Ba gói có hại được đặt tên là moduleseven-1.0, driftme-1.0 và catme-1.0. Tất cả chúng đều bắt nguồn từ cùng một nhà phát triển, được gọi là sastra (Hình 1), người đã tạo tài khoản PyPI ngay trước khi tải gói độc hại đầu tiên lên.
Hình 1. Tài khoản PyPI của nhà phát triển sastra
Giai đoạn tấn công
Tất cả các gói này đều thể hiện một phương pháp tấn công chung, vì vậy các nhà nghiên cứu FortiGuard đã sử dụng driftme-1.0 làm ví dụ để minh họa các giai đoạn của cuộc tấn công. Tương tự cách tiếp cận của gói Culturestreak trước đó, ba gói độc hại mới này che giấu payload của chúng, làm giảm khả năng phát hiện mã độc một cách hiệu quả bằng cách lưu trữ trên một địa chỉ URL từ xa. Sau đó, payload này sẽ được phân phối dần theo nhiều giai đoạn khác nhau để thực hiện các hoạt động độc hại. Hoạt động này được kích hoạt bởi câu lệnh “import” trong tệp __init__.py (Hình 2).
Hình 2. Câu lệnh import trong tệp driftme-1.0/driftme/__init__.py
Mô-đun processor.py chứa giai đoạn đầu tiên của payload độc hại (Hình 3).
Hình 3. Mô-đun processor.py
Bằng cách gọi hàm processing(), gói độc hại sẽ giải mã chuỗi sau “Y3VybCBodHRwczovL3BhcGljdWxvLm5ldC91bm1pLnNoIHwgYmFzaA==” vào lệnh shell để tìm nạp nội dung từ URL đã chỉ định bằng cách sử dụng Curl. Sau đó, chuyển nội dung này trực tiếp tới Bash shell, thực thi đoạn tập lệnh (script) như Hình 4.
Hình 4. Chuỗi base64 được giải mã
Các nhà nghiên cứu nhận thấy rằng tập lệnh unmi.sh chứa giai đoạn thứ hai của payload độc hại (Hình 5).
Hình 5. Tập lệnh unmi.sh
Bằng cách sử dụng tập lệnh unmi.sh, kẻ tấn công tải hai mục quan trọng xuống thiết bị của người dùng: Đầu tiên là “config.json”, một tệp cấu hình cần thiết để thực thi chương trình sẽ được cài đặt. Tệp này phác thảo cài đặt khai thác tiền điện tử. Cụ thể, nó xác định thuật toán khai thác, tức là RandomX, cài đặt tài nguyên thiết bị cho hoạt động khai thác và các nhóm khai thác (pool mining) được chỉ định cùng với tài khoản ví của người thụ hưởng. Đáng chú ý, kẻ tấn công đã chọn tắt tính năng “init-avx2” để đảm bảo khả năng tương thích với các thiết bị cũ hơn.
Hình 6. Cài đặt thuật toán khai thác và tài nguyên thiết bị
Hình 7. Cài đặt cho nhóm khai thác
Thành phần quan trọng thứ hai của payload là tệp thực thi CoinMiner. Tương tự như tệp cấu hình, tệp thực thi này cũng được lưu trữ tại địa chỉ “hxxps://gitlab.com/ajo9082734/Mine/-/raw/main/X”. Sau khi tệp thực thi được tải xuống từ URL từ xa và được đánh dấu là có thể thực thi, kẻ tấn công sử dụng lệnh “nohup” để thực thi nó trong nền và đảm bảo rằng tất cả các sửa đổi này đều được thêm vào tệp ~/.bashrc, nhằm kích hoạt lại hoạt động độc hại này bất cứ khi nào người dùng bắt đầu phiên Bash shell mới.
Tệp ELF CoinMiner được truy xuất trong quá trình này không phải là tệp mới đối với cộng đồng bảo mật. Ban đầu nó được tải lên VirusTotal vào năm 2021. Hiện tại, một số lượng đáng kể các công cụ bảo mật trên VirusTotal phát hiện ra payload là độc hại.
Hình 8. Kết quả quét của VirusTotal cho tệp thực thi được tải về
Sự tương đồng với gói Culturestreak
Như đã đề cập, ba gói PyPI độc hại trong bài viết này có thông tin IoC tương tự với chiến dịch tấn công tiền điện tử tận dụng gói Python lừa đảo có tên là Culturestreak, bao gồm:
- Tệp cấu hình để chạy tệp thực thi được lưu trữ trên tên miền “papiculo[.]net”.
- Các tệp thực thi khai thác tiền điện tử được lưu trữ trên GitLab công khai. Mặc dù tài khoản lưu trữ tệp độc hại trên blog của Aldri Terakhir (@aldriterakhir, ID người dùng: 12350673) đã bị chặn vào thời điểm ba mẫu PyPI mới được công bố, có thể chính tác nhân độc hại đó đã di chuyển tất cả nội dung từ tài khoản này sang tài khoản mới là Zela Najo (@zelanajo, ID người dùng: 15638540).
Hình 9. Tệp độc hại chính của gói Culturestreak có nhiều điểm đáng ngờ hơn so với gói driftme
Ba gói độc hại này khi so sánh với Culturestreak thể hiện các chiến lược nâng cao trong việc che giấu sự hiện diện và duy trì các chức năng độc hại của chúng. Một cải tiến quan trọng là việc giới thiệu một giai đoạn bổ sung, trong đó các lệnh quan trọng cho các hoạt động độc hại được lưu trữ trong tệp unmi.sh trên máy chủ từ xa. Chiến thuật này cải thiện khả năng tránh bị phát hiện bởi các giải pháp bảo mật bằng cách giảm thiểu mã trong gói PyPI. Nó cũng cho phép tiết lộ mã độc một cách có kiểm soát hơn bằng cách vô hiệu hóa máy chủ lưu trữ tập lệnh unmi.sh này.
