Đáng lưu ý, QLNX được triển khai trong môi trường phát triển và DevOps trên NPM, PyPI, GitHub, AWS, Docker và Kubernetes. Điều này có thể tạo điều kiện cho các cuộc tấn công chuỗi cung ứng, trong đó kẻ tấn công phát tán các gói mã độc trên các nền tảng phân phối mã nguồn.
Công ty an ninh mạng Trend Micro đã phân tích phần mềm độc hại QLNX và phát hiện rằng nó tự động biên dịch các đối tượng chia sẻ rootkit và các mô-đun backdoor PAM trên máy chủ mục tiêu bằng cách sử dụng gcc (GNU Compiler Collection). Theo các nhà nghiên cứu, QLNX được thiết kế để hoạt động bí mật và tồn tại lâu dài, vì nó chạy trong bộ nhớ, xóa tệp nhị phân gốc khỏi ổ đĩa, cũng như xóa nhật ký, giả mạo tên tiến trình và xóa các biến môi trường.
Bên cạnh đó, phần mềm độc hại này sử dụng 7 cơ chế duy trì hoạt động khác nhau, bao gồm LD_PRELOAD, systemd, crontab, các script init.d, tự động khởi động XDG và chèn “.bashrc”, đảm bảo nó được tải vào mọi tiến trình liên kết động và tự khởi động lại nếu bị tắt.
Tổng quan về các cơ chế duy trì của QLNX
QLNX phát triển với nhiều khối chức năng chuyên biệt cho các hoạt động cụ thể, biến nó thành một công cụ tấn công hoàn chỉnh. Các thành phần cốt lõi của phần mềm độc hại này bao gồm:
- RAT core: Thành phần điều khiển trung tâm được phát triển dựa trên 58 lệnh, cung cấp quyền truy cập shell tương tác, quản lý tệp tin và tiến trình, điều khiển hệ thống và các hoạt động mạng, đồng thời duy trì liên lạc liên tục với máy chủ điều khiển và ra lệnh (C2) thông qua các kênh TCP/TLS hoặc HTTP/S tùy chỉnh.
- Rootkit: Cơ chế ẩn danh hai lớp kết hợp rootkit LD_PRELOAD ở tầng người dùng và thành phần eBPF ở cấp kernel hệ điều hành. Lớp tầng người dùng can thiệp vào các hàm libc để ẩn các tệp tin, tiến trình và các dấu vết của phần mềm độc hại, trong khi lớp eBPF che giấu PID, đường dẫn tệp tin và cổng mạng ở kernel hệ điều hành. Cả hai đều được triển khai động, với rootkit tầng người dùng được biên dịch trên hệ thống mục tiêu.
- Lớp truy cập thông tin xác thực: Kết hợp việc thu thập thông tin xác thực (khóa SSH, trình duyệt, cấu hình đám mây và nhà phát triển, /etc/shadow, clipboard) với các backdoor dựa trên PAM nhằm chặn và ghi lại dữ liệu xác thực dạng văn bản thuần túy.
- Mô-đun giám sát: Ghi lại thao tác bàn phím, chụp ảnh màn hình và theo dõi clipboard.
- Kết nối mạng và di chuyển ngang: Đường hầm TCP, proxy SOCKS, quét cổng, di chuyển ngang dựa trên SSH và mạng lưới peer-to-peer mesh.
- Công cụ thực thi và chèn mã độc: Chèn mã độc vào tiến trình (ptrace, /proc/pid/mem) và thực thi mã độc trong bộ nhớ (các đối tượng chia sẻ, BOF/COFF).
- Giám sát hệ thống tệp tin: Theo dõi hoạt động của tệp tin theo thời gian thực thông qua inotify.
.png)
Kiến trúc rootkit
Sau khi truy cập ban đầu, QLNX thiết lập một chỗ đứng không cần tệp, triển khai các cơ chế duy trì và ẩn danh, sau đó thu thập thông tin đăng nhập của nhà phát triển và người dùng đám mây. Bằng cách nhắm mục tiêu vào các máy trạm của nhà phát triển, kẻ tấn công có thể vượt qua các biện pháp kiểm soát an ninh của doanh nghiệp và truy cập vào thông tin đăng nhập hỗ trợ các quy trình phân phối phần mềm.
.jpg)
Chức năng đánh cắp thông tin đăng nhập
Cách tiếp cận này phản ánh các sự cố chuỗi cung ứng gần đây, trong đó thông tin đăng nhập của nhà phát triển bị đánh cắp đã được sử dụng để phát tán các gói phần mềm chứa Trojan lên các kho lưu trữ công cộng. Trend Micro chưa cung cấp thông tin chi tiết về các cuộc tấn công cụ thể hoặc bất kỳ thông tin nào về nguồn gốc của QLNX, do đó, quy mô triển khai và mức độ hoạt động cụ thể của phần mềm độc hại mới này vẫn chưa rõ ràng.
Tại thời điểm hiện tại, QLNX chỉ được phát hiện bởi bốn giải pháp bảo mật và chúng đều gắn cờ tệp nhị phân của nó là độc hại. Trend Micro đã cung cấp các chỉ báo về sự xâm nhập (IoC) để giúp phát hiện các phần mềm độc hại QLNX và phòng chống mối đe dọa này, quý độc giả có thể theo dõi thông tin chi tiết tại đây.
