Mã độc mới SprySOCKS trên Linux
Phân tích của Công ty an ninh mạng Trend Micro về backdoor mới cho thấy nó bắt nguồn từ mã độc mã nguồn mở “Trochilus” trên Windows, với nhiều chức năng của nó được chuyển sang hoạt động trên các hệ thống Linux.
Tuy nhiên, mã độc này có vẻ như là sự kết hợp của nhiều phần mềm độc hại vì giao thức truyền thông của máy chủ điều khiển và kiểm soát (C2) SprySOCKS tương tự như “RedLeaves”, một backdoor trên Windows. Ngược lại, việc triển khai shell tương tác dường như bắt nguồn từ “Derusbi”, một phần mềm độc hại trên Linux và được nhiều nhóm tin tặc của Trung Quốc sử dụng trong các chiến dịch tấn công kể từ năm 2008.
Cuộc tấn công của Earth Lusca
Earth Lusca lần đầu tiên được Trend Micro ghi nhận vào tháng 01/2022, với các cuộc tấn công nhằm vào các thực thể khu vực công và tư nhân trên khắp châu Á, Úc, châu Âu và Bắc Mỹ.
Hoạt động từ năm 2021, nhóm tin tặc này đã dựa vào các cuộc tấn công Spear-phishing và Watering hole để thực hiện các hoạt động gián điệp mạng của mình. Một số hoạt động của nhóm này trùng lặp với một cụm mối đe dọa khác được công ty an ninh mạng Recorded Future theo dõi dưới tên “RedHotel”.
Những phát hiện mới nhất từ Trend Micro cho thấy, Earth Lusca tiếp tục là một nhóm tin tặc hoạt động tích cực, thậm chí còn mở rộng hoạt động sang các tổ chức mục tiêu trên toàn thế giới trong nửa đầu năm 2023, trong đó tập trung mục tiêu chính vào các cơ quan chính phủ có liên quan đến các vấn đề đối ngoại, công nghệ và viễn thông ở Đông Nam Á, Trung Á và vùng Balkan.
Báo cáo của Trend Micro, các nỗ lực khai thác đối với một số lỗi n-day thực thi mã từ xa không được xác thực kéo dài từ năm 2019 đến năm 2022, ảnh hưởng đến các điểm cuối tiếp xúc với Internet.
Chuỗi tấn công bắt đầu bằng việc khai thác các lỗ hổng bảo mật đã biết trong Fortinet (CVE-2022-39952 và CVE-2022-40684), GitLab (CVE-2021-22205), Microsoft Exchange Server (ProxyShell), Progress Telerik UI (CVE-2019-18935) và các máy chủ Zimbra (CVE-2019-9621 và CVE-2019-9670) để nhúng web shell và cung cấp Cobalt Strike.
Hình 1. Các lỗ hổng được Earth Lusca sử dụng để khai thác lần đầu
Những lỗ hổng này được khai thác để triển khai “đèn hiệu” (beacon) Cobalt Strike, cho phép truy cập từ xa vào mạng bị xâm phạm. Quyền truy cập này được sử dụng để phát tán ngang trên mạng trong khi lọc các tệp, đánh cắp thông tin xác thực tài khoản và triển khai các payload bổ sung, như “ShadowPad”.
Các nhà nghiên cứu bảo mật Joseph C. Chen và Jaromir Horejsi của Trend Micro cho biết: “Earth Lusca có ý định lọc các tài liệu và thông tin xác thực tài khoản email, cũng như triển khai thêm các backdoor nâng cao như ShadowPad và phiên bản Linux của Winnti để tiến hành các hoạt động gián điệp lâu dài chống lại các mục tiêu của nó”.
Những kẻ đe dọa cũng sử dụng đèn hiệu Cobalt Strike để loại bỏ trình tải SprySOCKS, một biến thể của trình nhúng ELF Linux có tên là “mandibule”, xuất hiện trên các máy mục tiêu dưới dạng tệp có tên “libmonitor.so.2”.
Các nhà nghiên cứu của Trend Micro cho biết những kẻ tấn công đã điều chỉnh mandibule cho phù hợp với nhu cầu của chúng, nhưng hơi vội vàng và để lại các thông báo và biểu tượng gỡ lỗi.
Trình tải chạy dưới tên “kworker/0:22” để tránh bị phát hiện bằng cách giống với một luồng worker của Linux kernel, giải mã payload giai đoạn thứ hai (SprySOCKS) và thiết lập sự tồn tại lâu dài trên máy tính bị nhiễm.
Hình 2. Tiến trình kworker giả mạo
Khả năng của SprySOCKS
Backdoor SprySOCKS sử dụng framework mạng hiệu suất cao được gọi là “HP-Socket” để hoạt động, trong khi giao tiếp TCP của nó với C2 được mã hóa AES-ECB.
Các chức năng backdoor chính của mã độc mới này bao gồm:
Ngoài ra, mã độc cũng tạo ID client bằng cách sử dụng địa chỉ MAC của giao diện mạng được liệt kê đầu tiên và một số tính năng của CPU, sau đó chuyển đổi nó thành chuỗi thập lục phân 28 byte.
Cho đến nay, ít nhất hai mẫu SprySOCKS khác nhau (phiên bản 1.1 và 1.3.6) đã được xác định, cho thấy mã độc này đang được phát triển tích cực và được những kẻ tấn công liên tục sửa đổi để bổ sung thêm các tính năng mới.
Các nhà nghiên cứu cho biết: “Điều quan trọng là các tổ chức phải chủ động quản lý bề mặt tấn công của mình, giảm thiểu các điểm xâm nhập tiềm năng vào hệ thống của họ và giảm khả năng vi phạm thành công”. Đồng thời đưa ra khuyến nghị các tổ chức cần phải áp dụng các bản vá bảo mật và cập nhật các công cụ, phần mềm và hệ thống máy chủ để đảm bảo tính bảo mật, chức năng và hiệu suất tổng thể, qua đó có thể ngăn chặn sự xâm phạm ban đầu từ SprySOCKS.
Ngọc Ngân
15:00 | 13/10/2023
09:00 | 05/02/2024
08:00 | 04/12/2023
15:00 | 31/08/2023
10:00 | 10/04/2024
17:00 | 11/08/2023
11:00 | 25/01/2024
08:00 | 24/10/2023
08:00 | 24/10/2023
09:00 | 17/07/2023
19:00 | 30/04/2024
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
14:00 | 19/02/2024
Tin tặc có thể giành quyền truy cập root trên nhiều bản phân phối chính của Linux trong cấu hình mặc định bằng cách khai thác lỗ hổng leo thang đặc quyền cục bộ mới được tiết lộ trong Thư viện GNU C (glibc).
15:00 | 18/12/2023
Ngày 12/12, Kyivstar - nhà mạng lớn nhất Ukraine hứng chịu một cuộc tấn công mạng lớn, khiến hàng triệu người dùng mất kết nối di động và Internet. Đáng chú ý sự cố gây ảnh hưởng đến hệ thống cảnh báo không kích của nước này.
07:00 | 11/12/2023
Hoạt động từ cuối năm 2021, Ducktail là họ phần mềm độc hại nhằm mục đích đánh cắp tài khoản doanh nghiệp trên Facebook. Theo báo cáo của 2 hãng bảo mật WithSecure (Phần Lan) và GridinSoft (Ukraine) cho biết các cuộc tấn công Ducktail được thực hiện bởi một nhóm tin tặc đến từ Việt Nam.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024