News
Tin tức An toàn thông tin - Tuần 4 - Tháng 7 - 2023
date
Jul 24, 2023
slug
tin-tuc-attt-tuan-4-thang-7-nam-2023
author
status
Public
tags
News
Daily
Blog
Docs
summary
Tổng hợp các tin tức an toàn thông tin trong tuần 4 tháng 7 - 2023 (24/7-29/7)
type
Post
thumbnail
category
News
updatedAt
Aug 1, 2023 10:33 AM
1. Lĩnh vực ngân hàng là mục tiêu trong các cuộc tấn công chuỗi cung ứng phần mềm mã nguồn mở2. Google Messages nhận mã hóa đầu cuối đa nền tảng với Giao thức MLS3. Phần mềm độc hại ngân hàng Casbaneiro với kỹ thuật Bypass UAC4. Hơn 400.000 thông tin đăng nhập của nhiều công ty bị đánh cắp bởi phần mềm độc hại đánh cắp thông tin5. Phần mềm độc hại Realst macOS mới đánh cắp ví tiền điện tử6. Tin tặc Lazarus chiếm quyền điều khiển máy chủ Microsoft IIS để phát tán phần mềm độc hại7. Phần mềm độc hại Nitrogen mới được đẩy qua Google Ads để tấn công ransomware8. Tin tặc nhắm mục tiêu vào Apache Tomcat Servers để thực hiện Mirai Botnet và khai thác tiền điện tử9. Phần mềm mã độc mới Android sử dụng OCR để đánh cắp thông tin xác thực từ hình ảnh
1. Lĩnh vực ngân hàng là mục tiêu trong các cuộc tấn công chuỗi cung ứng phần mềm mã nguồn mở
Các nhà nghiên cứu đã phát hiện ra cuộc tấn công chuỗi cung ứng phần mềm mã nguồn mở nhắm mục tiêu vào lĩnh vực ngân hàng, sử dụng nhiều kỹ thuật tiên tiến, nhắm mục tiêu vào các thành phần cụ thể trong trang web của ngân hàng bằng cách chèn các chức năng độc hại vào đó.
Những kẻ tấn công đã sử dụng các chiến thuật lừa đảo như tạo hồ sơ Linkedln giả mạo để có máy chủ C2 đáng tin cậy và tùy chỉnh cho từng mục tiêu, khai thác các dịch vụ hợp pháp cho các hoạt động bất hợp pháp.
Nhiều gói npm đã được báo cáo và gỡ xuống.
Trong cuộc tấn công đầu tiên, kẻ tấn công tải 1 vài package lên npm registry vào đầu tháng 4 năm 2023 bằng cách giả làm nhân viên của ngân hàng mục tiêu. Các module đi kèm với một tập lệnh cài đặt sẵn để kích hoạt trình tự lây nhiễm. Để hoàn thành kế hoạch, kẻ đe dọa đằng sau nó đã tạo một hồ sơ LinkedIn giả mạo.
Sau khi khởi chạy, tập lệnh xác định hệ điều hành máy chủ để xem đó là Windows, Linux hay macOS và tiến hành tải xuống phần mềm độc hại giai đoạn hai từ một máy chủ từ xa bằng cách sử dụng tên miền phụ trên Azure kết hợp tên của ngân hàng được đề cập .
Kẻ tấn công đã khéo léo sử dụng các tên miền phụ CDN của Azure để phân phối hiệu quả payload giai đoạn hai. Chiến thuật này đặc biệt thông minh vì nó bỏ qua các phương pháp danh sách từ chối truyền thống, do trạng thái của Azure là một dịch vụ hợp pháp.
Payload giai đoạn hai được sử dụng trong cuộc xâm nhập là Havoc , một framework C2 mã nguồn mở nằm trong tầm ngắm của các tác nhân độc hại đang tìm cách vượt qua sự phát hiện bắt nguồn từ việc sử dụng Cobalt Strike, Sliver và Brute Ratel.
Trong một cuộc tấn công không liên quan được phát hiện vào tháng 2 năm 2023 nhắm vào một ngân hàng khác, kẻ tấn công đã tải lên 1 npm package được thiết kế tỉ mỉ để chèn vào trang web của ngân hàng nạn nhân và cho đến khi nó được kích hoạt.
Cụ thể, nó được thiết kế để bí mật chặn dữ liệu đăng nhập và lọc thông tin chi tiết sang cơ sở hạ tầng do tác nhân kiểm soát.
Công ty cho biết: “An ninh chuỗi cung ứng xoay quanh việc bảo vệ toàn bộ quá trình tạo và phân phối phần mềm, từ giai đoạn phát triển ban đầu cho đến khi phân phối cho người dùng cuối”.
"Khi một package mã nguồn mở độc hại xâm nhập vào hệ thống, về cơ bản, đó là một sự vi phạm tức thời – khiến mọi biện pháp đối phó tiếp theo trở nên vô hiệu. Nói cách khác, thiệt hại đã xảy ra."
Sự phát triển diễn ra khi nhóm tội phạm mạng nói tiếng Nga RedCurl đã xâm nhập vào một ngân hàng lớn giấu tên của Nga và một công ty Úc vào tháng 11 năm 2022 và tháng 5 năm 2023 để thu thập bí mật công ty và thông tin nhân viên như một phần của chiến dịch lừa đảo tinh vi.
"Trong bốn năm rưỡi qua, Red Curl đã thực hiện ít nhất 34 cuộc tấn công vào các công ty từ Anh, Đức, Canada, Na Uy, Ukraine và Úc
"Hơn một nửa số cuộc tấn công - 20 - rơi vào Nga. Trong số các nạn nhân của gián điệp mạng là các công ty xây dựng, tài chính, tư vấn, nhà bán lẻ, ngân hàng, bảo hiểm và các tổ chức pháp lý."
