Tin tặc khai thác lỗi trình duyệt để cài đặt backdoor trên máy tính nạn nhân
Các nhà nghiên cứu an ninh mạng mới đây đã tiết lộ thông tin chi tiết về một cuộc tấn công watering hole nhắm vào cộng đồng người Hàn Quốc ở nước ngoài. Cuộc tấn công này khai thác lỗ hổng trên các trình duyệt web phổ biến như Google Chrome hay Internet Explorer để phát tán mã độc nhằm mục đích gián điệp.
Chiến dịch này được Trend Micro đặt tên là “ Operation Earth Kitsune “. Nó sử dụng mã độc SLUB (kết hợp giữa hai từ SLack và githUB) và hai backdoor mới – dneSpy và agfSpy – để trích xuất thông tin hệ thống, nâng cao quyền kiểm soát trên các máy bị ảnh hưởng.
Theo công ty an ninh mạng, các chuyên gia bảo mật đã phát hiện hoạt động của các cuộc tấn công trong suốt tháng 3, 5 và 9.
Watering hole attack là một kỹ thuật tấn công cho phép tin tặc xâm nhập vào hệ thống của doanh nghiệp bằng cách lừa họ truy cập vào các trang web có chèn mã khai thác độc hại. Sau đó, chúng sẽ chiếm quyền điều khiển hệ thống của nạn nhân và lây nhiễm nó với mã độc.
Operation Earth Kitsune được cho là đã triển khai các mẫu spyware trên các trang web liên kết với Triều Tiên, mặc dù quyền truy cập vào các trang web này bị chặn đối với người dùng có địa chỉ IP từ Hàn Quốc.
Một chiến dịch tấn công đa dạng
Các hoạt động liên quan đến SLUB trước đây thường sử dụng kho lưu trữ GitHub để tải các code snippet độc hại xuống hệ thống Windows, và đăng kết quả thực thi lên một kênh Slack bảo mật của kẻ tấn công. Còn phiên bản mới nhất của mã độc này thì nhắm mục tiêu đến Mattermost, một hệ thống nhắn tin mã nguồn mở giống như Slack.
“Chiến dịch tấn công này rất đa dạng. Nó triển khai hàng loạt mẫu mã độc trên máy nạn nhân, và sử dụng nhiều máy chủ C2 trong suốt quá trình tấn công”, Trend Micro cho biết. “Chúng tôi nhận thấy chiến dịch sử dụng tổng cộng 5 máy chủ C2, 7 mẫu mã độc, và mã khai thác cho bốn lỗi N-day.”
Cuộc tấn công được thiết kế để bỏ qua các hệ thống đã cài đặt phần mềm bảo mật, nhằm tránh bị phát hiện. Nó đã lợi dụng một lỗ hổng Chrome đã được vá (CVE-2019-5782). Lỗ hổng này có thể cho phép kẻ tấn công thực thi mã tùy ý bên trong một sandbox thông qua một trang HTML được tạo đặc biệt.
Ngoài ra, một lỗ hổng trên Internet Explorer (CVE-2020-0674) cũng bị lợi dụng để phát tán mã độc qua các trang web bị xâm nhập.
Backdoor gián điệp dneSpy và agfSpy
Mặc dù có sự khác biệt về vectơ lây nhiễm, chuỗi khai thác được thực hiện theo cùng một trình tự: kết nối với máy chủ C2, nhận dropper, sau đó kiểm tra sự hiện diện của các phần mềm diệt mã độc trên hệ thống nạn nhân, trước khi tải xuống ba mẫu backdoor (ở định dạng “.jpg”) và thực thi chúng.
Tuy nhiên ở lần này, kẻ tấn công đã sử dụng máy chủ Mattermost để theo dõi tiến trình tấn công trên các máy bị nhiễm, và tạo kênh riêng cho từng máy để truy xuất thông tin đã thu thập được từ máy chủ bị nhiễm.
