Sau khi được một tổ chức khách hàng thông báo về tình trạng ứng dụng và mạng trở nên trì trệ, công ty đã quyết định điều tra về vụ việc này và phát hiện một loại biến thể mã độc đào tiền ảo ẩn mình mới.
Công ty cho biết, hầu như mọi máy chủ và máy trạm của tổ chức khách hàng này đều bị nhiễm mã độc. Hầu hết đều là các biến thể thông thường của mã độc đào tiền ảo, như các công cụ kết xuất (dumping), trình PHP shell ẩn mình... một số mã độc đã xuất hiện trong nhiều năm. Trong số mã độc bị phát hiện có một loại mã độc mới và đáng chú ý nhất được đặt tên là Norman.
Norman là mã độc đào tiền ảo Monero hiệu suất cao, khác biệt so với nhiều mẫu mã độc khác ở phương thức ẩn mình tinh vi của nó. Khác với thường lệ, mã độc này được biên dịch với Nullsoft Scriptable Install System (NSIS), một hệ thống mã nguồn mở thường được sử dụng để tạo các trình cài đặt Windows.
Gói tin độc hại được thiết kế để thực thi mã độc đào tiền ảo và tự ẩn mình. Nó tránh bị phát hiện bằng cách kết thúc tính năng đào tiền ảo khi người dùng mở Trình quản lý tác vụ (Task Manager). Sau khi trình quản lý đóng lại, nó sẽ chèn lại mã độc và tiếp tục đào tiền ảo. Tính năng đào tiền ảo có tên là XMRig, được giấu trong phần mềm độc hại bằng công cụ nén UPX và được chèn vào Notepad hoặc Explorer tùy theo đường dẫn thực thi.
Mã độc đào tiền ảo này còn có thể liên kết với trình PHP shell trong hệ thống của nạn nhân, liên tục kết nối với máy chủ C&C. Cả mã độc Norman và trình PHP shell đều sử dụng dịch vụ cấp tên miền động DuckDNS để kết nối với máy chủ C&C.
Không mã độc nào trong số các mẫu đã phát hiện có khả năng di chuyển biên (lateral movement), mặc dù chúng đã lây lan trên các thiết bị và phân khúc mạng khác nhau. Cho dù tin tặc có thể đã lây nhiễm từng máy chủ riêng lẻ (có thể thông qua cùng một hướng tấn công được sử dụng trong lần lây nhiễm ban đầu), nhưng khả năng lây lan bằng cách sử dụng trình PHP shell để di chuyển biên và lây nhiễm sang các thiết bị khác trong mạng nạn nhân là không xảy ra.
Ngoài ra, công ty cũng tuyên bố là không có sự tương đồng về mã nguồn hoặc khả năng kết nối giữa mã độc đào tiền ảo và PHP shell. Theo suy đoán, tin tặc có thể là người nói tiếng Pháp do ngôn ngữ này đã xuất hiện trong mã nguồn.
Thông qua vụ việc lần này, công ty Varonis kêu gọi các tổ chức cần cảnh giác với mối nguy hại mã độc đào tiền ảo và thực hiện các biện pháp phòng chống như: luôn cập nhật hệ điều hành; giám sát lưu lượng mạng và proxy web; duy trì phần mềm antivirus trên các điểm cuối; cẩn trọng với DNS và theo dõi hoạt động của CPU; đồng thời có kế hoạch ứng phó sự cố đã được thử nghiệm và sẵn sàng triển khai.
Đỗ Đoàn Kết
Theo Infosecurity
14:00 | 27/09/2018
14:00 | 25/07/2018
07:00 | 09/07/2018
17:00 | 03/01/2020
10:00 | 30/08/2024
Các chuyên gia bảo mật của hãng ESET (Slovakia) vừa phát hiện một phần mềm độc hại mới trên nền tảng Android có khả năng sử dụng đầu đọc NFC để đánh cắp thông tin thanh toán từ thiết bị của nạn nhân và chuyển dữ liệu này đến tay kẻ tấn công.
10:00 | 25/06/2024
Một chiến dịch phát tán mã độc mới đang giả mạo các thông báo lỗi của Google Chrome, Word và OneDrive để lừa người dùng chạy các “bản sửa lỗi” PowerShell nhằm cài đặt phần mềm độc hại.
16:00 | 03/06/2024
Nhóm Tình báo mối đe dọa của Microsoft cho biết họ đã phát hiện một tác nhân đe dọa, được theo dõi dưới tên Storm-1811, đang lạm dụng công cụ quản lý khách hàng Quick Assist để nhắm mục tiêu vào người dùng trong các cuộc tấn công kỹ thuật xã hội.
09:00 | 24/05/2024
Ngày 14/5, Microsoft đã khắc phục một sự cố làm gián đoạn kết nối VPN trên các nền tảng máy khách và máy chủ sau khi cài đặt bản cập nhật bảo mật Windows tháng 4/2024.
Theo báo cáo mới nhất được Viettel công bố ngày 26/8 vừa qua, cho thấy tình hình an ninh mạng đáng báo động với sự xuất hiện của 17.000 lỗ hổng mới chỉ trong 6 tháng đầu năm, đặt ra thách thức lớn cho các doanh nghiệp Việt.
11:00 | 03/09/2024