Phát hiện chiến dịch tấn công sử dụng botnet khai thác các lỗ hổng trên Linux

09:00 | 26/01/2021 | LỖ HỔNG ATTT

Mới đây, các chuyên gia đã phát hiện một chiến dịch tấn công sử dụng mã độc hại, khai thác các lỗ hổng tồn tại trong thiết bị lưu trữ mạng trên hệ điều hành Linux, với mục tiêu thực hiện tấn công từ chối dịch vụ và khai thác tiền điện tử Monero.

Phát hiện chiến dịch tấn công sử dụng botnet khai thác các lỗ hổng trên Linux

Chiến dịch sử dụng phần mềm độc hại mới có tên "FreakOut", bằng cách khai thác các lỗ hổng nghiêm trọng đã được vá (trong dự án Laminas và Liferay Portal) và lỗ hổng chưa được khắc phục trong TerraMaster.

Các nhà nghiên cứu cho biết phần mềm độc hại này là sản phẩm của một tội phạm mạng lâu năm. Các lỗ hổng CVE-2020-28188, CVE-2021-3007 và CVE-2020-7961 được khai thác để thực thi các lệnh độc hại trong máy chủ mục tiêu.

Quy trình tấn công sử dụng mã độc FreakOut

Đầu tiên, tội phạm mạng lừa người dùng tải xuống và thực thi một tập lệnh có tên "out.py" trên Python 2. Điều này có nghĩa, tội phạm mạng đang nhắm đến các thiết bị của người dùng sử dụng các phiên bản Python không còn được hỗ trợ.

Các nhà nghiên cứu cho biết cuộc tấn công đầu tiên đã được phát hiện vào ngày 8/1/2021, "Phần mềm độc hại được tải xuống từ trang web hxxp://gxbrowser.net, là một tập lệnh Python được làm rối mã nguồn có chứa mã độc đa hình, được thay đổi mỗi khi tập lệnh được tải xuống".

Ngày 11/1/2021, Công ty an ninh mạng F5 Labs (Mỹ) đã cảnh báo về một loạt các cuộc tấn công nhắm vào các thiết bị lưu trữ kết nối mạng (Network attached storage - NAS) NAS từ TerraMaster (tồn tại lỗ hổng CVE-2020-28188) và Liferay CMS (tồn tại lỗ hổng CVE-2020-7961), để lây lan bot N3Cr0m0rPh IRC và khai thác tiền điện tử Monero.

Trong trường hợp của FreakOut, các thiết bị bị xâm nhập được cấu hình để giao tiếp với máy chủ điều khiển và ra lệnh được mã hóa cứng, từ đó chúng nhận lệnh để thực thi.

Phần mềm độc hại này cũng đi kèm với các khả năng mở rộng, cho phép thực hiện nhiều tác vụ khác nhau bao gồm: quét cổng, thu thập thông tin, tạo và gửi các gói dữ liệu, dò tìm mạng, thực hiện tấn công DDoS....

Hơn nữa, các máy chủ cũng có thể trở thành một phần của mạng botnet để khai thác tiền điện tử, phát tán qua mạng và phát động các cuộc tấn công vào các mục tiêu khác.

Các nhà nghiên cứu cảnh báo, "hàng trăm thiết bị đã bị nhiễm trong vài ngày sau khi cuộc tấn công được phát động. Dự báo, mã độc FreakOut sẽ gia tăng mức độ lây nhiễm trong tương lai gần".

Nhà phát triển TerraMaster dự kiến sẽ vá lỗ hổng trong phiên bản 4.2.07. Trong thời gian chờ đợi, người dùng cần nâng cấp lên Liferay Portal 7.2 CE GA2 (7.2.1) trở lên và Laminas-http 2.14.2 để giảm thiểu rủi ro.

Adi Ikan, người đứng đầu bộ phận Nghiên cứu an ninh mạng tại Check Point cho biết, “Những gì chúng tôi đã xác định được là một chiến dịch tấn công mạng đang diễn ra và trực tiếp nhắm vào những người dùng Linux cụ thể. Tội phạm mạng đứng sau chiến dịch này rất giàu kinh nghiệm và nguy hiểm. Thực tế là một số lỗ hổng bị khai thác vừa được công bố đã cung cấp cho tất cả chúng ta một ví dụ điển hình để làm nổi bật tầm quan trọng của việc bảo mật mạng bằng cập nhật bản vá nhanh nhất có thể".

Thanh Bùi ( Theo The Hacker News)

‹ › ×

Tin liên quan

NVIDIA vá nhiều lỗ hổng nghiêm trọng ảnh hưởng đến các thiết bị Windows, Linux

07:00 | 18/01/2021

NVIDIA vừa phát hành bản vá giải quyết 6 lỗ hổng trong trình điều khiển GPU trên hệ điều hành Windows và Linux và 10 lỗ hổng khác ảnh hưởng đến phần mềm quản lý NVIDIA Virtual GPU (vGPU).

Mã độc sử dụng kỹ thuật DLL Side-Loading

09:00 | 13/06/2022

DLL Side-Loading là một trong những kỹ thuật của DLL Hijacking được các tin tặc lợi dụng bằng cách thêm vào tính năng cho mã độc nhằm mục đích vượt qua chương trình diệt virus và các công cụ bảo mật của Windows. Bằng cách chiếm đoạt thứ tự tìm kiếm DLL của một ứng dụng hợp pháp, DLL chứa mã độc sẽ được gọi ngay khi ứng dụng đó được mở. Khi đó, mã độc sẽ được kích hoạt một cách hợp pháp trên máy tính nạn nhân. Tin tặc có thể lợi dụng phương pháp này để tiến hành tấn công vào các cơ quan, tổ chức để đánh cắp thông tin, dữ liệu quan trọng. Bài báo đưa ra phương pháp tiêm mã độc vào DLL của một ứng dụng hợp lệ, có chữ ký số của Microsoft.

