Mã độc mới SprySOCKS trên Linux
Phân tích của Công ty an ninh mạng Trend Micro về backdoor mới cho thấy nó bắt nguồn từ mã độc mã nguồn mở “Trochilus” trên Windows, với nhiều chức năng của nó được chuyển sang hoạt động trên các hệ thống Linux.
Tuy nhiên, mã độc này có vẻ như là sự kết hợp của nhiều phần mềm độc hại vì giao thức truyền thông của máy chủ điều khiển và kiểm soát (C2) SprySOCKS tương tự như “RedLeaves”, một backdoor trên Windows. Ngược lại, việc triển khai shell tương tác dường như bắt nguồn từ “Derusbi”, một phần mềm độc hại trên Linux và được nhiều nhóm tin tặc của Trung Quốc sử dụng trong các chiến dịch tấn công kể từ năm 2008.
Cuộc tấn công của Earth Lusca
Earth Lusca lần đầu tiên được Trend Micro ghi nhận vào tháng 01/2022, với các cuộc tấn công nhằm vào các thực thể khu vực công và tư nhân trên khắp châu Á, Úc, châu Âu và Bắc Mỹ.
Hoạt động từ năm 2021, nhóm tin tặc này đã dựa vào các cuộc tấn công Spear-phishing và Watering hole để thực hiện các hoạt động gián điệp mạng của mình. Một số hoạt động của nhóm này trùng lặp với một cụm mối đe dọa khác được công ty an ninh mạng Recorded Future theo dõi dưới tên “RedHotel”.
Những phát hiện mới nhất từ Trend Micro cho thấy, Earth Lusca tiếp tục là một nhóm tin tặc hoạt động tích cực, thậm chí còn mở rộng hoạt động sang các tổ chức mục tiêu trên toàn thế giới trong nửa đầu năm 2023, trong đó tập trung mục tiêu chính vào các cơ quan chính phủ có liên quan đến các vấn đề đối ngoại, công nghệ và viễn thông ở Đông Nam Á, Trung Á và vùng Balkan.
Báo cáo của Trend Micro, các nỗ lực khai thác đối với một số lỗi n-day thực thi mã từ xa không được xác thực kéo dài từ năm 2019 đến năm 2022, ảnh hưởng đến các điểm cuối tiếp xúc với Internet.
Chuỗi tấn công bắt đầu bằng việc khai thác các lỗ hổng bảo mật đã biết trong Fortinet (CVE-2022-39952 và CVE-2022-40684), GitLab (CVE-2021-22205), Microsoft Exchange Server (ProxyShell), Progress Telerik UI (CVE-2019-18935) và các máy chủ Zimbra (CVE-2019-9621 và CVE-2019-9670) để nhúng web shell và cung cấp Cobalt Strike.
Hình 1. Các lỗ hổng được Earth Lusca sử dụng để khai thác lần đầu
Những lỗ hổng này được khai thác để triển khai “đèn hiệu” (beacon) Cobalt Strike, cho phép truy cập từ xa vào mạng bị xâm phạm. Quyền truy cập này được sử dụng để phát tán ngang trên mạng trong khi lọc các tệp, đánh cắp thông tin xác thực tài khoản và triển khai các payload bổ sung, như “ShadowPad”.
Các nhà nghiên cứu bảo mật Joseph C. Chen và Jaromir Horejsi của Trend Micro cho biết: “Earth Lusca có ý định lọc các tài liệu và thông tin xác thực tài khoản email, cũng như triển khai thêm các backdoor nâng cao như ShadowPad và phiên bản Linux của Winnti để tiến hành các hoạt động gián điệp lâu dài chống lại các mục tiêu của nó”.
Những kẻ đe dọa cũng sử dụng đèn hiệu Cobalt Strike để loại bỏ trình tải SprySOCKS, một biến thể của trình nhúng ELF Linux có tên là “mandibule”, xuất hiện trên các máy mục tiêu dưới dạng tệp có tên “libmonitor.so.2”.
Các nhà nghiên cứu của Trend Micro cho biết những kẻ tấn công đã điều chỉnh mandibule cho phù hợp với nhu cầu của chúng, nhưng hơi vội vàng và để lại các thông báo và biểu tượng gỡ lỗi.
Trình tải chạy dưới tên “kworker/0:22” để tránh bị phát hiện bằng cách giống với một luồng worker của Linux kernel, giải mã payload giai đoạn thứ hai (SprySOCKS) và thiết lập sự tồn tại lâu dài trên máy tính bị nhiễm.