Các tổ chức tài chính cũng đã phải hứng chịu các cuộc tấn công sử dụng bộ công cụ web-inject có tên là drIBAN để thực hiện các giao dịch trái phép từ máy tính của nạn nhân theo cách phá vỡ cơ chế xác minh danh tính và chống gian lận được các ngân hàng áp dụng.
"Chức năng cốt lõi của drIBAN là công cụ ATS (Automatic Transfer System)"
"ATS là một loại web inject làm thay đổi các giao dịch chuyển khoản ngân hàng hợp pháp đang được thực hiện bởi người dùng, thay đổi người thụ hưởng và chuyển tiền vào tài khoản ngân hàng bất hợp pháp do TA hoặc các chi nhánh kiểm soát, sau đó chịu trách nhiệm xử lý và đánh cắp tiền bạc."
Nguồn 🔗 TheHackerNews
2. Google Messages nhận mã hóa đầu cuối đa nền tảng với Giao thức MLS
Google đã thông báo dự định bổ sung hỗ trợ cho Message Layer Security ( MLS ) cho dịch vụ Tin nhắn dành cho Android và việc triển khai thông số kỹ thuật mã nguồn mở.
Hầu hết các nền tảng nhắn tin dành cho người tiêu dùng hiện đại (bao gồm cả Google Messages) đều hỗ trợ mã hóa đầu cuối, nhưng người dùng ngày nay bị hạn chế giao tiếp với những người liên hệ sử dụng cùng một nền tảng.
Sự phát triển diễn ra khi Internet Engineering Task Force (IETF) phát hành thông số kỹ thuật cốt lõi của giao thức Message Layer Security (MLS) dưới dạng Request for Comments ( RFC 9420 ).
Một số công ty lớn khác đã giảm bớt gánh nặng cho giao thức này là Amazon Web Services (AWS) Wickr, Cisco, Cloudflare, The Matrix.org Foundation, Mozilla, Phoenix R&D và Wire. Không có Apple iMessage.
MLS là một lớp bảo mật dành cho mã hóa đầu cuối, tạo điều kiện thuận lợi cho khả năng tương tác giữa các nền tảng và dịch vụ nhắn tin. Được IETF phê duyệt để xuất bản thành một tiêu chuẩn vào tháng 3 năm 2023.
MLS được xây dựng dựa trên các giao thức bảo mật hiện tại. Giống như giao thức Double Ratchet được sử dụng rộng rãi , MLS cho phép hoạt động không đồng bộ và cung cấp các tính năng bảo mật nâng cao chẳng hạn như bảo mật sau khi thỏa hiệp. Và, giống như TLS 1.3 , MLS cung cấp khả năng xác thực mạnh mẽ.
Trung tâm của MLS là Continuous Group Key Agreement (CGKA) cho phép nhiều khách hàng nhắn tin với một khóa dùng chung phục vụ cho các nhóm có quy mô từ hai đến hàng nghìn người theo cách cung cấp đảm bảo bí mật, bất kể các cá nhân là ai. tham gia và rời khỏi cuộc trò chuyện nhóm.
Chức năng cốt lõi của MLS là trao đổi khóa được xác thực nhóm liên tục (AKE). Giống như các giao thức trao đổi khóa được xác thực khác (chẳng hạn như TLS), những người tham gia giao thức đồng ý về một giá trị bí mật chung và mỗi người tham gia có thể xác minh danh tính của những người tham gia khác.
"Bí mật đó sau đó có thể được sử dụng để bảo vệ các tin nhắn được gửi từ một người tham gia trong nhóm tới những người tham gia khác bằng cách sử dụng lớp khung MLS hoặc có thể được xuất để sử dụng với các giao thức khác. MLS cung cấp nhóm AKE theo nghĩa là có thể có nhiều hơn hai người tham gia trong giao thức và nhóm liên tục AKE theo nghĩa là tập hợp những người tham gia trong giao thức có thể thay đổi theo thời gian."
Membership đang phát triển được thực hiện bằng một cấu trúc dữ liệu được gọi là cây ratcheting không đồng bộ, được sử dụng để lấy các bí mật được chia sẻ giữa một nhóm khách hàng. Mục tiêu là có thể xóa bất kỳ thành viên nào một cách hiệu quả, đạt được bảo mật sau khi thỏa hiệp bằng cách ngăn không cho các tin nhắn của nhóm bị chặn ngay cả khi một thành viên đã bị xâm phạm vào một thời điểm nào đó trong quá khứ.
Mặt khác, chuyển tiếp bí mật, cho phép các tin nhắn được gửi tại một thời điểm nhất định được bảo mật khi đối mặt với sự thỏa hiệp sau này của một thành viên nhóm, được cung cấp bằng cách xóa các khóa riêng khỏi các phiên bản trước của cây ratchet, do đó ngăn chặn bí mật trong các nhóm cũ bị tiết lộ.
Mozilla, hy vọng sẽ thấy tiêu chuẩn hóa API Web để tận dụng giao thức trực tiếp thông qua trình duyệt web, cho biết MLS được thiết kế sao cho "mọi người đều kiểm tra tính hợp pháp của các thành viên mới tham gia nhóm: không có nơi nào để che giấu."
Nguồn 🔗 TheHackerNews
3. Phần mềm độc hại ngân hàng Casbaneiro với kỹ thuật Bypass UAC
Các tác nhân đe dọa có động cơ tài chính đằng sau dòng phần mềm độc hại ngân hàng Casbaneiro đã được quan sát thấy đang sử dụng kỹ thuật bypass User Account Control ( UAC ) để có được các đặc quyền quản trị đầy đủ trên máy, một dấu hiệu cho thấy tác nhân đe dọa đang phát triển chiến thuật của chúng để tránh bị phát hiện và thực thi mã độc trên các tài sản bị xâm phạm.
Họ vẫn tập trung nhiều vào các tổ chức tài chính Mỹ Latinh, nhưng những thay đổi trong kỹ thuật của họ cũng gây rủi ro đáng kể cho các tổ chức tài chính đa khu vực.