Microsoft triệt phá thành công mạng lưới botnet Necurs

09:00 | 25/03/2020

Trung tuần tháng 3, Microsoft thông báo, hãng đã phá vỡ thành công mạng lưới botnet của mã độc Necurs. Đây là phần mềm độc hại lây nhiễm hơn 9 triệu máy tính trên toàn cầu.

Lỗ hổng mới trong Sudo cho phép người dùng cục bộ chiếm đặc quyền root

13:00 | 05/02/2021

Một lỗ hổng vừa được vá trong Sudo cho phép bất kỳ người dùng cục bộ nào cũng có thể chiếm các đặc quyền root trên hệ điều hành như Unix mà không yêu cầu xác thực.

Chiến dịch mới nhắm mục tiêu các nhà nghiên cứu bảo mật

14:00 | 05/02/2021

Trong nhiều tháng qua, nhóm Phân tích mối đe dọa của Google (Threat Analysis Group - TAG) đã xác định một chiến dịch đang diễn ra nhằm vào các nhà nghiên cứu bảo mật tại các công ty và tổ chức khác nhau. Các tác nhân đứng sau chiến dịch này được xác định là một tổ chức được chính phủ hậu thuẫn, có trụ sở tại Triều Tiên. Chúng đã sử dụng một số công cụ cực kỳ tiên tiến để nhắm mục tiêu vào các nhà nghiên cứu.

7 công cụ thực thi các cuộc tấn công các máy chủ Linux

09:00 | 16/04/2021

Hệ điều hành Linux là một nhóm thuộc họ hệ điều hành giống Unix (Unix-like). Đã từ lâu, có nhiều ý kiến cho rằng Linux là hệ điều hành mặc định an toàn và không dễ bị nhiễm mã độc. Linux đã không phải đối mặt với sự tràn lan của virus, sâu và Trojan giống như những hệ thống chạy Windows nhưng hệ thống Linux chịu tấn công từ các backdoor PHP, rootkit và mã khai thác. Nhóm Nghiên cứu và Phân tích toàn cầu (GReAT) tại hãng Kaspersky đã nghiên cứu về hoạt động của mối đe dọa dai dẳng nâng cao (APT) dựa trên các thu thập dữ liệu thông minh về các mối đe dọa trong không gian mạng. Dưới đây sẽ giới thiệu 7 công cụ thực thi các cuộc tấn công máy chủ Linux.

Phát hiện mã độc IoT botnet dựa trên đồ thị PSI với mô hình Skip-gram

15:00 | 18/02/2020

CSKH-01.2018 - (Tóm tắt) - Trong bài báo này, nhóm tác giả đề xuất một phương pháp phát hiện mã độc IoT botnet dựa trên đồ thị PSI (Printable String Information) sử dụng mạng nơ-ron tích chập (Convolutional Neural Network - CNN). Thông qua việc phân tích đặc tính của Botnet trên các thiết bị IoT, phương pháp đề xuất xây dựng đồ thị để thể hiện các mối liên kết giữa các PSI, làm đầu vào cho mô hình mạng nơ-ron CNN phân lớp. Kết quả thực nghiệm trên bộ dữ liệu 10033 tập tin ELF gồm 4002 mẫu mã độc IoT botnet và 6031 tập tin lành tính cho thấy phương pháp đề xuất đạt độ chính xác (accuracy) và độ đo F1 lên tới 98,1%.

Tin cùng chuyên mục

Tin tặc có thể sử dụng AI tạo sinh để thao túng các cuộc trò chuyện trực tiếp

09:00 | 09/04/2024

Các nhà nghiên cứu bảo mật của IBM đã chứng minh rằng tin tặc có thể sử dụng trí tuệ nhân tạo (AI) tạo sinh và công nghệ deepfake âm thanh để chiếm quyền điều khiển và thao túng các cuộc hội thoại trực tiếp.

Plugin GPT của bên thứ ba có thể khiến người dùng bị chiếm đoạt tài khoản

08:00 | 04/04/2024

Các nhà nghiên cứu bảo mật phát hiện ra plugin của bên thứ ba hiện có dành cho ChatGPT có thể hoạt động như một bề mặt tấn công mới để truy cập trái phép vào dữ liệu nhạy cảm.

Phần mềm độc hại mới GTPDOOR đánh cắp thông tin thuê bao và dữ liệu cuộc gọi

08:00 | 21/03/2024

Phần mềm độc hại mới trên Linux có tên là GTPDOOR được thiết kế để nhắm mục tiêu vào các mạng viễn thông dựa trên khai thác giao thức đường hầm trên GPRS (GPRS Tunneling Protocol-GTP) để thực thi câu lệnh và điều khiển (C2).

Tổng quan về mã độc Pegasus

07:00 | 15/01/2024

Pegasus được đánh giá là một trong những phần mềm gián điệp mạnh mẽ nhất hiện nay, chúng có các chức năng đánh cắp dữ liệu toàn diện hơn rất nhiều so với các phần mềm gián điệp khác, với khả năng thu thập thông tin mọi thứ từ dữ liệu có giá trị cao như mật khẩu, danh bạ và các dữ liệu từ các ứng dụng khác. Trong bài báo này, tác giả sẽ giới thiệu tổng quan về mã độc Pegasus và biến thể Chrysaor cùng các phương thức tấn công và cách phòng chống mã độc nguy hiểm này.