Tin tặc Triều Tiên phát triển backdoor mới trên macOS

07:00 | 16/01/2024 | HACKER / MALWARE

Các nhà nghiên cứu an ninh mạng đã phát hiện một backdoor macOS mới có tên là SpectralBlur. Đặc biệt backdoor này có những điểm tương đồng với dòng phần mềm độc hại KandyKorn của các tin tặc Triều Tiên trong các chiến dịch tấn công mạng được xác định gần đây.

Tin tặc Triều Tiên phát triển backdoor mới trên macOS

SpectralBlur: Phần mềm độc hại mới trên macOS

Phần mềm độc hại SpectralBlur ban đầu được phát hiện và phân tích bởi nhà nghiên cứu mối đe dọa cấp cao Greg Lesnewich của công ty an ninh mạng Proofpoint (Mỹ). Lesnewich cho biết, SpectralBlur có các tính năng thông thường của một backdoor độc hại, bao gồm khả năng có thể tải lên (upload)/tải xuống (download) tệp, chạy lệnh shell, cập nhật cấu hình, xóa tệp. Phần mềm độc hại này thực hiện tác vụ dựa trên các lệnh được đưa ra từ máy chủ điều khiển và ra lệnh (C2), thông tin liên lạc với máy chủ được mã hóa bằng Rivest Cipher 4 (RC4).

Một trong những khía cạnh độc đáo nhất của SpectralBlur từng được ghi nhận bởi nhà nghiên cứu bảo mật Phil Stokes tới từ công ty an ninh mạng SentinelOne (Mỹ), đó là sử dụng hàm Grantpt để thiết lập một thiết bị đầu cuối giả mạo.

Bên cạnh đó, nhà nghiên cứu Patrick Wardle cũng phát hiện ra việc sử dụng các thiết bị đầu cuối giả để thực thi các lệnh shell từ xa trong phân tích của mình. Wardle nhận định đây là một phần trong chiến thuật lén lút của SpectralBlur, bao gồm mã hóa giao tiếp của nó với máy chủ C2, xóa nội dung tệp của chính nó bằng cách ghi đè chúng bằng số 0 và tự chia thành nhiều phiên bản.

Sự tương đồng với phần mềm độc hại KandyKorn

Theo đánh giá của Lesnewich, SpectralBlur dường như có liên quan đến KandyKorn (còn gọi là SockRacket), một phần mềm độc hại tiên tiến có chức năng như một Trojan truy cập từ xa có khả năng kiểm soát máy chủ bị xâm nhập trong một chiến dịch tấn công trong lĩnh vực Blockchain vào tháng 11/2023.

Điều đáng chú ý là các hoạt động KandyKorn cũng tương tự với một chiến dịch khác do nhóm tin tặc BlueNoroff (có liên quan đến nhóm gián điệp mạng khét tiếng Lazarus của Triều Tiên) thực hiện, mà đỉnh điểm là việc triển khai một backdoor được gọi là RustBucket và một payload giai đoạn cuối có tên là ObjCShellz. Trong những tháng gần đây, các nhà nghiên cứu đã quan sát thấy kẻ tấn công kết hợp các phần khác nhau của hai chuỗi lây nhiễm này, tận dụng các công cụ Dropper RustBucket để phân phối KandyKorn.

Những phát hiện mới nhất là một dấu hiệu khác cho thấy các tác nhân đe dọa của Triều Tiên đang nhắm tới thiết bị macOS để xâm nhập vào các mục tiêu có giá trị cao, đặc biệt là các mục tiêu trong ngành công nghiệp tiền điện tử và Blockchain.

Lesnewich nhấn mạnh, nhóm tin tặc BlueNoroff tiếp tục phát triển các hoạt động tấn công mạng và cải tiến với các dòng phần mềm độc hại macOS mới này. Theo nhà nghiên cứu Wardle, người đã chia sẻ những chi tiết bổ sung về hoạt động bên trong của SpectralBlur cho biết, tệp nhị phân Mach-O đã được tải lên dịch vụ quét phần mềm độc hại VirusTotal vào tháng 8/2023 từ Colombia.

