Các nhà nghiên cứu của AT&T Alien Labs (Hoa Kỳ) cho biết, kẻ tấn công có thể chiếm quyền kiểm soát hệ thống và thực thi các chương trình khai thác tiền điện tử lên hệ thống một cách trái phép. Đồng thời, tình trạng gia tăng các phần mềm độc hại Linux đã được tìm thấy trong những tháng gần đây, bao gồm BPFDoor, Symbiote, Syslogk, OrBit và Lightning Framework.
Sau khi được triển khai trên một máy chủ của nạn nhân, chuỗi tấn công này sẽ tải xuống và thực thi công cụ "Mettle" của Metasploit để tối ưu hóa khả năng kiểm soát, khai thác các lỗ hổng nhằm nâng cao đặc quyền và tạo kết nối liên tục sẽ được tải thông qua crontab, cuối cùng khởi chạy tiến trình khai thác tiền điện tử.
Hiện vẫn chưa rõ phương pháp chính xác để xâm phạm vào máy nạn nhân, nhưng điều khiến mã độc Shikitega có khả năng lẩn trốn là tính năng tải xuống các payload ở giai đoạn tiếp theo từ máy chủ C2 và thực thi trực tiếp trong bộ nhớ. Nếu sử dụng các công cụ chống virus hay dựa vào các domain độc hại nhằm phát hiện Shikitega thì rất khó, bởi mã độc này sử dụng bộ mã hóa đa hình "Shikata ga nai" và sử dụng các dịch vụ cloud hợp pháp cho địa chỉ C2.
Sau khi thâm nhập vào máy nạn nhân, Shikitega nâng cấp đặc quyền bằng cách khai thác các lỗ hổng CVE-2021-4034 (hay còn gọi là PwnKit) và CVE-2021-3493, cho phép kẻ tấn công thực thi các đặc quyền nâng cao để tìm, download, thực thi các tập lệnh shell và thiết lập các backdoor với công cụ khai thác tiền điện tử có tên Monero.
Theo nhà nghiên cứu Ofer Caspi của AT&T, không chỉ Shikitega mà các phần mềm độc hại đang ngày càng phát triển một cách tinh vi, phân phối theo nhiều cách khác nhau và có khả năng lẩn tránh các giải pháp bảo mật.
Thanh Tùng
(Theo The Hacknews)
18:00 | 16/08/2022
15:00 | 14/04/2023
14:00 | 08/03/2022
09:00 | 09/03/2023
14:00 | 17/10/2022
15:00 | 25/03/2024
Ngày 15/3/2024, Quỹ Tiền tệ Quốc tế (IMF) cho biết họ đã bị tấn công mạng sau khi những kẻ tấn công xâm phạm 11 tài khoản email của tổ chức này vào đầu năm nay.
07:00 | 11/03/2024
Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.
09:00 | 01/02/2024
Một lỗ hổng nghiêm trọng trong giao diện dòng lệnh (CLI) của Jenkins cho phép kẻ tấn công lấy được các khóa mật mã có thể được sử dụng để thực thi mã tùy ý từ xa.
09:00 | 29/01/2024
Các nhà nghiên cứu đến từ hãng bảo mật Fortinet (Mỹ) phát hiện một biến thể mới của Trojan truy cập từ xa có tên Bandook đang được phân phối thông qua các cuộc tấn công lừa đảo nhằm mục đích xâm nhập vào các máy tính Windows. Bài viết sẽ phân tích hành vi của Bandook, cung cấp thông tin chi tiết về các thành phần được sửa đổi trong biến thể mới và giải mã một số ví dụ về cơ chế giao tiếp máy chủ ra lệnh và điều khiển (C2) của phần mềm độc hại này.
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024