Nhóm ứng phó sự cố của công ty bảo mật Security Joe (Israel) cho biết trong quá trình điều tra kỹ thuật số, họ đã tìm thấy phần mềm độc hại mới mà họ theo dõi với tên gọi BiBi-Linux Wiper.
Security Joe cho biết trong một báo cáo mới được công bố vào ngày 30/10: “Phần mềm độc hại này là một tệp thực thi x64 ELF và thiếu các biện pháp che giấu hoặc bảo vệ. Nó cho phép kẻ tấn công chỉ định các thư mục đích và có khả năng phá hủy toàn bộ hệ điều hành nếu chạy với quyền ”.
Các nhà nghiên cứu cũng cho biết BiBi-Linux Wiper cũng tận dụng đồng thời nhiều luồng và hàng đợi để làm hỏng các tệp, nâng cao tốc độ và phạm vi tiếp cận của nó. Các hành động của nó bao gồm: ghi đè các tệp, đổi tên tệp bằng một chuỗi ngẫu nhiên có chứa “BiBi” và loại từ một số tệp nhất định để không phá hủy.
Mặc dù chuỗi BiBi (trong tên tệp) có thể xuất hiện ngẫu nhiên nhưng nó có ý nghĩa quan trọng khi kết hợp với các chủ đề như chính trị ở khu vực Trung Đông, vì đây là biệt danh phổ biến được sử dụng cho Thủ tướng Israel, Benjamin Netanyahu.
Phần mềm độc hại được viết bằng C/C++ và có kích thước 1,2 MB, cho phép kẻ tấn công chỉ định các thư mục mục tiêu thông qua các tham số dòng lệnh, theo mặc định chọn thư mục gốc nếu không có đường dẫn nào được cung cấp, tuy nhiên thực hiện hành động ở cấp độ này yêu cầu quyền root.
Một khía cạnh đáng chú ý khác của BiBi- Wiper là việc sử dụng lệnh Nohup trong quá trình thực thi để chạy nó không bị cản trở ở chế độ nền. Một số loại tệp bị bỏ qua khỏi bị ghi đè là những tệp có phần mở rộng .out hoặc .so.
Cuộc tấn công mạng này diễn ra khi công ty an ninh mạng Sekoia (Pháp) tiết lộ rằng nhóm tin tặc bị nghi ngờ có liên quan đến Hamas được gọi là Arid Viper (còn gọi là APT-C-23, Desert Falcon, Gaza Cyber Gang và Molerats) có thể được tổ chức thành hai nhóm nhỏ, với mỗi nhóm tập trung vào các hoạt động gián điệp mạng chống lại cả và Palestine.
Theo các nhà nghiên cứu Tom Hegel và Aleksandar Milenkoski của hãng bảo mật SentinelOne (Mỹ) thì Arid Viper là nhóm tin tặc thực hiện các hoạt động gián điệp mạng và đánh cắp thông tin hoạt động ít nhất kể từ năm 2017, chủ yếu nhắm vào các mục tiêu ở Trung Đông. Chúng thường tấn công vào các cá nhân nổi bật của người Palestine và Israel đã được lựa chọn trước, thường từ các lĩnh vực quan trọng như các tổ chức quốc phòng và chính phủ, cơ quan thực thi pháp luật cũng như các đảng phái hoặc phong trào chính trị.
Arid Viper sử dụng nhiều loại phần mềm độc hại trong hoạt động của mình, bao gồm các ứng dụng stager, backdoor và phần mềm gián điệp di động dành cho nền tảng iOS và Android. Phần mềm độc hại của Arid Viper được tích cực duy trì và nâng cấp để đáp ứng yêu cầu hoạt động của nhóm. Nhóm tin tặc này đã liên tục thể hiện sự đổi mới bằng cách áp dụng các phương pháp phát triển phần mềm độc hại mới trên nhiều ngôn ngữ lập trình và tập lệnh, chẳng hạn như Delphi, Go, và C++.
Các chuỗi tấn công do nhóm này dàn dựng bao gồm các cuộc tấn công kỹ nghệ xã hội và lừa đảo là các biện pháp ban đầu để triển khai nhiều loại phần mềm độc hại tùy chỉnh nhằm theo dõi nạn nhân. Các phần mềm độc hại bao gồm: Micropsia, PyMicropsia, Arid Gopher, BarbWire và backdoor mới có tên là Rusty Viper được viết bằng Rust.
ESET cho biết: “Nhìn chung, kho vũ khí của Arid Viper cung cấp các khả năng gián điệp đa dạng như ghi âm bằng micrô, phát hiện ổ đĩa flash được lắp vào và trích xuất các tệp từ chúng cũng như đánh cắp thông tin xác thực trình duyệt đã lưu”.
Lê Thị Bích Hằng
15:00 | 13/10/2023
09:00 | 27/10/2023
21:00 | 16/11/2023
16:00 | 01/12/2023
13:00 | 10/03/2022
15:00 | 18/12/2023
Ngày 12/12, Kyivstar - nhà mạng lớn nhất Ukraine hứng chịu một cuộc tấn công mạng lớn, khiến hàng triệu người dùng mất kết nối di động và Internet. Đáng chú ý sự cố gây ảnh hưởng đến hệ thống cảnh báo không kích của nước này.
09:00 | 14/09/2023
Trong tháng 8, Microsoft, Adobe và Apple đã phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.
12:00 | 14/08/2023
Một tính năng tìm kiếm hợp pháp của Windows đang bị khai thác bởi các tác nhân độc hại không xác định để tải xuống các payload tùy ý từ các máy chủ từ xa và xâm phạm các hệ thống được nhắm mục tiêu bằng các trojan truy cập từ xa (RAT) như AsyncRAT và Remcos RAT.
10:00 | 10/07/2023
Vừa qua, theo báo cáo từ công ty an ninh mạng Bitderfender (Romani) cho biết, một chiến dịch tấn công gián điệp mạng có chủ đích sử dụng mã độc mới được viết bằng ngôn ngữ lập trình Golang có tên là “RDStealer” đã được các tin tặc thực hiện nhằm đánh cắp dữ liệu từ các ổ đĩa được chia sẻ thông qua ứng dụng kết nối từ xa Remote Desktop Protocol (RDP).
Một lỗi bảo mật Bluetooth nghiêm trọng được cho là đã tồn tại trong vài năm gần đây có thể bị tin tặc khai thác để chiếm quyền kiểm soát trên các thiết bị Android, Linux, macOS và iOS.
14:00 | 19/12/2023