Tin tặc nhắm mục tiêu tới các thiết bị Linux và IoT để phục vụ việc đào tiền số

09:00 | 13/07/2023 | HACKER / MALWARE

Vừa qua, Microsoft đã đưa ra các thông tin rằng các nhóm tin tặc đang thực hiện các chiến dịch tấn công mạng nhắm tới các thiết bị chạy hệ điều hành Linux và IoT để đánh cắp tài nguyên phần cứng các thiết bị này nhằm phục vụ cho các hoạt động đào tiền số.

Tin tặc nhắm mục tiêu tới các thiết bị Linux và IoT để phục vụ việc đào tiền số

Theo các chuyên gia bảo mật tại Microsoft, chiến dịch tấn công được tin tặc thực hiện bằng việc sử dụng backdoor trên các thiết bị để triển khai mã độc và IRC bot để đánh cắp, chiếm đoạt tài nguyên thiết bị. Tin tặc bắt đầu bằng chuỗi tấn công Brute-force các thông tin xác thực để xâm nhậm vào các thiết bị Linux và IoT có cấu hình sai hoặc để cấu hình xác thực yếu theo mặc định ban đầu của nhà sản xuất.

Sau khi xâm nhập vào thiết bị, một phiên bản OpenSSH có chứa Trojan từ một máy chủ ở xa sẽ được tải về và cài đặt trên thiết bị mục tiêu nhằm chiếm đoạn các thông tin xác thực SSH, giúp tin tặc di chuyển được bên trong mạng và che giấu các kết nối SSH bất hợp pháp tới các thiết bị bị xâm hại. Để duy trì tấn công và che giấu các hành động xâm phạm, tin tặc còn được cho là đã cài đặt thêm các rootkit mã nguồn mở như Diamorphine và Reptile (có mã nguồn trên Github) để xóa các bản ghi và nhật ký hệ thống trên thiết bị mục tiêu (Hình 1).

Hình 1. Chuỗi tấn công đào tiền số trên thiết bị Linux hoặc IoT của tin tặc

Để đảm bảo quyền truy cập SSH liên tục vào thiết bị, tin tặc tiến hành chèn thêm hai khóa công khai vào trong tập tin cấu hình khóa xác thực SSH của tất cả người dùng trên hệ thống thiết bị mục tiêu. Sau khi xâm nhập vào thiết bị, các mã độc chạy tiến trình đào tiền số trên thiết bị, thậm chí chúng còn ưu tiên chạy các tiến trình đào do mình tạo ra và loại bỏ các tiến trình đào tiền số khác đã cài bởi nhóm tin tặc khác trước đó nếu có.

Hơn nữa, tin tặc còn triển khai thêm một phiên bản chỉnh sửa của mã độc "ZiggyStarTux" nhằm biến thiết bị thành một IRC bot có khả năng nhận lệnh từ xa bởi máy chủ được điều khiển bởi tin tặc (C2 Server – Máy chủ IRC được điều khiển bởi tin tặc) để thực hiện tấn công từ chối dịch vụ phân tán. Mã độc này được chỉnh sửa từ mã độc botnet khác có tên là "Kaiten" (hay còn gọi là "Tsunami").

ZiggyStartux được đăng ký chạy như một dịch vụ hệ thống trên thiết bị mục tiêu và được cấu hình dịch vụ tại tệp tin /etc/systemd/system/network-check.service. Sự giao tiếp giữa ZiggyStartux Bots tới máy chủ C2 được che giấu và duy trì thông qua việc sử dụng tên miền phụ của một tổ chức tài chính Đông Nam Á hợp pháp.

Microsoft quy kết chiến dịch tấn công này cho người dùng có tên "Asterzeu" trên diễn đàn tấn công mạng là cardingforum.cx. Người dùng này đã cung cấp nhiều công cụ tấn công để bán đối với các nền tảng linux, bao gồm cả backdoor SSH.

Các công bố về chiến dịch tấn công này của Microsoft diễn ra hai ngày sau khi một báo cáo về chiến dịch tấn công tương tự đã được xuất bản bởi Trung tâm ứng phó bảo mật khẩn cấp Ahnlab. Chiến dịch tấn công bao gồm mã độc Tsunami - một tên khác cho Kaiten hay một dạng DDoS Bot được cài đặt trên các máy chủ Linux SSH được cấu hình yếu. Theo phân tích của các chuyên gia an ninh mạng Microsoft, Tsunami được sử dụng để cài đặt nhiều công cụ độc hại và đào tiền điện tử khác nhau, như shellbot, xmrig coinminer và log Cleaner.

Đinh Văn Hùng

(Học viện Kỹ thuật mật mã)

‹ › ×

Tin liên quan

Mã độc tống tiền IceFire mã hóa trên cả Linux và Windows

11:00 | 21/03/2023

Một chủng mã độc tống tiền dựa trên Windows được biết đến trước đây có tên là IceFire hiện đang mở rộng và nhắm mục tiêu trên các hệ thống Linux bằng một bộ mã hóa chuyên dụng mới.