Casbaneiro (còn được gọi là Metamorfo và Ponteiro) được biết đến nhiều nhất với trojan ngân hàng, lần đầu tiên xuất hiện trong các chiến dịch thư rác email hàng loạt nhắm vào lĩnh vực tài chính Mỹ Latinh vào năm 2018.
Chuỗi lây nhiễm thường bắt đầu bằng một email lừa đảo trỏ đến một tệp đính kèm khi được khởi chạy sẽ kích hoạt một loạt các bước dẫn đến việc triển khai phần mềm độc hại ngân hàng, cùng với các tập lệnh tận dụng các kỹ thuật living-off-the-land (LotL) để lấy dấu vân tay của máy chủ và thu thập siêu dữ liệu hệ thống.
Cũng được tải xuống ở giai đoạn này là một tệp nhị phân có tên là Horabot được thiết kế để lây nhiễm nội bộ cho những nhân viên không nghi ngờ khác của tổ chức bị vi phạm.
Điều này làm tăng thêm độ tin cậy cho email được gửi đi, vì không có điểm bất thường rõ ràng nào trong tiêu đề email (tên miền bên ngoài đáng ngờ), điều này thường kích hoạt các giải pháp bảo mật email hành động và giảm thiểu. Các email bao gồm cùng một tệp đính kèm PDF được sử dụng để thỏa hiệp các máy chủ nạn nhân trước đó và do đó, chuỗi được thực thi một lần nữa.
Cuộc tấn công bắt đầu bằng một email lừa đảo trực tuyến được nhúng liên kết tới tệp HTML chuyển hướng mục tiêu để tải xuống tệp RAR, một sai lệch so với việc sử dụng tệp đính kèm PDF độc hại khi tải xuống liên kết đến một tệp ZIP.
Thay đổi lớn thứ hai đối với phương thức hoạt động liên quan đến việc sử dụng fodhelper.exe để vượt qua UAC và đạt được mức độ toàn vẹn cao.
Những kẻ tấn công Casbaneiro tạo một thư mục giả trên C:\Windows[space]\system32 để sao chép tệp thực thi fodhelper.exe, mặc dù đường dẫn được chế tạo đặc biệt được cho là chưa bao giờ được sử dụng trong vụ xâm nhập.
Có thể kẻ tấn công đã triển khai thư mục giả để vượt qua các phát hiện AV hoặc tận dụng thư mục đó để tải các tệp DLL phụ với các tệp nhị phân do Microsoft ký để bỏ qua UAC.
Cách tiếp cận thư mục đáng tin cậy giả được phát hiện gần đây với phương pháp được sử dụng trong các chiến dịch cung cấp trình tải phần mềm độc hại có tên DBatLoader cũng như các trojan truy cập từ xa như Warzone RAT (còn gọi là Ave Maria).
Nguồn 🔗 TheHackerNews
4. Hơn 400.000 thông tin đăng nhập của nhiều công ty bị đánh cắp bởi phần mềm độc hại đánh cắp thông tin
Phân tích gần 20 triệu nhật ký phần mềm độc hại đánh cắp thông tin được bán trên các trang web tối và các kênh Telegram tiết lộ rằng chúng đã xâm nhập đáng kể vào môi trường kinh doanh.
Phần mềm đánh cắp thông tin là phần mềm độc hại đánh cắp dữ liệu được lưu trữ trong các ứng dụng như trình duyệt web, ứng dụng email, trình nhắn tin, ví tiền điện tử, FTP client và dịch vụ trò chơi. Thông tin bị đánh cắp được đóng gói thành các kho lưu trữ gọi là 'logs', sau đó được tải trở lại tác nhân đe dọa để sử dụng trong các cuộc tấn công hoặc bán trên thị trường tội phạm mạng.
Các dòng đánh cắp thông tin nổi bật nhất là Redline, Raccoon, Titan, Aurora và Vidar, được cung cấp cho bọn tội phạm mạng theo mô hình dựa trên đăng ký, cho phép chúng thực hiện các chiến dịch phần mềm độc hại đánh cắp dữ liệu từ các thiết bị bị nhiễm.
Mặc dù những kẻ đánh cắp thông tin chủ yếu nhắm mục tiêu vào những người dùng internet bất cẩn tải xuống phần mềm, chẳng hạn như crack, warez, trò chơi gian lận và phần mềm giả mạo từ các nguồn đáng ngờ, nhưng nó cũng có tác động lớn đến môi trường doanh nghiệp.
Điều này là do nhân viên sử dụng thiết bị cá nhân cho công việc hoặc truy cập nội dung cá nhân từ máy tính làm việc, dẫn đến nhiều trường hợp lây nhiễm kẻ đánh cắp thông tin lấy cắp thông tin đăng nhập doanh nghiệp và cookie xác thực.
Báo cáo của Flare, có khoảng 375.000 nhật ký chứa quyền truy cập vào các ứng dụng kinh doanh như Salesforce, Hubspot, Quickbooks, AWS, GCP, Okta và DocuSign.
- 179.000 thông tin đăng nhập AWS Console
- 2.300 thông tin đăng nhập Google Cloud
- 64.500 thông tin đăng nhập DocuSign
- 15.500 thông tin đăng nhập QuickBooks
- 23.000 thông tin đăng nhập Salesforce
- 66.000 thông tin đăng nhập CRM
Ngoài những điều trên, còn có khoảng 48.000 nhật ký bao gồm quyền truy cập vào "okta.com", một dịch vụ quản lý danh tính cấp doanh nghiệp được các tổ chức sử dụng để xác thực người dùng tại chỗ và đám mây.
Hầu hết các nhật ký này (74%) được đăng trên các kênh Telegram, trong khi 25% được xem trên các thị trường nói tiếng Nga, như 'Russian Market'.
Báo cáo của Flare: “Các nhật ký chứa quyền truy cập của công ty đã được thể hiện quá mức trên các kênh Telegram VIP và Russian Market cho thấy rằng các phương pháp mà kẻ tấn công sử dụng để thu thập nhật ký có thể vô tình hoặc cố ý có nhiều mục tiêu của công ty hơn”.
