Phần mềm độc hại sunspot được sử dụng để đưa vào cửa hậu SolarWinds

14:00 | 21/01/2021 | HACKER / MALWARE

Khi cuộc điều tra về cuộc tấn công chuỗi cung ứng SolarWinds vẫn đang được tiếp tục, các nhà nghiên cứu an ninh mạng đã tiết lộ một phần mềm độc hại thứ ba được sử dụng để đưa cửa hậu vào nền tảng giám sát mạng Orion.

Phần mềm độc hại được phát hiện có tên gọi "Sunspot", nó bổ sung vào danh sách các phần mềm độc hại được tiết lộ trước đây như Sunburst và Teardrop.

Sudhakar Ramakrishna, Giám đốc điều hành mới của SolarWinds giải thích: "Đoạn mã rất phức tạp và mới lạ này được thiết kế để đưa mã độc Sunburst vào Nền tảng SolarWinds Orion mà không làm đội ngũ phát triển và xây dựng phần mềm của công ty phát hiện ra".

Trong khi các bằng chứng sơ bộ cho thấy rằng những kẻ đứng đằng sau chiến dịch gián điệp đã cố gắng xâm nhập vào cơ sở hạ tầng ký mã và xây dựng phần mềm của SolarWinds Orion Platform vào tháng 10/2019 để cung cấp cửa hậu Sunburst. Cùng với đó, những phát hiện mới nhất cho thấy mốc thời gian thiết lập vi phạm đầu tiên của mạng SolarWinds vào ngày 4/9/2019. Tất cả đều được thực hiện với mục đích triển khai Sunspot.

Phần mềm độc hại sunspot được sử dụng để đưa vào cửa hậu SolarWinds

Các nhà nghiên cứu của Crowdstrike cho biết: “Sunspot giám sát các tiến trình thực thi của những người tham gia biên soạn sản phẩm Orion và thay thế một trong các tệp nguồn để bao gồm mã cửa hậu Sunburst”. Crowdstrike đang theo dõi vụ xâm nhập này dưới biệt danh "StellarParticle".

Sau khi được cài đặt, phần mềm độc hại ("taskhostsvc.exe") tự cấp đặc quyền gỡ lỗi và thực hiện chiếm quyền điều khiển quy trình xây dựng Orion bằng cách giám sát các quy trình phần mềm đang chạy trên máy chủ và sau đó thay thế tệp mã nguồn trong thư mục bản dựng bằng tệp độc hại, để inject Sunburst trong khi Orion đang được xây dựng.

Các nhà nghiên cứu của Kaspersky cũng phát hiện mối liên hệ tiềm năng giữa Sunburst và Kazuar - một họ phần mềm độc hại có liên quan đến tổ chức gián điệp mạng Turla được cho là hoạt động dưới sự hậu thuẫn của Nga.

Tuy nhiên, Kaspersky đã hạn chế rút ra suy luận từ các điểm tương đồng, thay vào đó họ cho rằng các phần trùng lặp có thể đã được cố tình thêm vào để gây hiểu lầm. Trong khi những điểm tương đồng khác xa so với smoking-gun liên quan đến vụ tấn công vào Nga, các quan chức chính phủ Mỹ tuần trước đã chính thức xác nhận chiến dịch Solorigate đối với những mục tiêu có thể có nguồn gốc từ Nga.

Thanh Bùi ( Theo The Hacker News)

‹ › ×

Tin liên quan

Phần mềm độc hại đa nền tảng nhắm vào ví tiền điện tử

08:00 | 12/01/2021

Các nhà nghiên cứu an ninh mạng vừa tiết lộ một chiến dịch lừa đảo trên diện rộng nhắm vào người dùng tiền ảo được bắt đầu từ tháng 01/2020. Chiến dịch này phát tán các ứng dụng độc hại để từ đó cài đặt công cụ truy cập từ xa trên các hệ thống mục tiêu.

TikTok đề xuất liên minh với các mạng xã hội khác để chặn nội dung độc hại

16:00 | 05/10/2020

TikTok đã đề xuất thành lập một liên minh toàn cầu giữa các công ty truyền thông xã hội để xác định sớm và loại bỏ những nội dung độc hại.

Microsoft chia sẻ cách thức mà tin tặc SolarWinds đã thực hiện để tránh bị phát hiện

07:00 | 04/02/2021

Microsoft đã chia sẻ chi tiết về các phương pháp tinh vi mà các tin tặc đã sử dụng để che giấu hoạt động của mình bên trong mạng của các công ty sử dụng nền tảng SolarWinds Orion hay gọi tắt là tin tặc SolarWinds để tránh phát hiện.

Phần mềm độc hại nguy hiểm Emotet đã bị phá vỡ

11:00 | 08/02/2021

Các cơ quan thực thi pháp luật từ 8 quốc gia đã phá vỡ cơ sở hạ tầng của Emote - một phần mềm độc hại trên Windows phát tán qua email. Phần mềm này đứng sau một số chiến dịch thư rác do botnet điều khiển và các cuộc tấn công ransomware trong thập kỷ qua.