Sự tương đồng về chức năng giữa Kandykorn và SpectralBlur làm dấy lên nghi vấn chúng có thể được xây dựng bởi các nhà phát triển khác nhau, nhưng có cùng yêu cầu.

Tiết lộ này được đưa ra khi tổng cộng 21 dòng phần mềm độc hại mới nhắm mục tiêu vào các hệ thống macOS, bao gồm phần mềm tống tiền, trình đánh cắp thông tin, Trojan truy cập từ xa và một số phần mềm độc hại được cho là do nhà nước hậu thuẫn, đã được phát hiện vào năm 2023. Wardle lưu ý rằng, với sự phát triển và phổ biến không ngừng của macOS (đặc biệt là trong doanh nghiệp), năm 2024 dự báo các tin tặc sẽ phát triển thêm những biến thể độc hại mới trên hệ điều hành này.

Hồng Đạt

(Tổng hợp)

‹ › ×

Tin liên quan

Deadglyph: Backdoor mới trong cuộc tấn công gián điệp mạng nhắm vào các cơ quan chính phủ tại Trung Đông

23:00 | 28/09/2023

Trung Đông từ lâu được biết đến là khu vực khai thác thông tin tiềm năng đối với các tin tặc APT. Trong quá trình giám sát định kỳ các hoạt động đáng ngờ của các thực thể chính phủ trong khu vực, các nhà nghiên cứu của công ty an ninh mạng ESET đã phát hiện ra một backdoor rất tinh vi và chưa từng được biết đến trước đây có tên là Deadglyph, được sử dụng bởi một tác nhân có tên Stealth Falconnhư một phần của chiến dịch gián điệp mạng nhắm vào các cơ quan chính phủ tại Trung Đông.

Tin tặc Triều Tiên triển khai phần mềm độc hại Konni RAT nhắm mục tiêu vào Chính phủ Nga

14:00 | 05/03/2024

Một sự cố an ninh mạng nghiêm trọng gần đây đã xảy ra khi một trình cài đặt trong phần mềm của Chính phủ Nga bị cài đặt backdoor để phát tán trojan truy cập từ xa có tên Konni RAT (còn gọi là UpDog).

Red Hat cảnh báo backdoor trong thư viện Xperia Utils

07:00 | 08/04/2024

Red Hat cảnh báo người dùng ngừng ngay lập tức việc sử dụng các hệ thống chạy phiên bản thử nghiệm và phát triển Fedora, vì một backdoor được tìm thấy trong các công cụ và thư viện nén dữ liệu mới nhất của XZ Utils (trước đó là LZMA Ultis).

NSA cảnh báo tin tặc Triều Tiên khai thác điểm yếu của chính sách DMARC

10:00 | 13/05/2024

NSA và FBI cảnh báo rằng nhóm tin tặc có tên APT43 (có mối liên hệ với Triều Tiên) đã khai thác các chính sách Tuân thủ và báo cáo xác thực thư dựa trên tên miền (DMARC) để che giấu các cuộc tấn công lừa đảo.

Giải mã chiến dịch Operation Blacksmith: Nhóm tin tặc Triều Tiên Lazarus sử dụng phần mềm độc hại mới dựa trên DLang

07:00 | 27/12/2023

Các nhà nghiên cứu tại Công ty công nghệ an ninh mạng Cisco Talos (Mỹ) mới đây đã phát hiện ra chiến dịch Operation Blacksmith do nhóm tin tặc Lazarus khét tiếng của Triều Tiên thực hiện, sử dụng ba họ phần mềm độc hại dựa trên ngôn ngữ lập trình DLang, bao gồm trojan truy cập từ xa (RAT) có tên là NineRAT tận dụng Telegram để ra lệnh và kiểm soát (C2), DLRAT và trình tải xuống có tên là BottomLoader.

Tin tặc Triều Tiên thực hiện chiến dịch tấn công chuỗi cung ứng phần mềm ở khu vực Bắc Mỹ và châu Á

08:00 | 04/12/2023

Microsoft cho biết tin tặc Triều Tiên đã xâm nhập vào một công ty phần mềm Đài Loan và lợi dụng hệ thống của công ty này để phát tán phần mềm độc hại đến các thiết bị ở Mỹ, Canada, Nhật Bản và Đài Loan trong một cuộc tấn công vào chuỗi cung ứng.