"Ngoài ra, các kênh Telegram công khai có thể cố tình đăng nhật ký giá trị thấp hơn, để dành nhật ký giá trị cao cho khách hàng trả tiền."
Nguồn nhật ký chứa thông tin tài khoản doanh nghiệp (Flare)
Flare cũng tìm thấy hơn 200.000 nhật ký đánh cắp chứa thông tin đăng nhập OpenAI, gấp đôi số lượng mà Group-IB đã báo cáo gần đây và tạo ra nguy cơ rò rỉ thông tin độc quyền, chiến lược kinh doanh nội bộ, mã nguồn.
Thông tin đăng nhập của công ty được coi là nhật ký "tier-1", khiến chúng có giá trị đặc biệt cao trong thế giới ngầm của tội phạm mạng, nơi chúng được bán trên các kênh hoặc diễn đàn Telegram riêng như Exploit và XSS.
Giá trị đó có được từ lợi nhuận tiềm năng mà tội phạm mạng có thể kiếm được bằng cách tận dụng thông tin đăng nhập bị xâm phạm để truy cập các ứng dụng CRM, RDP, VPN và SaaS, sau đó sử dụng quyền truy cập đó để triển khai các backdoor, mã độc tống tiền và các phần mềm độc hại khác.
"Dựa trên bằng chứng từ diễn đàn web đen Exploit, có khả năng các nhà môi giới truy cập ban đầu đang sử dụng nhật ký của kẻ đánh cắp làm nguồn chính để giành được chỗ đứng ban đầu cho môi trường công ty mà sau đó có thể được bán đấu giá trên diễn đàn web đen cấp cao nhất"
Các doanh nghiệp nên giảm thiểu nguy cơ lây nhiễm phần mềm độc hại đánh cắp thông tin bằng cách áp đặt việc sử dụng trình quản lý mật khẩu, thực thi xác thực đa yếu tố và đặt các biện pháp kiểm soát nghiêm ngặt đối với việc sử dụng thiết bị cá nhân.
Hơn nữa, nhân viên nên được đào tạo để xác định và tránh các kênh lây nhiễm phổ biến như Quảng cáo Google độc hại, video YouTube và bài đăng trên Facebook.
Nguồn 🔗 BleepingComputer
5. Phần mềm độc hại Realst macOS mới đánh cắp ví tiền điện tử
Phần mềm độc hại mới Realst nhắm vào các máy tính Apple, 1 số biến thể mới nhất hỗ trọ cho macOS 14 Sonoma vẫn đang được phát triển.
Phần mềm độc hại được phân phối cho cả người Windows và macOS dưới dạng trò chơi Blockchain giả sử dụng tên như Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles và SaintLegend.
Những trò chơi này được quảng cáo trên mạng xã hội, những kẻ đe dọa sử dụng tin nhắn trực tiếp để chia sẻ mã truy cập cần thiết để tải xuống ứng dụng trò chơi giả mạo từ các trang web được liên kết.
Mã truy cập cho phép các tác nhân đe dọa kiểm tra những đối tượng mà chúng muốn nhắm mục tiêu và tránh các nhà nghiên cứu bảo mật muốn tiết lộ hành vi nguy hiểm.
Trên thực tế, trình cài đặt trò chơi đã lây nhiễm phần mềm độc hại đánh cắp thông tin vào thiết bị, chẳng hạn như RedLine Stealer trên Windows và Realst trên macOS. Loại phần mềm độc hại này sẽ đánh cắp dữ liệu từ trình duyệt web và ứng dụng ví tiền điện tử của nạn nhân rồi gửi lại cho những kẻ đe dọa.
Một trong những trò chơi giả mạo cài đặt Realst
SentinelOne đã phân tích 59 mẫu Mach-O của phần mềm độc hại Realst được tìm thấy bởi iamdeadlyz, tập trung vào các phiên bản macOS của nó và tìm thấy một số khác biệt rõ ràng.
Điều này cho phép các nhà nghiên cứu xác định 16 biến thể của phần mềm độc hại macOS, một dấu hiệu của sự phát triển tích cực và nhanh chóng.
Phần mềm độc hại Realst Mac
Khi tải xuống trò chơi giả mạo từ trang web của kẻ đe dọa, họ sẽ được cung cấp phần mềm độc hại Windows hoặc macOS, tùy thuộc vào hệ điều hành của họ.
Phần mềm độc hại Windows thường là RedLine Stealer, nhưng đôi khi là các phần mềm độc hại khác như Raccoon Stealer và AsyncRAT.
Đối với người dùng Mac, các trang web sẽ phân phối phần mềm độc hại đánh cắp thông tin Realst, phần mềm này nhắm mục tiêu các thiết bị Mac dưới dạng trình cài đặt PKG hoặc tệp đĩa DMG chứa tệp Mach-O độc hại nhưng không có trò chơi thực hoặc phần mềm giải mã khác.
Các tệp trong kho lưu trữ đã tải xuống (SentinelOne)
Tệp "game.py" là trình đánh cắp thông tin đa nền tảng của Firefox và "installer.py" là "chainbreaker", một trình trích xuất mật khẩu, khóa và chứng chỉ cơ sở dữ liệu Keychain macOS nguồn mở.
SentinelOne đã phát hiện ra rằng một số mẫu được mã hóa bằng cách sử dụng ID nhà phát triển Apple hợp lệ (hiện đã bị thu hồi) hoặc chữ ký đặc biệt để vượt qua sự phát hiện của các công cụ bảo mật.
Các biến thể
Tất cả 16 biến thể Realst riêng biệt được SentinelOne phân tích đều khá giống nhau về hình thức và chức năng, mặc dù chúng sử dụng các bộ lệnh gọi API khác nhau.
