Công ty bảo mật và an ninh mạng Check Point (Israel) cho biết bộ cấy có một số thành phần độc hại, bao gồm một cửa hậu tùy chỉnh có tên “Horse Shell” cho phép tin tặc duy trì quyền truy cập liên tục, xây dựng cơ sở hạ tầng ẩn danh và cho phép di chuyển ngang vào các mạng bị xâm nhập. Do thiết kế không liên quan đến phần sụn, các thành phần của bộ cấy ghép có thể được tích hợp vào nhiều phần sụn khác nhau bởi các nhà cung cấp khác nhau.
Phương pháp chính xác được sử dụng để triển khai chương trình giả mạo trên các bộ định tuyến bị nhiễm hiện chưa được biết, cũng như cách sử dụng và sự tham gia của nó trong các cuộc tấn công thực tế. Các nhà nghiên cứu nghi ngờ rằng quyền truy cập ban đầu có thể có được bằng cách khai thác các lỗi bảo mật đã biết hoặc các thiết bị dò quét mật khẩu mặc định, dễ đoán.
Theo đó, bộ cấy Horse Shell dựa trên C++ cung cấp cho kẻ tấn công khả năng thực thi các lệnh Shell tùy ý, tải lên và tải xuống các tệp đến và từ bộ định tuyến cũng như chuyển tiếp liên lạc giữa hai máy khách khác nhau. Phần sụn đã thay đổi cũng có khả năng flash một hình ảnh khác qua giao diện web của bộ định tuyến mà không bị phát hiện.
Cửa hậu của bộ định tuyến được cho là nhắm mục tiêu vào các thiết bị trên mạng dân dụng và mạng gia đình. Việc chuyển tiếp liên lạc giữa các bộ định tuyến bị nhiễm bằng cách sử dụng đường hầm SOCKS với mục đích là tạo ra một lớp ẩn danh và che giấu máy chủ cuối cùng, vì mỗi nút trong chuỗi chỉ chứa thông tin về các nút trước và sau nó. Nói cách khác, các phương pháp che giấu nguồn gốc và đích đến của lưu lượng truy cập theo cách tương tự như TOR, khiến việc phát hiện phạm vi tấn công và phá hủy nó trở nên khó khăn hơn rất nhiều.
Nếu một nút trong chuỗi bị phát hiện hoặc gỡ xuống, tin tặc vẫn có thể duy trì quyền truy cập bằng cách định tuyến lưu lượng truy cập qua một nút khác trong chuỗi. Trước đó, vào năm 2021, Cơ quan An ninh mạng Quốc gia của Pháp (ANSSI) đã trình bày chi tiết về một nhóm xâm nhập do APT31 (còn gọi là Judgement Panda hoặc Violet Typhoon ) dàn dựng, sử dụng một phần mềm độc hại nâng cao có tên là Pakdoor để cho phép các bộ định tuyến bị nhiễm giao tiếp với các bộ định tuyến khác. Các nhà nghiên cứu cho biết: “Phát hiện này là một ví dụ về xu hướng lâu dài của các tác nhân đe dọa từ Trung Quốc nhằm khai thác các thiết bị mạng kết nối Internet và sửa đổi phần mềm hoặc chương trình cơ sở của chúng”.
Trường An
thehackernews.com
17:00 | 11/08/2023
07:00 | 12/06/2023
15:00 | 20/09/2023
14:00 | 10/05/2023
09:00 | 06/03/2024
14:00 | 05/06/2023
09:00 | 06/06/2023
10:00 | 07/04/2023
07:00 | 20/04/2023
14:00 | 16/05/2023
08:00 | 26/08/2024
Trong vòng 6 tháng đầu năm 2024, các nạn nhân của mã độc tống tiền (ransomware) trên toàn cầu đã phải chi trả một con số khổng lồ lên tới 459,8 triệu USD cho tội phạm mạng, dự báo một kỷ lục đáng sợ mới về thiệt hại do ransomware gây ra trong năm nay. Bất chấp các nỗ lực của cơ quan chức năng, các băng nhóm tội phạm vẫn tiếp tục lộng hành, nhắm vào những mục tiêu lớn hơn, gây ra những cuộc tấn công quy mô với mức tiền chuộc ngày càng tăng chóng mặt.
14:00 | 30/07/2024
Một nhóm tin tặc có liên quan đến Trung Quốc có tên là APT17 đã được phát hiện nhắm mục tiêu vào các công ty và tổ chức của Chính phủ Ý bằng cách sử dụng một biến thể của phần mềm độc hại đã biết có tên là 9002 RAT.
10:00 | 18/07/2024
Theo báo cáo được các chuyên gia của hãng nghiên cứu bảo mật TRM Labs (Mỹ) cho biết, số tiền mã hóa bị đánh cắp trong các vụ tấn công mạng trên toàn cầu đã tăng hơn gấp đôi trong nửa đầu năm 2024 so với cùng kỳ năm ngoái.
14:00 | 31/05/2024
Các tác nhân đe dọa đang lạm dụng các plugin đoạn mã ít được biết đến hơn cho WordPress để chèn mã PHP độc hại vào các trang web có khả năng thu thập dữ liệu thẻ tín dụng.
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đưa ra cảnh báo về một lỗ hổng bảo mật nghiêm trọng trong Ivanti Virtual Traffic Manager (vTM) đang bị khai thác tích cực bởi các hacker.
14:00 | 02/10/2024