Hơn nữa, các gói này chèn các lệnh độc hại vào tệp ~/.bashrc để đảm bảo tính tồn tại và kích hoạt lại của phần mềm độc hại trên thiết bị của người dùng, kéo dài thời gian hoạt động bí mật của nó một cách hiệu quả.
Kết luận
Một xu hướng đáng chú ý mà các nhà nghiên cứu quan sát được từ ba gói cụ thể này là các tác nhân độc hại liên tục tinh chỉnh các chiến lược của chúng nhằm che giấu và kéo dài quá trình khai thác. Một chiến thuật quan trọng được đề cập trong bài vết này bao gồm việc chia nhỏ toàn bộ quy trình làm việc độc hại thành các giai đoạn nhỏ hơn và phân phối chung theo từng gian đoạn.
Điều này như một lời nhắc nhở về tầm quan trọng đặc biệt của việc xem xét kỹ lưỡng mã nguồn và gói có nguồn gốc chưa được xác minh hoặc đáng ngờ, đồng thời luôn cập nhật thông tin đầy đủ về các mối đe dọa tiềm ẩn.
Trần Bắc
(Tổng hợp)
09:00 | 10/01/2024
08:00 | 10/02/2024
19:00 | 30/04/2024
14:00 | 19/02/2024
10:00 | 15/12/2022
10:00 | 15/09/2023
09:00 | 13/02/2024
Trong bối cảnh an ninh mạng ngày càng phát triển, các tổ chức liên tục phải đấu tranh với một loạt mối đe dọa trên môi trường mạng ngày càng phức tạp. Các phương pháp an toàn, an ninh mạng truyền thống thường sử dụng các biện pháp bảo vệ thống nhất trên các hệ thống đang tỏ ra kém hiệu quả trước các hình thái tấn công ngày càng đa dạng. Điều này đặt ra một bài toán cần có sự thay đổi mô hình bảo vệ theo hướng chiến lược, phù hợp và hiệu quả hơn thông qua việc Quản lý rủi ro bề mặt tấn công (Attack Surface Risk Management - ASRM).
08:00 | 10/02/2024
Hệ thống mật mã RSA là một trong các hệ mật mã khóa công khai đang được sử dụng rất phổ biến trong hệ thống mạng máy tính hiện nay. Việc lựa chọn tham số an toàn cho hệ mật RSA là vấn đề rất quan trọng trong cài đặt ứng dụng hệ mật này. Bài báo này trình bày chi tiết về khuyến nghị độ dài các tham số sử dụng cho hệ thống mật mã RSA như thừa số modulo, số mũ bí mật, số mũ công khai và các thừa số nguyên tố trong một số tiêu chuẩn mật mã của châu Âu, Đức và Mỹ.
09:00 | 23/05/2023
Cookie của trình duyệt đôi khi bị hỏng và không hoạt động như mong đợi, khiến các trang web tải không chính xác và thậm chí có thể bị lỗi. Khi điều này xảy ra, người dùng có thể khắc phục sự cố bằng cách xóa tất cả cookie ở mọi nơi, tất cả cùng một lúc hoặc có thể xóa cookie được liên kết với một trang web cụ thể. Đối với Microsoft Edge, việc xóa các cookie cụ thể yêu cầu phải đi sâu vào menu cài đặt (Settings).
09:00 | 09/03/2023
D2D (Device-to-Device) là phương tiện liên lạc trực tiếp giữa các thiết bị mà không qua nút trung gian, nó giúp mở rộng phạm vi phủ sóng di động và tăng cường tái sử dụng tần số vô tuyến trong mạng 5G [1]. Đồng thời, D2D còn là công nghệ lõi của liên lạc giữa thiết bị với vạn vật IoT. Tuy nhiên, truyền thông D2D trong mạng 5G là kiểu mạng thông tin di động có nhiều thách thức bao gồm ẩn danh, nghe lén, đánh cắp quyền riêng tư, tấn công tự do… Những thách thức này sẽ khó giảm thiểu hơn do tính chất hạn chế tài nguyên của các thiết bị IoT. Do đó, việc sử dụng mật mã hạng nhẹ vào bảo mật hệ thống D2D nhằm đáp ứng yêu cầu về năng lượng tiêu thụ, tài nguyên bộ nhớ, tốc độ thực thi bảo mật xác thực trong 5G IoT là đặc biệt quan trọng. Bài báo đi phân tích các bước trong mô hình bảo mật D2D cho mạng 5G IoT. Từ đó, đề xuất thuật toán có thể sử dụng để bảo mật liên lạc D2D cho các thiết bị 5G IoT.
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Theo báo cáo năm 2022 về những mối đe doạ mạng của SonicWall, trong năm 2021, thế giới có tổng cộng 623,3 triệu cuộc tấn công ransomware, tương đương với trung bình có 19 cuộc tấn công mỗi giây. Điều này cho thấy một nhu cầu cấp thiết là các tổ chức cần tăng cường khả năng an ninh mạng của mình. Như việc gần đây, các cuộc tấn công mã độc tống tiền (ransomware) liên tục xảy ra. Do đó, các tổ chức, doanh nghiệp cần quan tâm hơn đến phương án khôi phục sau khi bị tấn công.
19:00 | 30/04/2024