Bản đồ các máy tính bị lây nhiễm
Trong quá trình phân tích về cơ sở hạ tầng của MyloBot, các nhà nghiên cứu cho biết các kết nối đến với dịch vụ proxy có tên “BHProxies”, cho thấy rằng các máy bị xâm nhập sẽ được sử dụng bởi dịch vụ proxy này.
Được biết, mạng Botnet MyloBot xuất hiện vào năm 2017 và lần đầu tiên được công ty bảo mật Deep Instinct (Israel) báo cáo vào năm 2018. Báo cáo này chỉ ra các kỹ thuật chống phân tích và khả năng hoạt động như một trình tải xuống của mạng Botnet này.
“Điều khiến Mylobot trở nên nguy hiểm là khả năng tải xuống và thực thi bất kỳ loại payload nào sau khi lây nhiễm vào máy chủ. Điều này có nghĩa là lúc nào Mylobot cũng có thể tải xuống mã độc bất kỳ mà các tin tặc mong muốn", các nhà nghiên cứu tại Bộ phận tình báo về mối đe dọa Black Lotus Labs của hãng công nghệ Lumen (Mỹ) cho biết.
Vào năm 2022, một phiên bản mới của Mylobot đã được phát hiện triển khai các payload độc hại để gửi email tống tiền các nạn nhân trong một chiến dịch tấn công mạng nhằm kiếm về số Bitcoin trị giá hơn 2.700 USD.
Các giai đoạn thực thi của MyloBot
MyloBot sử dụng trình tự nhiều giai đoạn để giải nén và khởi chạy mã độc bot. Đáng chú ý, nó không hoạt động trong 14 ngày trước khi liên hệ với máy chủ C2 để tránh bị phát hiện. Chức năng chính của Botnet là thiết lập kết nối với tên miền C2 được mã hóa cứng nhúng trong mã độc và chờ nhận lệnh để thực thi. BitSight cho biết: “Khi Mylobot nhận được lệnh từ C2, nó sẽ biến máy tính bị nhiễm thành một proxy. Máy bị nhiễm sẽ có thể xử lý nhiều kết nối và chuyển tiếp lưu lượng được gửi qua máy chủ C2 để chỉ huy và kiểm soát".
Các phiên bản tiếp theo của Botnet này được trang bị thêm tính năng của một trình tải xuống. Trình tải xuống có nhiệm vụ liên hệ với máy chủ C2, máy chủ này sẽ phản hồi bằng một thông báo được mã hóa có chứa một liên kết để truy xuất payload MyloBot.
Một trong những địa chỉ IP trong cơ sở hạ tầng C2 của MyloBot đã được tìm thấy và có kết nối với một tên miền có tên “clients.bhproxies[.]com” thông qua một truy vấn DNS ngược (Reverse DNS). Điều này chứng tỏ MyloBot có thể là một phần của một chiến dịch lớn hơn.
BitSight cho biết họ đã bắt đầu đánh sập MyloBot vào tháng 11/2018, tuy nhiên đến nay mạng botnet này vẫn đang tiếp tục phát triển theo thời gian.
Hồng Đạt
(The Hacker News)
10:00 | 03/03/2023
09:00 | 16/02/2023
08:00 | 10/02/2023
23:00 | 22/01/2023
Năm 2023, mã độc tống tiền - ransomware được dự báo tiếp tục nở rộ và chuyển dịch hẳn sang tấn công vào các máy chủ. Điều này được lý giải là do nguồn lợi tài chính mà nó có thể mang lại cho tin tặc.
09:00 | 10/01/2023
Theo tin từ Reuters, các ứng dụng di động của Quân đội Hoa Kỳ và Trung tâm Kiểm soát và Phòng ngừa Dịch bệnh (CDC) đang tích hợp phần mềm gửi dữ liệu khách truy cập tới một công ty của Nga có tên là Pushwoosh, công ty này tuyên bố có trụ sở tại Hoa Kỳ. Nhưng câu chuyện đó đã bỏ qua một chi tiết lịch sử quan trọng về Pushwoosh: Vào năm 2013, một trong những nhà phát triển của Công ty này đã thừa nhận là tác giả của Trojan Pincer, phần mềm độc hại được thiết kế để lén lút chặn và chuyển tiếp tin nhắn văn bản từ các thiết bị di động Android.
21:00 | 12/12/2022
Nhóm tin tặc UNC4191 (có liên quan đến Trung Quốc) bị phát hiện sử dụng mã độc tự sao chép trên các ổ USB để lây nhiễm các mục tiêu. Theo báo cáo từ Mandiant - thuộc sở hữu của Google thì kỹ thuật này cho phép tin tặc đánh cắp dữ liệu từ các hệ thống air-gapped.
16:00 | 23/11/2022
Một nhóm tin tặc có tên Fangxiao đã tạo ra một mạng lưới khổng lồ gồm hơn 42 nghìn tên miền website mạo danh các thương hiệu nổi tiếng để chuyển hướng người dùng đến các trang web, ứng dụng quảng cáo, trang web hẹn hò hoặc quà tặng miễn phí.
16:00 | 09/11/2022 | Tin tức sản phẩm
08:00 | 07/11/2022 | GP ATM
10:00 | 19/09/2022|An toàn thông tin
15:00 | 16/09/2022|Tin tức sản phẩm
Mới đây, Cisco đã phát hành bản vá cho lỗ hổng bảo mật nghiêm trọng tồn tại trong phần mềm IOS XR dành cho các bộ định tuyến doanh nghiệp ASR 9000, ASR 9902 và ASR 9903. Người dùng cần cập nhật bản vá để tránh bị tin tặc lợi dụng tấn công.
13:00 | 23/03/2023