Hình 2. Tiến trình kworker giả mạo
Khả năng của SprySOCKS
Backdoor SprySOCKS sử dụng framework mạng hiệu suất cao được gọi là “HP-Socket” để hoạt động, trong khi giao tiếp TCP của nó với C2 được mã hóa AES-ECB.
Các chức năng backdoor chính của mã độc mới này bao gồm:
Ngoài ra, mã độc cũng tạo ID client bằng cách sử dụng địa chỉ MAC của giao diện mạng được liệt kê đầu tiên và một số tính năng của CPU, sau đó chuyển đổi nó thành chuỗi thập lục phân 28 byte.
Cho đến nay, ít nhất hai mẫu SprySOCKS khác nhau (phiên bản 1.1 và 1.3.6) đã được xác định, cho thấy mã độc này đang được phát triển tích cực và được những kẻ tấn công liên tục sửa đổi để bổ sung thêm các tính năng mới.
Các nhà nghiên cứu cho biết: “Điều quan trọng là các tổ chức phải chủ động quản lý bề mặt tấn công của mình, giảm thiểu các điểm xâm nhập tiềm năng vào hệ thống của họ và giảm khả năng vi phạm thành công”. Đồng thời đưa ra khuyến nghị các tổ chức cần phải áp dụng các bản vá bảo mật và cập nhật các công cụ, phần mềm và hệ thống máy chủ để đảm bảo tính bảo mật, chức năng và hiệu suất tổng thể, qua đó có thể ngăn chặn sự xâm phạm ban đầu từ SprySOCKS.
Ngọc Ngân
15:00 | 13/10/2023
09:00 | 05/02/2024
08:00 | 04/12/2023
15:00 | 31/08/2023
10:00 | 10/04/2024
17:00 | 11/08/2023
11:00 | 25/01/2024
08:00 | 24/10/2023
08:00 | 24/10/2023
09:00 | 17/07/2023
14:00 | 11/04/2024
RisePro là một trình đánh cắp thông tin dưới dạng dịch vụ, được phát hiện lần đầu tiên vào năm 2022. Tuy nhiên, mới đây phần mềm độc hại này đã xuất hiện trở lại với mã hóa chuỗi mới. Các nhà nghiên cứu tới từ công ty an ninh mạng G Data CyberDefense AG (Đức) tìm thấy một số kho GitHub cung cấp phần mềm bẻ khóa được sử dụng để phân phối RisePro.
09:00 | 29/01/2024
Các nhà nghiên cứu đến từ hãng bảo mật Fortinet (Mỹ) phát hiện một biến thể mới của Trojan truy cập từ xa có tên Bandook đang được phân phối thông qua các cuộc tấn công lừa đảo nhằm mục đích xâm nhập vào các máy tính Windows. Bài viết sẽ phân tích hành vi của Bandook, cung cấp thông tin chi tiết về các thành phần được sửa đổi trong biến thể mới và giải mã một số ví dụ về cơ chế giao tiếp máy chủ ra lệnh và điều khiển (C2) của phần mềm độc hại này.
07:00 | 08/01/2024
Mới đây, các nhà nghiên cứu an ninh mạng tới từ công ty bảo mật di động ThreatFabric (Hà Lan) cho biết một phiên bản cập nhật mới của Trojan ngân hàng Android có tên là Chameleon đang mở rộng mục tiêu nhắm tới người dùng ở Anh và Ý. Trojan này được phân phối thông qua Zombinder - một loại phần mềm Dropper dưới dạng dịch vụ (DaaS). Bài viết này sẽ tập trung phân tích biến thể mới của Chameleon với khả năng đặc biệt vượt qua tính năng xác thực sinh trắc học.
17:00 | 22/12/2023
Mới đây, các nhà nghiên cứu tới từ hãng bảo mật Kaspersky đã đưa ra báo cáo về việc phát hiện một loại Trojan mới có liên quan đến nhóm tin tặc APT BlueNoroff và chiến dịch RustBucket đang diễn ra. Trojan này là một trình tải độc hại được thiết kế để tải và thực thi mã độc khác trên hệ thống bị xâm nhập với mục tiêu nhắm vào người dùng macOS. Bài viết này sẽ cùng tìm hiểu, khám phá Trojan BlueNoroff cũng như thông tin xoay quanh nhóm tin tặc này.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024