Trong mọi trường hợp, phần mềm độc hại nhắm mục tiêu Firefox, Chrome, Opera, Brave, Vivaldi và ứng dụng Telegram, nhưng không có mẫu Realst nào được phân tích nhắm mục tiêu Safari.
SentinelOne giải thích trong báo cáo : “Hầu hết các biến thể cố gắng lấy mật khẩu của người dùng thông qua giả mạo osascript và AppleScript và thực hiện kiểm tra sơ bộ để đảm bảo rằng thiết bị chủ không phải là máy ảo thông qua sysctl -n hw.model” .
"Dữ liệu đã thu thập được đưa vào một thư mục có tên đơn giản là "data" có thể xuất hiện ở một trong số các vị trí tùy thuộc vào phiên bản của phần mềm độc hại: trong thư mục chính của người dùng, trong thư mục làm việc của phần mềm độc hại hoặc trong thư mục có tên sau trò chơi"
16 biến thể riêng biệt được phân loại thành bốn họ chính dựa trên các đặc điểm của chúng, đó là A, B, C và D.
A có nhiều mẫu đang được lưu hành nhất, sử dụng " AppleScript giả mạo " để lừa nạn nhân nhập mật khẩu quản trị viên của họ trên hộp thoại.
Mã để tạo hộp thoại đánh cắp mật khẩu (SentinelOne)
B tương tự như A và cũng sử dụng giả mạo mật khẩu nhưng chia các chuỗi có liên quan thành các đơn vị nhỏ hơn để tránh bị phát hiện tĩnh đơn giản.
C cũng có một tham chiếu đến bộ ngắt chuỗi trong chính tệp nhị phân, cho phép nó trích xuất dữ liệu từ cơ sở dữ liệu Keychain của hệ thống.
Tham chiếu bộ ngắt chuỗi trong họ nhị phân C (SentinelOne)
D sử dụng cửa sổ Terminal để nhắc nạn nhân nhập mật khẩu của họ, mật khẩu này được sử dụng để kết xuất thông tin đăng nhập đã lưu được lưu trữ trong Keychain.
Cài đặt pycryptodome (SentinelOne)
Trong một số trường hợp, D tận dụng mật khẩu có được để có được đặc quyền quản trị viên trên hệ thống và cài đặt thư viện mật mã Python "pycryptodome", cũng được sử dụng để kết xuất thông tin xác thực từ Keychain.
Khoảng 30% mẫu từ các dòng A, B và D chứa các chuỗi nhắm mục tiêu đến macOS 14 Sonoma sắp ra mắt.
Tham chiếu Sonoma trong mã (SentinelOne)
Sự hiện diện của các chuỗi đó cho thấy phần mềm độc hại đã chuẩn bị cho bản phát hành HĐH máy tính để bàn sắp tới của Apple, đảm bảo rằng Realst sẽ tương thích và hoạt động như mong đợi.
Người dùng MacOS nên thận trọng với các trò chơi blockchain, vì những người phân phối Realst sử dụng các kênh Discord và tài khoản Twitter "đã được xác minh" để tạo ra một hình ảnh sai lệch về tính hợp pháp.
Hơn nữa, vì những trò chơi này nhắm mục tiêu cụ thể đến người dùng tiền điện tử, nên mục tiêu chính có thể là đánh cắp ví tiền điện tử và tiền trong đó, dẫn đến các cuộc tấn công.
Nguồn 🔗 BleepingComputer
6. Tin tặc Lazarus chiếm quyền điều khiển máy chủ Microsoft IIS để phát tán phần mềm độc hại
Nhóm tin tặc Lazarus do nhà nước bảo trợ của Bắc Triều Tiên đang xâm phạm các máy chủ web Windows Internet Information Service (IIS) để chiếm quyền điều khiển nhằm phát tán phần mềm độc hại.
IIS là giải pháp máy chủ web của Microsoft được sử dụng để lưu trữ các trang web hoặc dịch vụ ứng dụng, chẳng hạn như Microsoft Exchange's Outlook trên Web.
Các nhà phân tích bảo mật Hàn Quốc tại ASEC trước đây đã báo cáo rằng Lazarus đang nhắm mục tiêu các máy chủ IIS để có quyền truy cập ban đầu vào mạng công ty. Nhóm đe dọa cũng tận dụng các dịch vụ IIS được bảo vệ kém để phát tán phần mềm độc hại .
Ưu điểm chính của kỹ thuật này là dễ dàng lây nhiễm cho khách truy cập trang web hoặc người dùng dịch vụ được lưu trữ trên máy chủ IIS bị vi phạm thuộc sở hữu của các tổ chức đáng tin cậy.
Các cuộc tấn công vào Hàn Quốc
Trong các cuộc tấn công gần đây được các nhà phân tích của ASEC quan sát thấy, Lazarus đã xâm phạm các trang web hợp pháp của Hàn Quốc để thực hiện các cuộc tấn công 'Watering Hole' đối với khách truy cập sử dụng phiên bản dễ bị tấn công của phần mềm INISAFE CrossWeb EX V6.
Nhiều tổ chức công cộng và tư nhân ở Hàn Quốc sử dụng phần mềm đặc biệt này cho các giao dịch tài chính điện tử, chứng nhận bảo mật, ngân hàng trực tuyến.
Lỗ hổng INISAFE trước đây đã được cả Symantec và ASEC ghi lại vào năm 2022, giải thích rằng lỗ hổng này đã bị khai thác bằng cách sử dụng tệp đính kèm email HTML vào thời điểm đó.
Một cuộc tấn công bắt đầu khi nhận được tệp HTM độc hại, có thể là liên kết độc hại trong email hoặc được tải xuống từ web. Tệp HTM được sao chép vào tệp DLL có tên scskapplink.dll và được đưa vào phần mềm quản lý hệ thống hợp pháp INISAFE Web EX Client.
Khai thác lỗ hổng lấy payload 'SCSKAppLink.dll' độc hại từ máy chủ web IIS đã bị xâm phạm trước cuộc tấn công để sử dụng làm máy chủ phân phối phần mềm độc hại.
