Breaking News

Phát hiện bộ công cụ tấn công mới, kết hợp giữa công cụ truyền thống và mã độc để đánh cắp dữ liệu và đào tiền ảo

Một bộ công cụ tấn công mới kết hợp giữa mã độc và các công cụ khai thác đã được phát hiện khi rà quét các hệ thống mạng tại Trung Quốc, Đài Loan, Ý, Hồng Kông.

Phát hiện bộ công cụ tấn công mới, kết hợp giữa công cụ truyền thống và mã độc để đánh cắp dữ liệu và đào tiền ảo - cybersec365.org
Phát hiện bộ công cụ tấn công mới, kết hợp giữa công cụ truyền thống và mã độc để đánh cắp dữ liệu và đào tiền ảo - cybersec365.org
Cụ thể, Don Ovid Ladores, Michael Jhon Ofiaza, và Gilbert Sison - ba nhà nghiên cứu bảo mật thuộc hãng bảo mật Trend Micro, đã phát hiện ra bộ công cụ tấn công này khi nó đang phát tán các tập tin vào các máy tính Windows có mở cổng SMB - 445, nhắm vào lỗ hổng bảo mật có mã hiệu MS17-010 được Microsoft công bố và phát hành bản vá từ năm 2017.
Quá trình lây nhiễm của bộ công cụ này - được Trend Micro đặt tên là Trojan.Win32.INFOSTEAL.ADS, sau khi xâm nhập vào máy nạn nhân sẽ tiến hành kết nối về máy chủ điều khiển và kiểm soát (C&C) để gởi các thông tin về máy chủ, đồng thời tải về các mẫu mã độc khác.
Phát hiện bộ công cụ tấn công mới, kết hợp giữa công cụ truyền thống và mã độc để đánh cắp dữ liệu và đào tiền ảo - cybersec365.org
Phát hiện bộ công cụ tấn công mới, kết hợp giữa công cụ truyền thống và mã độc để đánh cắp dữ liệu và đào tiền ảo - cybersec365.org
Ở giai đoạn 2 của quá trình lây nhiễm, mã độc này sẽ tự động tải về một số mô-đun bổ sung được thiết kế để thu thập dữ liệu, rà quét hệ thống để tìm kiếm các máy có thể bị khai tháng bằng lỗ hổng MS17-010. Đồng thời, mã độc này cũng tiến hành tải xuống một công cụ có tên gọi HackTool.Win32.Radmin.GB - một công cụ cho phép tin tặc có thể thực thi mã lệnh từ xa lên các thiết bị bị lây nhiễm.
Phát hiện bộ công cụ tấn công mới, kết hợp giữa công cụ truyền thống và mã độc để đánh cắp dữ liệu và đào tiền ảo - cybersec365.org
Phát hiện bộ công cụ tấn công mới, kết hợp giữa công cụ truyền thống và mã độc để đánh cắp dữ liệu và đào tiền ảo - cybersec365.org
Ở giai đoạn 3, mã độc này tiến hành tải xuống mã độc đào tiền ảo có tên gọi Monero coinminer nhằm tiến hành lợi dụng hệ thống phần cứng của nạn nhân để đào tiền ảo.
Theo các nhà nghiên cứu bảo mật tại Trend Micro, bộ công cụ tấn công này kết hợp sử dụng nhiều công cụ miễn phí từ bộ "Python-compiled malware, open-source modules, outdated exploit and freeware hacktools" cùng với mã độc nổi tiếng MIMIKATZ và bộ công cụ tấn công mã nguồn mở Radmin.
Các nhà nghiên cứu cũng tin rằng các cuộc tấn công bằng công cụ này đã diễn ra từ giữa năm 2017. Tuy nhiên, chúng khó bị phát hiện trong giai đoạn lây nhiễm mà phải đến khi mã độc đào tiền ảo được kích hoạt và làm chậm hệ thống thì quản trị viên mới nhận thấy được sự khác biệt.

Không có nhận xét nào