Phát hiện bộ công cụ tấn công mới, kết hợp giữa công cụ truyền thống và mã độc để đánh cắp dữ liệu và đào tiền ảo
Một bộ công cụ tấn công mới kết hợp giữa mã độc và các công cụ khai thác đã được phát hiện khi rà quét các hệ thống mạng tại Trung Quốc, Đài Loan, Ý, Hồng Kông.
Phát hiện bộ công cụ tấn công mới, kết hợp giữa công cụ truyền thống và mã độc để đánh cắp dữ liệu và đào tiền ảo - cybersec365.org |
Cụ thể, Don Ovid Ladores, Michael Jhon Ofiaza, và Gilbert Sison - ba nhà nghiên cứu bảo mật thuộc hãng bảo mật Trend Micro, đã phát hiện ra bộ công cụ tấn công này khi nó đang phát tán các tập tin vào các máy tính Windows có mở cổng SMB - 445, nhắm vào lỗ hổng bảo mật có mã hiệu MS17-010 được Microsoft công bố và phát hành bản vá từ năm 2017.
Quá trình lây nhiễm của bộ công cụ này - được Trend Micro đặt tên là Trojan.Win32.INFOSTEAL.ADS, sau khi xâm nhập vào máy nạn nhân sẽ tiến hành kết nối về máy chủ điều khiển và kiểm soát (C&C) để gởi các thông tin về máy chủ, đồng thời tải về các mẫu mã độc khác.
|
Phát hiện bộ công cụ tấn công mới, kết hợp giữa công cụ truyền thống và mã độc để đánh cắp dữ liệu và đào tiền ảo - cybersec365.org |
Ở giai đoạn 3, mã độc này tiến hành tải xuống mã độc đào tiền ảo có tên gọi Monero coinminer nhằm tiến hành lợi dụng hệ thống phần cứng của nạn nhân để đào tiền ảo.
Theo các nhà nghiên cứu bảo mật tại Trend Micro, bộ công cụ tấn công này kết hợp sử dụng nhiều công cụ miễn phí từ bộ "Python-compiled malware, open-source modules, outdated exploit and freeware hacktools" cùng với mã độc nổi tiếng MIMIKATZ và bộ công cụ tấn công mã nguồn mở Radmin.
Các nhà nghiên cứu cũng tin rằng các cuộc tấn công bằng công cụ này đã diễn ra từ giữa năm 2017. Tuy nhiên, chúng khó bị phát hiện trong giai đoạn lây nhiễm mà phải đến khi mã độc đào tiền ảo được kích hoạt và làm chậm hệ thống thì quản trị viên mới nhận thấy được sự khác biệt.
Nguồn: bleepingcomputer
Không có nhận xét nào