Trong số hai backdoor, dneSpy và agfSpy, backdoor dneSpy được thiết kế để thu thập thông tin hệ thống, chụp ảnh màn hình, tải xuống và thực thi các lệnh độc hại nhận được từ máy chủ C&C. Các thông tin sau đó sẽ được nén, mã hóa và trích xuất tới máy chủ.
“Một khía cạnh thú vị trong thiết kế của dneSpy là hành vi xoay quanh C&C của nó,” nhóm nghiên cứu từ Trend Micro cho biết. “Phản hồi của máy chủ C&C trung tâm thật ra là tên miền/IP của máy chủ C&C giai đoạn tiếp theo. Và đây là máy chủ dneSpy sẽ phải giao tiếp để nhận thêm hướng dẫn.”
Backdoor thứ hai, agfSpy, được trang bị với một cơ chế máy chủ C&C riêng. Máy chủ này được sử dụng để tìm nạp các lệnh shell và gửi lại kết quả thực thi. Các tính năng nổi bật của nó bao gồm khả năng liệt kê các thư mục, liệt kê, tải lên, tải xuống, và thực thi các file.
“Sự phức tạp trong hoạt động của chiến dịch Operation Earth Kitsune là do sự đa dạng của các thành phần mà nó sử dụng và sự tương tác giữa những thành phần đó,” các nhà nghiên cứu kết luận. “Đồng thời việc kẻ tấn công sử dụng các mẫu mới để tránh bị phát hiện cũng là một kỹ thuật đáng chú ý.”
Việc các thành phần trong chiến dịch đều được mã hóa tùy chỉnh (custom coded), từ shellcode trên Chrome cho đến agfSpy, chứng tỏ có một nhóm tin tặc đang đứng sau chiến dịch tấn công. Nhóm tin tặc này hoạt động rất tích cực trong năm nay, và chúng tôi dự đoán chúng sẽ còn tiếp tục hoạt động trong một khoảng thời gian dài sau này.”
Theo The Hacker News
The post Tin tặc khai thác lỗi trình duyệt để cài đặt backdoor trên máy tính nạn nhân appeared first on SecurityDaily .
Related News
Top News
-
![]()
Nhiều botnet khai thác lỗ hổng cũ để tấn công router TP-LinkCó ít nhất sáu mạng botnet khác nhau đang nhắm vào các router TP-Link Archer AX21 (AX1800). Thiết bị này vốn chịu ảnh hưởng từ một lỗ hổng chèn...
-
![]()
Alert! Cisco Releases Critical Security Updates to Fix 2 ASA Firewall 0-DaysCisco has released critical security updates to address multiple vulnerabilities in its Adaptive Security Appliance (ASA) devices and Firepower...
-
![]()
BatBadBut: Lỗ hổng khiến bạn không thể thực thi lệnh một cách an toàn trên WindowsGiới thiệu Gần đây, RyotaK ( @ryotkak ) đã báo cáo chùm lỗ hổng ở một số ngôn ngữ lập trình cho phép kẻ tấn công khai thác lỗi Command Injection...
-
![]()
Google công bố cập nhật bảo mật sử dụng AI cho 3 tỷ người dùng GmailSự kiện Cloud Next 2024 của Google tuy đã kết thúc, nhưng nhiều tin tức quan trọng vẫn tiếp tục được hé lộ. Một trong số đó có thể chính là...
-
![]()
Google Postpones Third-Party Cookie Deprecation Amid U.K. Regulatory ScrutinyGoogle has once again pushed its plans to deprecate third-party tracking cookies in its Chrome web browser as it works to address outstanding...
-
![]()
Phát hiện các lỗ hổng trong Windows có thể bị khai thác như rootkitCác nhà nghiên cứu đã phát hiện ra quá trình chuyển đổi đường dẫn DOS-to-NT có thể gây ra các lỗ hổng và bị kẻ tấn công khai thác như rootkit...