Những kẻ tấn công đã che giấu những payload độc hại này và ẩn chúng vào hồ sơ người dùng diễn đàn trên các trang tin tức công nghệ hoặc mô tả video trên nền tảng lưu trữ phương tiện truyền thông, chúng đóng vai trò then chốt trong việc tải xuống và thực thi phần mềm độc hại trong các cuộc tấn công.
Theo công ty an ninh mạng Mandiant (Mỹ), các tin tặc được theo dõi trong chiến dịch này có tên là UNC4990 và đã hoạt động từ năm 2020, chủ yếu nhắm mục tiêu vào người dùng ở Ý.
Cuộc tấn công bắt đầu bằng việc nạn nhân nhấp đúp vào tệp shortcut LNK độc hại trên ổ USB. Khi tệp được khởi chạy, nó sẽ thực thi tập lệnh PowerShell explorer.ps1, sau đó tải xuống một payload trung gian giải mã thành một URL được sử dụng để tải xuống và cài đặt trình tải xuống phần mềm độc hại có tên là EMPTYSPACE.
Các tin tặc UNC4990 đã thử một số cách tiếp cận để lưu trữ các payload trung gian, ban đầu sử dụng trên GitHub và GitLab, sau đó chuyển sang sử dụng Vimeo và Ars Technica để lưu trữ các payload chuỗi được mã hóa Base64 và mã hóa AES.
Mandiant lưu ý rằng những kẻ tấn công không khai thác lỗ hổng trong các trang web này mà chỉ sử dụng các tính năng thông thường của trang web, như trang Giới thiệu (About page) trong hồ sơ diễn đàn Ars Technica hoặc mô tả video Vimeo, để bí mật lưu trữ payload bị xáo trộn mà không gây nghi ngờ.
Ngoài ra, các payload này không đe dọa trực tiếp đến khách truy cập của các trang web bị lạm dụng vì chúng chỉ là các chuỗi văn bản vô hại và tất cả các trường hợp được Mandiant ghi nhận hiện đã bị xóa trên các nền tảng bị ảnh hưởng.
Ưu điểm của việc lưu trữ các payload trên nền tảng hợp pháp và có uy tín là chúng được bảo mật bởi hệ thống tin cậy, giảm khả năng bị gắn cờ là đáng ngờ. Hơn nữa, các tác nhân đe dọa được hưởng lợi từ mạng phân phối nội dung (CDN) của các nền tảng đó và có khả năng phục hồi khi bị gỡ bỏ. Việc nhúng payload vào nội dung hợp pháp và xáo trộn nó với lưu lượng truy cập hợp pháp khiến việc xác định và loại bỏ mã độc trở nên khó khăn hơn.
Hình 1. Mô phỏng chiến dịch tấn công của UNC4990 (Nguồn: Mandiant)
Tập lệnh PowerShell giải mã và thực thi payload trung gian được tìm nạp từ các trang web hợp pháp và nhúng phần mềm độc hại EMPTYSPACE trên hệ thống bị nhiễm, thiết lập liên lạc với máy chủ điều khiển và ra lệnh (C2) do tin tặc kiểm soát.
Hình 2. Sự phát triển của tập lệnh PowerShell (Nguồn: Mandiant)
Trong các giai đoạn tiếp theo của cuộc tấn công, EMPTYSPACE tải xuống một có tên là QUIETBOARD, cũng như các công cụ khai thác tiền điện tử để khai thác các nền tảng Monero, Ethereum, Dogecoin và Bitcoin. Các địa chỉ ví được liên kết với chiến dịch này đã kiếm được lợi nhuận vượt quá 55.000 USD (chưa tính đến Monero).
Theo các nhà nghiên cứu, QUIETBOARD là một backdoor đa thành phần phức tạp với nhiều khả năng, bao gồm:
- Thực thi các lệnh hoặc tập lệnh nhận được từ máy chủ C2.
- Thực thi mã Python nhận được từ máy chủ C2.
- Thay đổi bộ nhớ đệm.
- Lây nhiễm thông qua USB/ổ đĩa di động để phát tán phần mềm độc hại trên các hệ thống khác.
- Chụp ảnh màn hình.
- Thu thập thông tin chi tiết về hệ thống mạng.
- Xác định vị trí địa lý của hệ thống nạn nhân.
Ngoài ra, backdoor QUIETBOARD cũng thiết lập tính bền vững trong quá trình khởi động lại hệ thống và hỗ trợ linh hoạt các chức năng mới thông qua các mô-đun bổ sung. Mandiant nhấn mạnh, bất chấp các biện pháp bảo vệ thông thường, phần mềm độc hại dựa trên USB vẫn tiếp tục gây ra mối đe dọa đáng kể và hỗ trựo tội phạm mạng như một phương tiện lây nhiễm hiệu quả.
Bá Phúc
(Bleepingcomputer)
11:00 | 25/01/2024
09:00 | 02/04/2024
14:00 | 16/01/2024
08:00 | 21/03/2024
09:00 | 29/01/2024
10:00 | 14/08/2024
Trong bối cảnh khoa học công nghệ đang ngày càng phát triển, đi cùng với đó là những nguy cơ gây mất an ninh, an toàn thông tin đang ngày càng phổ biến. Một trong số những nguy cơ người dùng dễ gặp phải đó là bị lây nhiễm mã độc tống tiền (ransomware) trên thiết bị di động. Sau khi xâm nhập trên thiết bị di động, mã độc sẽ tự động mã hóa các dữ liệu có trên thiết bị đó hoặc ngăn chặn các phần mềm được kích hoạt trên smartphone, đồng thời sẽ yêu cầu người dùng phải trả tiền cho các tin tặc đứng sau như một hình thức trả tiền chuộc, gây thiệt hại vô cùng lớn cho nạn nhân. Trong bài viết này, tác giả sẽ đưa ra những điểm yếu, lỗ hổng tồn tại trên điện thoại di động dễ bị tin tặc tấn công. Qua đó, cũng đề xuất một số khuyến nghị nâng cao cảnh giác khi sử dụng di động, góp phần cho công tác phòng, chống phần mềm độc hại và chia sẻ dữ liệu mã độc.
07:00 | 05/06/2024
Vào 3 giờ 10 phút sáng ngày 04/6, hệ thống công nghệ thông tin của Tổng công ty Bưu điện Việt Nam (Vietnam Post) bị tấn công mã hóa dữ liệu, gây ảnh hưởng trực tiếp đến việc thực hiện các hoạt động liên quan đến dịch vụ bưu chính chuyển phát. Các dịch vụ tài chính bưu chính, hành chính công và phân phối hàng hóa đến thời điểm này vẫn hoạt động bình thường.
16:00 | 03/06/2024
Nhóm Tình báo mối đe dọa của Microsoft cho biết họ đã phát hiện một tác nhân đe dọa, được theo dõi dưới tên Storm-1811, đang lạm dụng công cụ quản lý khách hàng Quick Assist để nhắm mục tiêu vào người dùng trong các cuộc tấn công kỹ thuật xã hội.
16:00 | 23/05/2024
Những nhóm tin tặc ngày càng vũ khí hóa API Microsoft Graph cho các mục đích độc hại nhằm lẩn tránh sự phát hiện.
Theo báo cáo mới nhất được Viettel công bố ngày 26/8 vừa qua, cho thấy tình hình an ninh mạng đáng báo động với sự xuất hiện của 17.000 lỗ hổng mới chỉ trong 6 tháng đầu năm, đặt ra thách thức lớn cho các doanh nghiệp Việt.
11:00 | 03/09/2024