Vụ SolarWinds - tin tặc đánh cắp một số mã nguồn của Microsoft

08:00 | 22/02/2021

Sau khi kết thúc cuộc điều tra về vụ tấn công SolarWinds, Microsoft phát hiện một số mã nguồn đã bị đánh cắp, nhưng không có bằng chứng nào cho thấy tin tặc lợi dụng hệ thống nội bộ của hãng để tấn công các công ty khác hoặc giành quyền truy cập vào các dịch vụ hoặc dữ liệu khách hàng.

Phần mềm độc hại Joker tấn công Google Play

16:00 | 17/09/2020

Bằng cách ẩn mã độc bên trong các ứng dụng của hệ điều hành Android, phần mềm độc hại Joker đã vượt qua các biện pháp bảo vệ của Google để tấn công cửa hàng Google Play.

Giải mã tấn công SolarWinds

10:00 | 24/02/2021

Nhóm tin tặc Cozy Bear (Nga) đã nắm quyền truy cập vào các hệ thống của chính phủ Mỹ và nhiều tổ chức lớn khác thông qua bản cập nhật phần mềm Orion bị sửa đổi của SolarWinds. Điều này làm dấy lên thực tế rằng hầu hết các tổ chức đều không có kinh nghiệm trong việc phòng tránh, xử lý tấn công chuỗi cung ứng phần mềm.

SolarWinds phát hành bản vá lỗ hổng bảo mật trong phần mềm Serv-U

09:00 | 26/07/2021

Ngay sau khi Microsoft có thông báo phát hiện lỗ hổng thực thi mã từ xa (RCE) CVE-2021-35211 trong phần mềm Serv-U Managed File Transfer Server và Serv-U Secured FTP, SolarWinds đã cung cấp một bản vá cập nhật vào ngày 13/7/2021.

Hơn 100 công ty bị ảnh hưởng bởi tấn công SolarWinds

08:00 | 23/02/2021

Chính phủ Hoa Kỳ vừa công bố số liệu mới nhất về số lượng công ty và cơ quan liên bang bị ảnh hưởng bởi cuộc tấn công SolarWinds gần đây.

Tin cùng chuyên mục

Bóc tách chiến dịch phân phối phần mềm độc hại DarkGate

09:00 | 27/10/2023

Theo các phát hiện mới nhất từ Công ty an ninh mạng Trend Micro, trong khoảng thời gian từ tháng 7 đến tháng 9/2023, các cuộc tấn công bằng phần mềm độc hại DarkGate đã lạm dụng các tài khoản nhắn tin Skype và Teams bị xâm nhập để phân phối script loader VBA cho các tổ chức được nhắm mục tiêu, sau đó tải xuống và thực thi payload giai đoạn hai bao gồm script AutoIT chứa mã phần mềm độc hại DarkGate.

Nguy cơ máy chủ mail Exim bị tấn công từ xa

08:00 | 13/10/2023

Các lỗ hổng bảo mật gần đây được phát hiện trong máy chủ Exim có thể cho phép kẻ tấn công xâm nhập vào hệ thống và giành quyền truy cập dữ liệu nhạy cảm, bao gồm cả email. Đây không phải là lần đầu tiên lỗ hổng bảo mật được phát hiện đối với các máy chủ email. Vào tháng 5/2021, tổ chức cung cấp giải pháp bảo mật Qualys đã tiết lộ một bộ 21 lỗ hổng được gọi chung là “21Nails” cho phép những kẻ tấn công không được xác thực có thể thực thi mã từ xa và giành quyền kiểm soát hệ thống trên hàng triệu máy chủ email.

Ứng dụng chỉnh sửa ảnh anime tiềm ẩn nguy cơ lộ lọt dữ liệu cá nhân

14:00 | 21/09/2023

Trong gần 1 tháng trở lại đây, trào lưu chỉnh sửa ảnh anime - tạo ảnh như nhân vật phim hoạt hình qua các app như Loopsie đang được nhiều người dùng các mạng xã hội tại Việt Nam đua nhau sử dụng. Tuy nhiên, các chuyên gia bảo mật đã chỉ ra những nguy cơ tiềm ẩn khi người dùng sử dụng các ứng dụng này.

Hơn 100.000 tài khoản ChatGPT bị đánh cắp được rao bán trên các thị trường dark web

16:00 | 23/06/2023

Ngày 20/6, công ty an ninh mạng Group-IB (Singapore) cho biết, thông qua Nền tảng Threat Intelligence đã xác định 101.134 thông tin đăng nhập tài khoản ChatGPT bị xâm phạm giao dịch trên các thị trường dark web bất hợp pháp từ tháng 6/2022 đến tháng 5/2023. Trong đó, khu vực châu Á - Thái Bình Dương có số lượng thông tin xác thực ChatGPT bị rao bán cao nhất, riêng Ấn Độ chiếm 12.632 thông tin đăng nhập bị đánh cắp.