URL tải xuống cho 'SCSKAppLink.dll' được xác định là máy chủ web IIS nói trên.
Điều này cho thấy rằng tác nhân đe dọa đã tấn công và giành quyền kiểm soát các máy chủ web IIS trước khi sử dụng chúng làm máy chủ để phân phối phần mềm độc hại.
ASEC đã không phân tích payload cụ thể nhưng cho biết đó có khả năng là một trình tải xuống phần mềm độc hại được thấy trong các chiến dịch Lazarus gần đây khác.
Tiếp theo, Lazarus sử dụng phần mềm độc hại leo thang đặc quyền 'JuicyPotato' ('usopriv.exe') để có quyền truy cập cấp cao hơn vào hệ thống bị xâm nhập.
JuicyPotato đang hoạt động (ASEC)
JuicyPotato được sử dụng để thực thi trình tải phần mềm độc hại thứ hai ('usoshared.dat') giải mã các tệp dữ liệu đã tải xuống và thực thi chúng vào bộ nhớ để trốn tránh AV.
Đang tải tệp thực thi được giải mã trong bộ nhớ (ASEC)
ASEC khuyến nghị người dùng NISAFE CrossWeb EX V6 cập nhật phần mềm lên phiên bản mới nhất vì việc khai thác các lỗ hổng đã biết của Lazarus trong sản phẩm đã được tiến hành ít nhất là từ tháng 4 năm 2022.
Người dùng nên nâng cấp lên phiên bản 3.3.2.41 trở lên và chỉ ra các hướng dẫn khắc phục được đăng bốn tháng trước, nêu bật mối đe dọa Lazarus.
Các máy chủ ứng dụng của Microsoft đang trở thành mục tiêu phổ biến để tin tặc sử dụng trong việc phân phối phần mềm độc hại, có thể là do tính chất đáng tin cậy của chúng.
Mới tuần trước, CERT-UA và Microsoft đã báo cáo rằng các tin tặc Turla của Nga đang sử dụng các máy chủ Microsoft Exchange bị xâm nhập để cung cấp các cửa hậu cho các mục tiêu của chúng.
Nguồn 🔗 BleepingComputer
7. Phần mềm độc hại Nitrogen mới được đẩy qua Google Ads để tấn công ransomware
Chiến dịch phần mềm độc hại truy cập ban đầu 'Nitrogen' mới sử dụng quảng cáo tìm kiếm của Google và Bing để quảng cáo các trang web phần mềm giả mạo lây nhiễm cho người dùng cả tin với payload Cobalt Strike và ransomware.
Mục tiêu của phần mềm độc hại Nitrogen là cung cấp cho các tác nhân đe dọa quyền truy cập ban đầu vào mạng công ty, cho phép chúng thực hiện hành vi đánh cắp dữ liệu, gián điệp mạng và cuối cùng là triển khai phần mềm tống tiền BlackCat/ALPHV.
Sophos đã phát hành một báo cáo về chiến dịch Nitrogen, trình bày chi tiết cách chiến dịch này nhắm mục tiêu chủ yếu vào các tổ chức công nghệ và phi lợi nhuận ở Bắc Mỹ, mạo danh phần mềm phổ biến như AnyDesk, Cisco AnyConnect VPN, TreeSize Free và WinSCP.
Trend Micro là công ty đầu tiên ghi lại hoạt động này vào đầu tháng, khi thấy các quảng cáo WinSCP dẫn đến việc lây nhiễm mã độc tống tiền BlackCat/ALPHV trên mạng của nạn nhân.
Tuy nhiên, báo cáo đó tập trung vào giai đoạn sau lây nhiễm và thiếu các IoC mở rộng (Các chỉ số thỏa hiệp) do chỉ dựa trên một sự cố phản hồi duy nhất.
Chiến dịch phần mềm độc hại Nitrogen
Chiến dịch phần mềm độc hại Nitrogen bắt đầu bằng việc một người thực hiện tìm kiếm trên Google hoặc Bing cho các ứng dụng phần mềm phổ biến khác nhau.
Phần mềm được coi là mồi nhử cho chiến dịch phần mềm độc hại Nitrogen bao gồm:
- AnyDesk: (ứng dụng máy tính từ xa)
- WinSCP: (SFTP/FTP client cho Windows)
- Cisco AnyConnect: (bộ VPN)
- TreeSize Free: (trình quản lý và tính toán dung lượng ổ đĩa)
Tùy thuộc vào tiêu chí nhắm mục tiêu, công cụ tìm kiếm sẽ hiển thị quảng cáo quảng bá phần mềm được tìm kiếm.
Nhấp vào liên kết sẽ đưa khách truy cập đến các trang lưu trữ WordPress bị xâm nhập bắt chước các trang tải xuống phần mềm hợp pháp cho ứng dụng cụ thể.
Chỉ những khách truy cập ở các khu vực địa lý cụ thể mới được chuyển hướng đến các trang web lừa đảo, trong khi các lượt truy cập trực tiếp vào các URL độc hại sẽ kích hoạt chuyển hướng nhanh đến video YouTube.
Các tuyến chuyển hướng khác nhau cho quảng cáo trên công cụ tìm kiếm
Từ các trang web giả mạo đó, người dùng tải xuống trình cài đặt ISO bị trojan hóa ("install.exe"), chứa và tải xuống tệp DLL độc hại ("msi.dll").
msi.dll là trình cài đặt cho phần mềm độc hại truy cập ban đầu Nitrogen có tên nội bộ là "NitrogenInstaller", phần mềm này sẽ cài đặt thêm ứng dụng để tránh bị nghi ngờ và gói Python độc hại.
Trang web giả mạo bắt chước cổng tải xuống của Cisco
NitrogenInstaller cũng tạo khóa chạy registry có tên là "Python" để duy trì quyền truy cập, trỏ đến tệp nhị phân độc hại ("pythonw.exe") chạy cứ sau 5 phút.
