa Kỳ) cho biết, kẻ tấn công có thể chiếm quyền kiểm soát hệ thống và thực thi các chương trình khai thác tiền điện tử lên hệ thống một cách trái phép. Đồng thời, tình trạng gia tăng các phần mềm độc hại Linux đã được tìm thấy trong những tháng gần đây, bao gồm BPFDoor, Symbiote, Syslogk, OrBit và Lightning Framework.

Sau khi được triển khai trên một máy chủ của nạn nhân, chuỗi tấn công này sẽ tải xuống và thực thi công cụ "Mettle" của Metasploit để tối ưu hóa khả năng kiểm soát, khai thác các lỗ hổng nhằm nâng cao đặc quyền và tạo kết nối liên tục sẽ được tải thông qua crontab, cuối cùng khởi chạy tiến trình khai thác tiền điện tử.

Hiện vẫn chưa rõ phương pháp chính xác để xâm phạm vào máy nạn nhân, nhưng điều khiến mã độc Shikitega có khả năng lẩn trốn là tính năng tải xuống các payload ở giai đoạn tiếp theo từ máy chủ C2 và thực thi trực tiếp trong bộ nhớ. Nếu sử dụng các công cụ chống virus hay dựa vào các domain độc hại nhằm phát hiện Shikitega thì rất khó, bởi mã độc này sử dụng bộ mã hóa đa hình "Shikata ga nai" và sử dụng các dịch vụ cloud hợp pháp cho địa chỉ C2.

Sau khi thâm nhập vào máy nạn nhân, Shikitega nâng cấp đặc quyền bằng cách khai thác các lỗ hổng CVE-2021-4034 (hay còn gọi là PwnKit) và CVE-2021-3493, cho phép kẻ tấn công thực thi các đặc quyền nâng cao để tìm, download, thực thi các tập lệnh shell và thiết lập các backdoor với công cụ khai thác tiền điện tử có tên Monero.

Theo nhà nghiên cứu Ofer Caspi của AT&T, không chỉ Shikitega mà các phần mềm độc hại đang ngày càng phát triển một cách tinh vi, phân phối theo nhiều cách khác nhau và có khả năng lẩn tránh các giải pháp bảo mật.

Thanh Tùng

(Theo The Hacknews)

‹ › ×

Tin liên quan

Luna và Black Basta: Mã độc tống tiền mới trên các hệ thống Windows, Linux và ESXi

18:00 | 16/08/2022

Hiện nay, các chiến dịch tấn công sử dụng mã độc tống tiền không chỉ nhắm mục tiêu vào hệ điều hành Windows, mà còn cả trên Linux và hệ thống ảo hóa ESXi. Các nhà nghiên cứu bảo mật của Kaspersky cho biết về sự xuất hiện gần đây của hai dòng mã độc tống tiền có khả năng mã hóa các hệ thống trên là Luna và Black Basta.

7 xu hướng phát triển của IoT trong năm 2023

15:00 | 14/04/2023

Sự tăng trưởng nhanh chóng của các thiết bị kết nối Internet (Internet of Things-IoT) đã và đang thay đổi cách thức sống, làm việc và cả cách tạo ra, chia sẻ, thu thập, sử dụng dữ liệu của người dùng. Hiện tại có trên 14 tỷ thiết bị IoT trên toàn thế giới, con số này ước tính sẽ còn tăng cao lên tới 27 tỷ thiết bị vào năm 2025. Dự kiến trong năm 2023, thế giới sẽ chứng kiến các thiết bị IoT được triển khai rộng rãi trên nhiều mặt với nhiều công nghệ và nhiều ứng dụng mới. Cùng với sự tăng trưởng đó, vấn đề bảo mật dữ liệu và cách thức doanh nghiệp cần thích nghi để đáp ứng những yêu cầu, quy định được đặt ra là rất cần thiết. Dưới đây là những xu hướng IoT chủ yếu có thể kể đến trong năm 2023.

Phát hiện lỗ hổng leo thang đặc quyền trong chức năng Snap-confine trên Linux

14:00 | 08/03/2022

Nhiều lỗ hổng mới đây đã được các nhà nghiên cứu bảo tại công ty an ninh mạng Qualys (California) phát hiện trong hệ thống đóng gói và triển khai phần mềm Snap của Canonical. Đáng chú ý, một trong số những lỗ hổng có thể bị khai thác để tấn công leo thang đặc quyền nhằm chiếm quyền root và kiểm soát máy tính của nạn nhân.

Hàng tỷ thiết bị IoT bị ảnh hưởng bởi hai lỗ hổng trong thư viện Trusted Platform Module

09:00 | 09/03/2023

Các nhà nghiên cứu của Công ty an ninh mạng Quarkslab đã phát hiện hai lỗ hổng nghiêm trọng trong thư viện Trusted Platform Module (TPM) 2.0. Các lỗ hổng này có thể dẫn đến lộ lọt thông tin hoặc leo thang đặc quyền.

Cảnh báo về mã độc Chaos lây nhiễm trên các hệ thống Windows và Linux để tấn công DDoS

14:00 | 17/10/2022

Các nhà nghiên cứu tại Bộ phận tình báo về mối đe dọa Black Lotus Labs của hãng công nghệ Lumen (Hoa Kỳ) vừa phát hiện một dòng botnet đa nền tảng mới dựa trên Go có tên gọi là Chaos. Mã độc này nhắm mục tiêu tới các hệ thống trên Windows, Linux và các bộ định tuyến cho văn phòng nhỏ, văn phòng gia đình (SOHO), máy chủ doanh nghiệp để sử dụng cho mục đích khai thác tiền điện tử và khởi động các cuộc tấn công DDoS.

Tin cùng chuyên mục

Cảnh báo 7 hình thức lừa đảo phổ biến

12:00 | 12/04/2024

Mới đây, Cục An toàn thông tin khuyến nghị người dân cảnh giác với 7 hình thức lừa đảo trực tuyến phổ biến, gồm 5 hình thức trong nước và 2 hình thức có quy mô quốc tế.

Chiến dịch phần mềm Sign1 đã xâm phạm hơn 39.000 trang web WordPress

09:00 | 02/04/2024

Một chiến dịch phần mềm độc hại trên quy mô lớn có tên Sign1 đã xâm phạm hơn 39.000 trang web WordPress trong 6 tháng qua, sử dụng cách thức chèn mã JavaScript độc hại để chuyển hướng người dùng đến các trang web lừa đảo.

Phần mềm độc hại DirtyMoe lây nhiễm hơn 2.000 máy tính tại Ukraine

13:00 | 07/02/2024

Vừa qua, Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) phát cảnh báo về việc hơn 2.000 máy tính ở nước này đã bị lây nhiễm một loại phần mềm độc hại có tên là DirtyMoe.

Cảnh báo chiến dịch tấn công nhắm vào các thiết bị USB an toàn

17:00 | 21/12/2023

Mới đây, nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky phát hiện một chiến dịch gián điệp mạng đang nhắm mục tiêu đánh cắp dữ liệu lưu trữ trên các thiết bị USB an toàn sử dụng trong các cơ quan, tổ chức chính phủ các nước Châu Á - Thái Bình dương (APAC).