Lợi ích của sự hội tụ IT/OT trong lĩnh vực IOT công nghiệp

15:00 | 04/08/2023

Trong bối cảnh sự phát triển mạnh mẽ của các công nghệ ngày càng được ứng dụng trong hoạt động sản xuất, cùng với ngành công nghiệp dần được chuyển sang tự động hóa, công nghệ thông tin (Information Technology - IT) và công nghệ vận hành (Operational Technology - OT) đang có những bước chuyển mình tích cực. Tuy nhiên, dường như các doanh nghiệp mới chỉ tập trung phát triển một trong hai nền tảng trên, mà chưa chú trọng đến kết hợp, hội tụ cùng một môi trường sản xuất công nghiệp hiện đại. Bài báo sẽ đưa ra các lợi ích của sự hội tụ của hai hệ thống IT và OT.

Cảnh báo về mã độc Chaos lây nhiễm trên các hệ thống Windows và Linux để tấn công DDoS

14:00 | 17/10/2022

Các nhà nghiên cứu tại Bộ phận tình báo về mối đe dọa Black Lotus Labs của hãng công nghệ Lumen (Hoa Kỳ) vừa phát hiện một dòng botnet đa nền tảng mới dựa trên Go có tên gọi là Chaos. Mã độc này nhắm mục tiêu tới các hệ thống trên Windows, Linux và các bộ định tuyến cho văn phòng nhỏ, văn phòng gia đình (SOHO), máy chủ doanh nghiệp để sử dụng cho mục đích khai thác tiền điện tử và khởi động các cuộc tấn công DDoS.

Đột phá mới từ sự kết hợp Blockchain với IoT và AI

10:00 | 26/05/2023

Trong thời đại số, sự phát triển của các công nghệ như trí tuệ nhân tạo (Artificial Intelligence - AI), Metaverse, Web 3.0, tiền điện tử (Stablecoin), mạng xã hội, truyền thông 6G, Big data, Blockchain và Internet of Things (IoT) đang thúc đẩy sự thay đổi toàn diện về cách thức quản lý, trao đổi và sử dụng thông tin. Những công nghệ này đang trở thành những công cụ quan trọng để tạo ra những hệ thống thông tin an toàn, thông minh, hiệu quả và đáng tin cậy trong nhiều lĩnh vực. Trong giới hạn nội dung bài báo này, tác giả sẽ giới thiệu về xu hướng kết hợp công nghệ Blockchain với công nghệ IoT và AI trong tương lai gần để tạo ra những giải pháp, sản phẩm khoa học công nghệ mới cho thế giới kỹ thuật số.

Hoạt động rửa tiền sử dụng tiền mã hóa: Phương thức, thủ đoạn và biện pháp phòng chống (phần 2)

15:00 | 20/12/2023

Trong phần I bài viết đã thông tin tới độc giả các khái niệm, phương thức, thủ đoạn của hoạt động rửa tiền bằng tiền mã hóa. Phần II tiếp theo của bài báo sẽ tập trung đề xuất các giải pháp phòng, chống rửa tiền sử dụng tiền mã hóa tại Việt Nam.

Tin cùng chuyên mục

Cảnh báo lỗ hổng có điểm CVSS 10/10 trong hệ điều hành của tường lửa PAN-OS

15:00 | 16/04/2024

Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.

Chiến dịch phần mềm Sign1 đã xâm phạm hơn 39.000 trang web WordPress

09:00 | 02/04/2024

Một chiến dịch phần mềm độc hại trên quy mô lớn có tên Sign1 đã xâm phạm hơn 39.000 trang web WordPress trong 6 tháng qua, sử dụng cách thức chèn mã JavaScript độc hại để chuyển hướng người dùng đến các trang web lừa đảo.

Phần mềm độc hại WogRAT mới lợi dụng Notepad trực tuyến để lưu trữ và phân phối mã độc

08:00 | 12/03/2024

Mới đây, các nhà nghiên cứu từ Trung tâm Ứng phó khẩn cấp bảo mật AhnLab - ASEC (Hàn Quốc) phát hiện phần mềm độc hại mới có tên WogRAT, đang được các tác nhân đe dọa triển khai trong các cuộc tấn công lạm dụng nền tảng Notepad trực tuyến có tên là aNotepad để bí mật lưu trữ và truy xuất mã độc trên cả Windows và Linux.

Phân tích chiến dịch gián điệp mạng Sea Turtle của tin tặc Thổ Nhĩ Kỳ

13:00 | 23/01/2024

Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet (ISP), nhà cung cấp dịch vụ công nghệ thông tin và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới do nhóm tin tặc có tên gọi là Sea Turtle thực hiện. Nhóm này hoạt động với động cơ chính trị nhằm thu thập thông tin tình báo phù hợp với những lợi ích của Thổ Nhĩ Kỳ. Bài viết này sẽ cùng phân tích về các hoạt động của nhóm tin tặc này và các kỹ thuật trong chiến dịch mới nhất, dựa trên báo cáo điều tra của công ty an ninh mạng Hunt&Hackett (Hà Lan).