Đã thêm khóa đăng ký để duy trì quyền truy cập
Thành phần Python sẽ thực thi "NitrogenStager" ("python.311.dll"), chịu trách nhiệm thiết lập liên lạc với C2 của tác nhân đe dọa và khởi chạy vỏ Meterpreter và Cobalt Strike Beacons lên hệ thống của nạn nhân.
Trong một số trường hợp được các nhà phân tích của Sophos quan sát thấy, những kẻ tấn công đã chuyển sang hành động sau khi tập lệnh Meterpreter được thực thi trên hệ thống đích, thực thi các lệnh thủ công để truy xuất các tệp ZIP bổ sung và môi trường Python 3.
Cái sau là cần thiết để thực thi Cobalt Strike trong bộ nhớ, vì NitrogenStager không thể chạy tập lệnh Python.
Toàn bộ chuỗi lây nhiễm
Sophos cho biết do đã phát hiện và ngăn chặn thành công các cuộc tấn công Nitrogen đã quan sát được nên họ chưa xác định được mục tiêu của kẻ đe dọa, nhưng chuỗi lây nhiễm chỉ ra việc dàn dựng các hệ thống bị xâm nhập để triển khai ransomware.
Trend Micro trước đó đã báo cáo rằng chuỗi tấn công này đã dẫn đến việc triển khai mã độc tống tiền BlackCat trong ít nhất một trường hợp.
Chiến dịch này không phải là lần đầu tiên các nhóm ransomware lạm dụng quảng cáo của công cụ tìm kiếm để có quyền truy cập ban đầu vào mạng công ty, với cả hoạt động của ransomware Royal và Clop đều sử dụng chiến thuật này trong quá khứ.
Người dùng nên tránh nhấp vào kết quả "được quảng cáo" trong công cụ tìm kiếm khi tải xuống phần mềm và thay vào đó chỉ tải xuống từ trang web chính thức của nhà phát triển.
Ngoài ra, hãy cảnh giác với bất kỳ bản tải xuống nào sử dụng tệp ISO cho phần mềm, vì đó là phương pháp không phổ biến để phân phối phần mềm Windows hợp pháp, phần mềm này thường có dạng tệp lưu trữ .exe hoặc .zip.
Nguồn 🔗 BleepingComputer
8. Tin tặc nhắm mục tiêu vào Apache Tomcat Servers để thực hiện Mirai Botnet và khai thác tiền điện tử
Các máy chủ Apache Tomcat định cấu hình sai và bảo mật kém đang được nhắm mục tiêu như một phần của chiến dịch mới được thiết kế để cung cấp phần mềm độc hại botnet Mirai và các công cụ khai thác tiền điện tử.
Aqua đã phát hiện hơn 800 cuộc tấn công nhằm vào máy chủ Tomcat của họ trong khoảng thời gian hai năm, với 96% các cuộc tấn công có liên quan đến botnet Mirai.
Trong số những nỗ lực tấn công này, 20% (hoặc 152) đòi hỏi phải sử dụng web shell script có tên "neww" bắt nguồn từ 24 địa chỉ IP duy nhất, với 68% trong số đó bắt nguồn từ một địa chỉ IP duy nhất (104.248.157[.]218 ).
Tác nhân đe dọa đã quét các máy chủ Tomcat và tiến hành một cuộc tấn công brute force chống lại nó, cố gắng giành quyền truy cập vào trình quản lý ứng dụng web Tomcat bằng cách thử các tổ hợp thông tin đăng nhập khác nhau được liên kết với nó.
Sau khi giành được chỗ đứng thành công, các tác nhân đe dọa triển khai tệp WAR chứa lớp web shell độc hại có tên 'cmd.jsp', được thiết kế để lắng nghe các yêu cầu từ xa và thực thi các lệnh tùy ý trên máy chủ Tomcat.
Điều này bao gồm tải xuống và chạy tập lệnh shell có tên "neww", sau đó tệp sẽ bị xóa bằng cách sử dụng lệnh Linux " rm -rf ".
Tập lệnh chứa các liên kết để tải xuống 12 tệp nhị phân và mỗi tệp phù hợp với một kiến trúc cụ thể theo hệ thống đã bị tác nhân đe dọa tấn công.
Phần mềm độc hại ở giai đoạn cuối là một biến thể của botnet Mirai khét tiếng sử dụng các máy chủ bị nhiễm để dàn dựng các cuộc tấn công từ chối dịch vụ (DDoS) phân tán.
Sau khi kẻ đe dọa giành được quyền truy cập vào trình quản lý ứng dụng web bằng thông tin xác thực hợp lệ, chúng sẽ tận dụng nền tảng này để tải lên một web shell được ngụy trang trong tệp WAR. Tiếp theo, kẻ đe dọa thực hiện lệnh từ xa và khởi động cuộc tấn công.
Để giảm thiểu chiến dịch đang diễn ra, các tổ chức nên bảo mật môi trường của mình và tuân theo quy trình bảo mật thông tin xác thực để ngăn chặn các cuộc tấn công brute force.
Sự phát triển này diễn ra khi AhnLab Security Emergency Response Center (ASEC) báo cáo rằng các máy chủ MS-SQL được quản lý kém đang bị xâm phạm để triển khai phần mềm độc hại rootkit có tên là Purple Fox , hoạt động như một trình tải để tải phần mềm độc hại bổ sung như công cụ khai thác tiền điện tử.
Những phát hiện này cũng chứng minh bản chất sinh lợi của hoạt động khai thác tiền điện tử, vốn đã chứng kiến mức tăng 399% so với năm ngoái, với 332 triệu cuộc tấn công tiền điện tử được ghi nhận trong nửa đầu năm 2023 trên toàn cầu, theo SonicWall .
Báo cáo của ASEC
Nguồn 🔗 TheHackerNews
9. Phần mềm mã độc mới Android sử dụng OCR để đánh cắp thông tin xác thực từ hình ảnh
Hai loại phần mềm độc hại Android mới có tên 'CherryBlos' và 'FakeTrade' đã được phát hiện trên Google Play, nhằm mục đích đánh cắp thông tin xác thực và tiền điện tử hoặc thực hiện các trò gian lận.