Giải mã chiến dịch tấn công mạng gần đây của nhóm tin tặc Triều Tiên Lazarus

17:00 | 08/11/2023

Đầu năm nay, một nhà cung cấp phần mềm đã bị xâm nhập bởi phần mềm độc hại Lazarus được phát tán thông qua phần mềm hợp pháp chưa được vá. Điều đáng chú ý là những lỗ hổng phần mềm này không mới và bất chấp cảnh báo cũng như bản vá từ nhà cung cấp, nhiều hệ thống của nhà cung cấp vẫn tiếp tục sử dụng phần mềm có lỗi, cho phép kẻ đe dọa khai thác chúng. Trong bài viết này sẽ phân tích chiến dịch mới của Lazarus dựa trên báo cáo mới đây của hãng bảo mật Kaspersky.

Nhóm tin tặc Lazarus của Triều Tiên nhắm mục tiêu vào ngành công nghiệp quốc phòng trong chiến dịch APT Dream Job

12:00 | 25/10/2023

Nhóm tin tặc Lazarus có liên kết với Cộng hòa Dân chủ Nhân dân Triều Tiên (còn gọi là Hidden Cobra hoặc TEMP.Hermit) đã bị phát hiện sử dụng các phiên bản nhiễm trojan của VNC (Virtual Network Computing) để nhắm mục tiêu vào ngành công nghiệp quốc phòng và các kỹ sư hạt nhân như một phần của chiến dịch APT mang tên Dream Job.

Tin cùng chuyên mục

Cảnh báo nhiều lỗ hổng bảo mật thông tin cá nhân trong thời đại chuyển đổi số

10:00 | 13/05/2024

Trong thời đại công nghệ số hiện nay, lỗ hổng bảo mật là một trong những nguyên nhân hàng đầu dẫn đến các cuộc tấn công mạng. Do đó, việc nâng cao hiểu biết và nhận thức về các mối đe dọa mạng ngày càng cần thiết. Việt Nam là một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao thế giới, thế nhưng vấn đề bảo vệ dữ liệu cá nhân vẫn còn gặp nhiều bất cập trong xu thế toàn cầu hóa về chuyển đổi số. Bài báo sẽ thông tin tới độc giả thực trạng mối đe dọa về lỗ hổng bảo mật; một số lỗ hổng phổ biến; phương thức, thủ đoạn khai thác, nguyên nhân xuất hiện lỗ hổng bảo mật, từ đó đưa ra những giải pháp phòng chống và ngăn chặn.

Vén màn chiến dịch gián điệp mạng LightSpy

11:00 | 26/04/2024

Các nhà nghiên cứu của công ty an ninh mạng BlackBerry đã phát hiện một chiến dịch gián điệp mạng nhắm vào người dùng iPhone ở khu vực Nam Á, với mục đích phân phối payload của phần mềm gián điệp có tên là LightSpy. BlackBerry cho biết chiến dịch này có khả năng cho thấy sự tập trung mới của các tác nhân đe dọa vào các mục tiêu chính trị và căng thẳng trong khu vực.

Lỗ hổng Kubernetes cho phép thực thi mã từ xa trên điểm cuối Windows

09:00 | 01/04/2024

Vừa qua, công ty bảo mật đám mây Akamai (Mỹ) đã đưa ra cảnh báo về việc khai thác lỗ hổng Kubernetes ở mức độ nghiêm trọng cao, có thể dẫn đến việc thực thi mã tùy ý với các đặc quyền hệ thống trên tất cả các điểm cuối Windows trong một cụm (cluster).

Phần mềm độc hại DirtyMoe lây nhiễm hơn 2.000 máy tính tại Ukraine

13:00 | 07/02/2024

Vừa qua, Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) phát cảnh báo về việc hơn 2.000 máy tính ở nước này đã bị lây nhiễm một loại phần mềm độc hại có tên là DirtyMoe.