Các nhà nghiên cứu của AT&T Alien Labs (Hoa Kỳ) cho biết, kẻ tấn công có thể chiếm quyền kiểm soát hệ thống và thực thi các chương trình khai thác tiền điện tử lên hệ thống một cách trái phép. Đồng thời, tình trạng gia tăng các phần mềm độc hại Linux đã được tìm thấy trong những tháng gần đây, bao gồm BPFDoor, Symbiote, Syslogk, OrBit và Lightning Framework.
Sau khi được triển khai trên một máy chủ của nạn nhân, chuỗi tấn công này sẽ tải xuống và thực thi công cụ "Mettle" của Metasploit để tối ưu hóa khả năng kiểm soát, khai thác các lỗ hổng nhằm nâng cao đặc quyền và tạo kết nối liên tục sẽ được tải thông qua crontab, cuối cùng khởi chạy tiến trình khai thác tiền điện tử.
Hiện vẫn chưa rõ phương pháp chính xác để xâm phạm vào máy nạn nhân, nhưng điều khiến mã độc Shikitega có khả năng lẩn trốn là tính năng tải xuống các payload ở giai đoạn tiếp theo từ máy chủ C2 và thực thi trực tiếp trong bộ nhớ. Nếu sử dụng các công cụ chống virus hay dựa vào các domain độc hại nhằm phát hiện Shikitega thì rất khó, bởi mã độc này sử dụng bộ mã hóa đa hình "Shikata ga nai" và sử dụng các dịch vụ cloud hợp pháp cho địa chỉ C2.
Sau khi thâm nhập vào máy nạn nhân, Shikitega nâng cấp đặc quyền bằng cách khai thác các lỗ hổng CVE-2021-4034 (hay còn gọi là PwnKit) và CVE-2021-3493, cho phép kẻ tấn công thực thi các đặc quyền nâng cao để tìm, download, thực thi các tập lệnh shell và thiết lập các backdoor với công cụ khai thác tiền điện tử có tên Monero.
Theo nhà nghiên cứu Ofer Caspi của AT&T, không chỉ Shikitega mà các phần mềm độc hại đang ngày càng phát triển một cách tinh vi, phân phối theo nhiều cách khác nhau và có khả năng lẩn tránh các giải pháp bảo mật.
Thanh Tùng
(Theo The Hacknews)
18:00 | 16/08/2022
15:00 | 14/04/2023
14:00 | 08/03/2022
09:00 | 09/03/2023
14:00 | 17/10/2022
07:00 | 10/09/2024
Trong bối cảnh chuyển đổi số và hội nhập quốc tế ngày càng sâu rộng, Việt Nam đang trở thành mục tiêu hấp dẫn cho các cuộc tấn công chuỗi cung ứng tinh vi. Các doanh nghiệp Việt từ các tổ chức nhỏ đến các tập đoàn lớn đều phải đối mặt với nguy cơ bị tấn công qua những lỗ hổng bảo mật trong hệ thống của đối tác hay nhà cung cấp.
14:00 | 07/08/2024
Các nhà nghiên cứu an ninh mạng đã phát hiện phần mềm độc hại nhắm mục tiêu vào Hệ thống kiểm soát công nghiệp (ICS) được sử dụng trong một cuộc tấn công mạng nhắm vào một công ty năng lượng Lvivteploenerg ở thành phố Lviv của Ukraine vào đầu tháng 1/2024.
13:00 | 25/07/2024
Các trình duyệt web phổ biến như Google Chrome, Microsoft Edge, Opera và Brave đều dựa trên nền tảng mã nguồn mở Chromium hiện đang bị cáo buộc âm thầm gửi thông tin người dùng cho Google.
17:00 | 19/07/2024
Phần mềm độc hại DarkGate khét tiếng đã hoạt động trở lại, lợi dụng sự kết hợp giữa các tệp Microsoft Excel và các chia sẻ Samba công khai để phân phối phần mềm độc hại. Chiến dịch tinh vi này được tiết lộ trong một báo cáo gần đây của Công ty an ninh mạng Palo Alto Networks (Mỹ) cho biết nhóm tin tặc đã nhắm mục tiêu vào nhiều người dùng ở khu vực Bắc Mỹ, Châu Âu và Châu Á.
Một lỗ hổng bảo mật nghiêm trọng trong Microchip Advanced Software Framework (ASF) mới được phát hiện gần đây, nếu khai thác thành công có thể dẫn đến việc thực thi mã từ xa.
09:00 | 08/10/2024