Nhóm ứng phó sự cố của công ty bảo mật Security Joe (Israel) cho biết trong quá trình điều tra kỹ thuật số, họ đã tìm thấy phần mềm độc hại Wiper mới mà họ theo dõi với tên gọi BiBi-Linux Wiper.
Security Joe cho biết trong một báo cáo mới được công bố vào ngày 30/10: “Phần mềm độc hại này là một tệp thực thi x64 ELF và thiếu các biện pháp che giấu hoặc bảo vệ. Nó cho phép kẻ tấn công chỉ định các thư mục đích và có khả năng phá hủy toàn bộ hệ điều hành nếu chạy với quyền root”.
Các nhà nghiên cứu cũng cho biết BiBi-Linux Wiper cũng tận dụng đồng thời nhiều luồng và hàng đợi để làm hỏng các tệp, nâng cao tốc độ và phạm vi tiếp cận của nó. Các hành động của nó bao gồm: ghi đè các tệp, đổi tên tệp bằng một chuỗi ngẫu nhiên có chứa “BiBi” và loại từ một số tệp nhất định để không phá hủy.
Mặc dù chuỗi BiBi (trong tên tệp) có thể xuất hiện ngẫu nhiên nhưng nó có ý nghĩa quan trọng khi kết hợp với các chủ đề như chính trị ở khu vực Trung Đông, vì đây là biệt danh phổ biến được sử dụng cho Thủ tướng Israel, Benjamin Netanyahu.
Phần mềm độc hại được viết bằng C/C++ và có kích thước 1,2 MB, cho phép kẻ tấn công chỉ định các thư mục mục tiêu thông qua các tham số dòng lệnh, theo mặc định chọn thư mục gốc nếu không có đường dẫn nào được cung cấp, tuy nhiên thực hiện hành động ở cấp độ này yêu cầu quyền root.
Một khía cạnh đáng chú ý khác của BiBi-Linux Wiper là việc sử dụng lệnh Nohup trong quá trình thực thi để chạy nó không bị cản trở ở chế độ nền. Một số loại tệp bị bỏ qua khỏi bị ghi đè là những tệp có phần mở rộng .out hoặc .so.
Cuộc tấn công mạng này diễn ra khi công ty an ninh mạng Sekoia (Pháp) tiết lộ rằng nhóm tin tặc bị nghi ngờ có liên quan đến Hamas được gọi là Arid Viper (còn gọi là APT-C-23, Desert Falcon, Gaza Cyber Gang và Molerats) có thể được tổ chức thành hai nhóm nhỏ, với mỗi nhóm tập trung vào các hoạt động gián điệp mạng chống lại cả Israel và Palestine.
Theo các nhà nghiên cứu Tom Hegel và Aleksandar Milenkoski của hãng bảo mật SentinelOne (Mỹ) thì Arid Viper là nhóm tin tặc thực hiện các hoạt động gián điệp mạng và đánh cắp thông tin hoạt động ít nhất kể từ năm 2017, chủ yếu nhắm vào các mục tiêu ở Trung Đông. Chúng thường tấn công vào các cá nhân nổi bật của người Palestine và Israel đã được lựa chọn trước, thường từ các lĩnh vực quan trọng như các tổ chức quốc phòng và chính phủ, cơ quan thực thi pháp luật cũng như các đảng phái hoặc phong trào chính trị.
Arid Viper sử dụng nhiều loại phần mềm độc hại trong hoạt động của mình, bao gồm các ứng dụng stager, backdoor và phần mềm gián điệp di động dành cho nền tảng iOS và Android. Phần mềm độc hại của Arid Viper được tích cực duy trì và nâng cấp để đáp ứng yêu cầu hoạt động của nhóm. Nhóm tin tặc này đã liên tục thể hiện sự đổi mới bằng cách áp dụng các phương pháp phát triển phần mềm độc hại mới trên nhiều ngôn ngữ lập trình và tập lệnh, chẳng hạn như Delphi, Go, Python và C++.
Các chuỗi tấn công do nhóm này dàn dựng bao gồm các cuộc tấn công kỹ nghệ xã hội và lừa đảo là các biện pháp ban đầu để triển khai nhiều loại phần mềm độc hại tùy chỉnh nhằm theo dõi nạn nhân. Các phần mềm độc hại bao gồm: Micropsia, PyMicropsia, Arid Gopher, BarbWire và backdoor mới có tên là Rusty Viper được viết bằng Rust.
ESET cho biết: “Nhìn chung, kho vũ khí của Arid Viper cung cấp các khả năng gián điệp đa dạng như ghi âm bằng micrô, phát hiện ổ đĩa flash được lắp vào và trích xuất các tệp từ chúng cũng như đánh cắp thông tin xác thực trình duyệt đã lưu”.
Lê Thị Bích Hằng
15:00 | 13/10/2023
09:00 | 27/10/2023
21:00 | 16/11/2023
09:00 | 09/01/2024
13:00 | 10/03/2022
16:00 | 01/12/2023
10:00 | 21/02/2024
Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.
13:00 | 07/02/2024
Vừa qua, Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) phát cảnh báo về việc hơn 2.000 máy tính ở nước này đã bị lây nhiễm một loại phần mềm độc hại có tên là DirtyMoe.
10:00 | 31/01/2024
Các nhà nghiên cứu tại công ty an ninh mạng CloudSEK (Ấn Độ) cho biết: tin tặc đang phân phối phần mềm đánh cắp thông tin bằng cách lợi dụng điểm cuối Google OAuth có tên MultiLogin để chiếm quyền điều khiển phiên của người dùng và cho phép truy cập liên tục vào các dịch vụ của Google ngay cả sau khi đặt lại mật khẩu.
13:00 | 29/12/2023
Các ứng dụng Google Play thường được kiểm soát chặt chẽ và được kiểm duyệt trước khi phân phối, tuy nhiên, tin tặc vẫn có thể sử dụng nhiều kỹ thuật khác nhau để vượt qua các kiểm tra. Nhiều ứng dụng độc hại hiện nay trên Google Play được phát hiện có nguồn cung và giao dịch trên web đen. Bài báo sẽ giới thiệu đến độc giả tổng quan về các loại dịch vụ được rao bán trên web đen để tải lên các phần mềm độc hại trên Google Play dựa theo một báo cáo của Kaspersky.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024