Các chủng phần mềm độc hại mới được phát hiện bởi Trend Micro, đã quan sát thấy cả hai đều sử dụng cùng một cơ sở hạ tầng mạng và chứng chỉ, cho thấy cùng một tác nhân đe dọa đã tạo ra chúng.
Các ứng dụng độc hại sử dụng nhiều kênh phân phối khác nhau, bao gồm mạng xã hội, trang web lừa đảo và ứng dụng mua sắm lừa đảo trên Google Play, cửa hàng ứng dụng chính thức của Android.
Phần mềm độc hại CherryBlos
Phần mềm độc hại CherryBlos lần đầu tiên được phát tán vào tháng 4 năm 2023, dưới dạng tệp APK (gói Android) được quảng cáo trên Telegram, Twitter và YouTube, dưới vỏ bọc là công cụ AI hoặc công cụ khai thác tiền xu.
Video YouTube quảng cáo ứng dụng nhà cung cấp dịch vụ CherryBlos (Trend Micro)
Tên được sử dụng cho các APK độc hại là GPTalk , Happy Miner , Robot999 và SynthNet, được tải xuống từ các trang web sau có tên miền phù hợp:
- chatgptc[.]io
- happyminer[.]com
- robot999[.]net
- synthnet[.]ai
Một ứng dụng Synthnet độc hại cũng đã được tải lên cửa hàng Google Play, ứng dụng này đã được tải xuống khoảng một nghìn lần trước khi bị báo cáo và xóa.
CherryBlos là đánh cắp tiền điện tử lạm dụng các quyền của dịch vụ Accessibility để tìm nạp hai tệp cấu hình từ máy chủ C2, tự động phê duyệt các quyền bổ sung và ngăn người dùng tắt ứng dụng bị trojan hóa.
CherryBlos sử dụng một loạt chiến thuật để đánh cắp thông tin đăng nhập và tài sản tiền điện tử, với chiến thuật chính là tải các giao diện người dùng giả mạo bắt chước các ứng dụng chính thức để lừa đảo lấy thông tin đăng nhập.
Tuy nhiên, có thể bật một tính năng thú vị hơn, sử dụng OCR (optical character recognition) để trích xuất văn bản từ hình ảnh và ảnh được lưu trữ trên thiết bị.
Mã phần mềm độc hại để thực hiện OCR trên hình ảnh
Ví dụ: khi thiết lập ví tiền điện tử mới, người dùng được cung cấp cụm từ/mật khẩu khôi phục bao gồm 12 từ trở lên có thể được sử dụng để khôi phục ví trên máy tính.
Sau khi hiển thị những từ này, người dùng được nhắc viết chúng ra và lưu trữ chúng ở nơi an toàn, vì bất kỳ ai có cụm từ này đều có thể sử dụng cụm từ đó để thêm ví tiền điện tử của bạn vào thiết bị và truy cập vào số tiền trong đó.
Mặc dù không nên chụp ảnh cụm từ khôi phục của bạn nhưng mọi người vẫn làm điều đó, lưu ảnh trên máy tính và thiết bị di động của họ.
Tuy nhiên, nếu tính năng phần mềm độc hại này được bật, nó có khả năng OCR hình ảnh và trích xuất cụm từ khôi phục, cho phép chúng đánh cắp ví.
Dữ liệu đã thu thập sau đó được gửi trở lại máy chủ của các tác nhân đe dọa theo định kỳ.
CherryBlos gửi ghi nhớ của nạn nhân đến C2 (Trend Micro)
Phần mềm độc hại này cũng hoạt động như một kẻ tấn công clipboard cho ứng dụng Binance bằng cách tự động chuyển địa chỉ của người nhận tiền điện tử sang địa chỉ dưới sự kiểm soát của kẻ tấn công, trong khi địa chỉ ban đầu không thay đổi đối với người dùng.
Hành vi này cho phép các tác nhân đe dọa chuyển hướng các khoản thanh toán được gửi cho người dùng đến ví của chính họ, đánh cắp số tiền được chuyển một cách hiệu quả.
Chiến dịch FakeTrade
Các nhà phân tích của Trend Micro đã tìm thấy các kết nối với một chiến dịch trên Google Play, trong đó 31 ứng dụng lừa đảo được gọi chung là "FakeTrade" đang sử dụng cùng cơ sở hạ tầng mạng C2 và chứng chỉ như các ứng dụng CherryBlos.
Các ứng dụng này sử dụng các chủ đề mua sắm hoặc chiêu trò kiếm tiền để lừa người dùng xem quảng cáo, đồng ý đăng ký trả phí hoặc nạp tiền vào ví trong ứng dụng của họ và không bao giờ cho phép họ rút tiền từ phần thưởng ảo.
Các ứng dụng sử dụng giao diện tương tự và thường nhắm mục tiêu đến người dùng ở Malaysia, Việt Nam, Indonesia, Philippines, Uganda và Mexico, trong khi hầu hết các ứng dụng này được tải lên Google Play từ năm 2021 đến năm 2022.
Một trong những ứng dụng FakeTrade được tải xuống 10.000 lần (Trend Micro)
Theo Google các ứng dụng phần mềm độc hại được báo cáo đã bị xóa khỏi Google Play.
"Chúng tôi coi trọng các khiếu nại về bảo mật và quyền riêng tư đối với các ứng dụng và nếu chúng tôi thấy rằng một ứng dụng đã vi phạm chính sách của chúng tôi, chúng tôi sẽ có hành động thích hợp", Google
Tuy nhiên, vì hàng nghìn người dùng đã tải chúng xuống nên có thể cần phải dọn dẹp thủ công trên các thiết bị bị nhiễm.
Báo cáo của Trend Micro
Nguồn 🔗 BleepingComputer