Một nhóm nghiên cứu an ninh mạng của BitDefender đã thực hiện phân tích về các đặc điểm hoạt động của bộ công cụ tấn công thông qua bốn mẫu được chia sẻ trên VirusTotal bởi một nạn nhân ẩn danh. Trong đó mẫu sớm nhất được phân tích vào ngày 18/4/2023.
Theo nhà nghiên cứu Andrei Lapusneanu và Bogdan Botezatu của BitDefender, tính đến thời điểm hiện tại, những mẫu này phần lớn vẫn chưa được phát hiện và có rất ít thông tin về chúng.
Trong số các mẫu chương trình mã độc được phát hiện thì có hai mẫu về backdoor được viết bằng ngôn ngữ lập trình với tên gọi “JokerSpy” nhắm mục tiêu các hệ thống , Windows và cả Linux.
Khi mã độc được kích hoạt thì thành phần đầu tiên là “shared.dat” sẽ tiến hành kiểm tra hệ điều hành máy mục tiêu và thiết lập kết nối tới một máy chủ từ xa để nhận thêm các mệnh lệnh cần thực thi từ máy chủ này. Các mệnh lệnh thông thường được đưa ra từ máy chủ từ xa là thu thập thông tin về hệ thống, thực thi các mã lệnh, tải và chạy tập tin trên máy mục tiêu, cuối cùng tự kết thúc tiến trình.
Bên cạnh đó, BitDefender đã xác định được một backdoor nguy hiểm có tên là “sh.py” với khả năng chạy đa nền tảng. Backdoor này cũng có các khả năng như thu thập thông tin hệ thống, thực thi lệnh và script, thống kê, xóa tệp tin và phân tích dữ liệu đã được chuyển mã (encode data).
Thành phần thứ ba của mã độc là một tệp nhị phân FAT có tên là “xcc” với với ngôn ngữ lập trình Swift nhằm hướng tới mục tiêu là phiên bản hệ điều hành MacOS Monterey và mới hơn. Chức năng chính của thành phần này là kiểm tra về quyền trước khi thực thi các thành phần tiềm năng khác của bộ công cụ. Các kết nối phần mềm gián điệp của xcc xuất phát từ một đường dẫn được xác định trong nội dung tệp, đó là “/Users/joker/Downloads/Spy/XProtectCheck/” và thực tế là nó kiểm tra các quyền như truy cập đĩa, ghi màn hình và khả năng truy cập.
Hoạt động tấn công trên các nền tảng
Trên thiết bị chạy MacOS, khi thành phần mã độc đầu tiên được thực thi thì sẽ tải về các nội dung được chuyển mã Base64 từ máy chủ ở xa và lưu với dạng tệp tin tại đường dẫn kèm tên gọi là “/Users/Shared/AppleAccount.tgz”. Sau đó, tệp tin này sẽ được giải nén và khởi chạy dưới dạng ứng dụng “/Users/Shared/TempUser/AppleAccountAssistant.app”.
Hoạt động tấn công mã độc trên nền tảng MacOS
Trên các máy mục tiêu chạy hệ điều hành Linux, một cách tấn công tương tự được diễn ra là backdoor xác nhận về bản phân phối hệ điều hành bằng cách kiểm tra tệp tin “/etc/os-release”, sau đó tiến hành viết các mã lệnh C vào tệp tin tạm thời “tmp.c” và biên dịch nó vào một tệp tên là “/tmp/.ICE-unix/git” sử dụng trình biên dịch CC trên Fedora hoặc GCC trên Debian.
Hiện tại có rất ít thông tin về bộ công cụ tấn công này và chưa rõ về nhóm tấn công đã phát triển nó, cách thức truy cập ban đầu và liệu nó có liên quan đến kỹ nghệ xã hội hay lừa đảo trực tuyến vẫn chưa được xác định. Tuy nhiên, việc phân tích tấn cả các mẫu mã độc và kỹ thuật tấn công của bộ công cụ được các nhà nghiên cứu ưu tiên cần phải làm rõ bởi vì họ nghi ngờ nó có thể dẫn tới một cuộc tấn công mạng phức tạp hơn.
Tiết lộ này được đưa ra hơn hai tuần sau khi công ty an ninh mạng của Nga, Kaspersky tiết lộ rằng các thiết bị đã được nhắm mục tiêu như một phần của chiến dịch tấn công có tên là “” bắt đầu vào năm 2019.
Lê Thị Bích Hằng
14:00 | 14/07/2023
14:00 | 21/06/2023
14:00 | 22/06/2023
10:00 | 22/09/2023
07:00 | 24/04/2023
11:00 | 16/05/2024
Kể từ tháng 3/2024, các nhà nghiên cứu của công ty an ninh mạng Zscaler đã phát hiện một nhóm tin tặc sử dụng các tên miền giả để mạo danh các trang web quét IP hợp pháp nhằm phát tán backdoor có tên là MadMxShell. Những kẻ tấn công đăng ký nhiều tên miền trông giống nhau bằng cách sử dụng kỹ thuật Typosquatting và tận dụng quảng cáo Google Ads để đẩy các tên miền này lên đầu kết quả tìm kiếm, từ đó thu hút nạn nhân truy cập các trang web độc hại. Bài viết sẽ tiến hành phân tích kỹ thuật và cơ sở hạ tầng của các tác nhân đe dọa trong chiến dịch này dựa trên báo cáo của Zscaler.
09:00 | 19/04/2024
Theo nhận định của Cục An toàn thông tin (Bộ Thông tin và Truyền thông), trong thời gian gần đây các chiêu trò lừa đảo trực tuyến ngày càng gia tăng với các hình thức tinh vi hơn. Điều này khiến cho nhiều người dân khó nhận biết để phòng tránh nguy cơ mất an toàn thông tin.
09:00 | 03/04/2024
Ngày 02/4, hệ thống công nghệ thông tin của Tổng công ty Dầu Việt Nam (PVOIL) bị tấn công bất hợp pháp có chủ đích theo hình thức mã hóa dữ liệu (ransomware). Vụ việc này đã khiến hệ thống công nghệ thông tin của PVOIL bị ngưng trệ, việc phát hành hóa đơn điện tử phục vụ việc bán hàng của PVOIL tạm thời không thể thực hiện được.
14:00 | 05/03/2024
Một sự cố an ninh mạng nghiêm trọng gần đây đã xảy ra khi một trình cài đặt trong phần mềm của Chính phủ Nga bị cài đặt backdoor để phát tán trojan truy cập từ xa có tên Konni RAT (còn gọi là UpDog).
Lợi dụng lỗ hổng CVE-2024-27956 (có điểm 9,9) trong plugin WP Automatic của WordPress, tin tặc có thể tấn công hơn 30.000 trang web bằng cách tạo tài khoản người dùng với đặc quyền quản trị và cài đặt backdoor để truy cập lâu dài.
10:00 | 13/05/2024