Microsoft cảnh báo về các cuộc tấn công RDP nhắm vào lỗ hổng BlueKeep để phát tán phần mềm độc hại CoinMiner

Microsoft mới đây đã phát đi cảnh báo, kêu gọi người dùng tiến hành vá lỗ hổng BlueKeep RDP vì lỗ hổng bảo mật này có thể dẫn đến các cuộc tấn công nghiêm trọng và phát tán các phần mềm độc hại khét tiếng.

Microsoft cảnh báo về các cuộc tấn công RDP nhắm vào lỗ hổng BlueKeep để phát tán phần mềm độc hại CoinMiner - CyberSec365.org

Vào ngày 2 tháng 11 năm 2019, nhà nghiên cứu bảo mật Kevin Beaumont đã phát hiện ra các cuộc tấn công RDP có thể làm crash máy tính của nạn nhân. Theo Marcus Hutchins, người đã phân tích các tệp dumps nói rằng các tin tặc tận dụng lỗ hổng Bluekeep để cài đặt công cụ khai thác tiền điện tử Monero.
Bluekeep (CVE-2019-0708) là một lỗ hổng RCE nghiêm trọng có trong dịch vụ Remote desktop services có thể cho phép tin tặc truy cập vào các thiết bị dễ bị tấn công mà không cần xác thực. Do lỗ hổng có thể lây lan theo dạng worm, nó có thể nhanh chóng thỏa hiệp hàng triệu máy trong một thời gian ngắn.

Mô-đun Metasploit Bluekeep

Các nhà nghiên cứu của Microsoft đã liên kết chiến dịch tấn công khai thác tiền ảo hồi tháng 9 với chiến dịch BlueKeep Metasploit tháng 10. Cả hai chiến dịch này đều được kết nối với cùng một máy chủ chỉ huy và kiểm soát (C&C) và chúng đều nhằm mục đích cài đặt một công cụ khai thác tiền ảo.

Ngay sau khi phát hiện ra các chiến dịch tấn công này, Microsoft đã làm việc với các nhà nghiên cứu để điều tra các sự cố và họ đã xác nhận các chiến dịch này đều sử dụng mô-đun khai thác BlueKeep từ bộ công cụ kiểm thử thâm nhập Metasploit.

Tuy nhiên, mô-đun khai thác được sử dụng trong các chiến dịch tấn công được tìm thấy vẫn chưa thực sự ổn định vì nó có thể dẫn đến một số sự cố. Hiện tại, Microsft đã xây dựng một bộ công cụ phát hiện hành vi và tích hợp vào Microsoft Defender ATP nhằm hỗ trợ người dùng được bảo vệ khỏi các cuộc tấn công từ mô-đun Metasploit này.

Các chiến dịch khai thác tiền ảo

Các cuộc tấn công được phát động bằng phương pháp scan port, nếu phát hiện bất kỳ máy nào mở port RDP, nó sử dụng mô-đun BlueKeep Metasploit để chạy PowerShell tải xuống một Powershell được mã hóa khác từ máy chủ của tin tặc.

Microsoft cảnh báo về các cuộc tấn công RDP nhắm vào lỗ hổng BlueKeep để phát tán phần mềm độc hại CoinMiner - CyberSec365.org

Khi các Powershell mã hóa được thực thi, chúng sẽ tải xuống tải trọng khai thác tiền ảo. Khi được khởi chạy, các tải trọng khai thác tiền ảo này sẽ kết nối với máy chủ chỉ huy và kiểm soát (C&C) tại địa chỉ IP 5[.]100[.]251[.]106.

Bên cạnh đó, Beaumont cho biết một máy chủ C&C có IP 193[.]104[.]205[.]59 cũng đang tích cực khai thác lỗ hổng BlueKeep và nhắm mục tiêu vào các nạn nhân ở Singapore.

Microsoft cảnh báo về các cuộc tấn công RDP nhắm vào lỗ hổng BlueKeep để phát tán phần mềm độc hại CoinMiner - CyberSec365.org

Dưới đây là các quốc gia có sự hiện diện của tải trọng khai thác tiền ảođược sử dụng trong các cuộc tấn công này, dựa trên các mô hình machine learning của Microsoft.

Microsoft cảnh báo về các cuộc tấn công RDP nhắm vào lỗ hổng BlueKeep để phát tán phần mềm độc hại CoinMiner - CyberSec365.org

Hiện tại, Microsoft vẫn liên tục kêu gọi người dùng cập nhật các bản vá bảo mật vì các chiến dịch này có thể nổi lên như một mối đe dọa nghiêm trọng và nó có thể bị khai thác mà không để lại dấu vết.

Một số giải pháp tạm thời

• Tắt các dịch vụ Remote Desktop Services nếu không sử dụng
• Chặn port 3389 trên Firewall
• Cập nhật bản vá cho các lỗ hổng RDP

Đại Phát (Theo GBHacker)