Sau khi được một tổ chức khách hàng thông báo về tình trạng ứng dụng và mạng trở nên trì trệ, công ty đã quyết định điều tra về vụ việc này và phát hiện một loại biến thể mã độc đào tiền ảo ẩn mình mới.
Công ty cho biết, hầu như mọi máy chủ và máy trạm của tổ chức khách hàng này đều bị nhiễm mã độc. Hầu hết đều là các biến thể thông thường của mã độc đào tiền ảo, như các công cụ kết xuất (dumping), trình PHP shell ẩn mình... một số mã độc đã xuất hiện trong nhiều năm. Trong số mã độc bị phát hiện có một loại mã độc mới và đáng chú ý nhất được đặt tên là Norman.
Norman là mã độc đào tiền ảo Monero hiệu suất cao, khác biệt so với nhiều mẫu mã độc khác ở phương thức ẩn mình tinh vi của nó. Khác với thường lệ, mã độc này được biên dịch với Nullsoft Scriptable Install System (NSIS), một hệ thống mã nguồn mở thường được sử dụng để tạo các trình cài đặt Windows.
Gói tin độc hại được thiết kế để thực thi mã độc đào tiền ảo và tự ẩn mình. Nó tránh bị phát hiện bằng cách kết thúc tính năng đào tiền ảo khi người dùng mở Trình quản lý tác vụ (Task Manager). Sau khi trình quản lý đóng lại, nó sẽ chèn lại mã độc và tiếp tục đào tiền ảo. Tính năng đào tiền ảo có tên là XMRig, được giấu trong phần mềm độc hại bằng công cụ nén UPX và được chèn vào Notepad hoặc Explorer tùy theo đường dẫn thực thi.
Mã độc đào tiền ảo này còn có thể liên kết với trình PHP shell trong hệ thống của nạn nhân, liên tục kết nối với máy chủ C&C. Cả mã độc Norman và trình PHP shell đều sử dụng dịch vụ cấp tên miền động DuckDNS để kết nối với máy chủ C&C.
Không mã độc nào trong số các mẫu đã phát hiện có khả năng di chuyển biên (lateral movement), mặc dù chúng đã lây lan trên các thiết bị và phân khúc mạng khác nhau. Cho dù tin tặc có thể đã lây nhiễm từng máy chủ riêng lẻ (có thể thông qua cùng một hướng tấn công được sử dụng trong lần lây nhiễm ban đầu), nhưng khả năng lây lan bằng cách sử dụng trình PHP shell để di chuyển biên và lây nhiễm sang các thiết bị khác trong mạng nạn nhân là không xảy ra.
Ngoài ra, công ty cũng tuyên bố là không có sự tương đồng về mã nguồn hoặc khả năng kết nối giữa mã độc đào tiền ảo và PHP shell. Theo suy đoán, tin tặc có thể là người nói tiếng Pháp do ngôn ngữ này đã xuất hiện trong mã nguồn.
Thông qua vụ việc lần này, công ty Varonis kêu gọi các tổ chức cần cảnh giác với mối nguy hại mã độc đào tiền ảo và thực hiện các biện pháp phòng chống như: luôn cập nhật hệ điều hành; giám sát lưu lượng mạng và proxy web; duy trì phần mềm antivirus trên các điểm cuối; cẩn trọng với DNS và theo dõi hoạt động của CPU; đồng thời có kế hoạch ứng phó sự cố đã được thử nghiệm và sẵn sàng triển khai.
Đỗ Đoàn Kết
Theo Infosecurity
14:00 | 27/09/2018
14:00 | 25/07/2018
07:00 | 09/07/2018
17:00 | 03/01/2020
09:00 | 09/04/2024
Các nhà nghiên cứu bảo mật của IBM đã chứng minh rằng tin tặc có thể sử dụng trí tuệ nhân tạo (AI) tạo sinh và công nghệ deepfake âm thanh để chiếm quyền điều khiển và thao túng các cuộc hội thoại trực tiếp.
10:00 | 21/02/2024
Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.
15:00 | 19/01/2024
Ngày 16/1, Google đã phát hành bản cập nhật để khắc phục bốn vấn đề bảo mật trong trình duyệt Chrome, trong đó có một lỗ hổng zero-day đã bị khai thác tích cực trong thực tế.
08:00 | 19/01/2024
Các nhà nghiên cứu bảo mật đến từ Công ty an ninh mạng Security Joes (Israel) đã mô tả một cách chi tiết về một biến thể mới của kỹ thuật chiếm quyền điều khiển thứ tự tìm kiếm thư viện liên kết động (DLL) mà các tin tặc có thể sử dụng để vượt qua các cơ chế bảo mật và thực thi mã độc trên các hệ thống chạy Windows 10 và Windows 11.
Lợi dụng lỗ hổng CVE-2024-27956 (có điểm 9,9) trong plugin WP Automatic của WordPress, tin tặc có thể tấn công hơn 30.000 trang web bằng cách tạo tài khoản người dùng với đặc quyền quản trị và cài đặt backdoor để truy cập lâu dài.
10:00 | 13/05/2024