VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch phần mềm độc hại mới lây nhiễm hệ thống Windows bằng một phiên bản ảo Linux có chứa một cửa hậu có khả năng thiết lập quyền truy cập từ xa vào các máy chủ bị xâm phạm.

Chiến dịch "hấp dẫn" này có tên mã là CRON#TRAP, bắt đầu bằng một tệp lối tắt Windows độc hại (LNK) có khả năng được phát tán dưới dạng tệp ZIP thông qua email lừa đảo.


Các nhà nghiên cứu Den Iuzvyk và Tim Peck của Securonix cho biết trong một bài phân tích : "Điều khiến chiến dịch CRON#TRAP đặc biệt đáng lo ngại là phiên bản Linux giả lập được cấu hình sẵn với một cửa hậu tự động kết nối với máy chủ chỉ huy và kiểm soát (C2) do kẻ tấn công kiểm soát".

"Thiết lập này cho phép kẻ tấn công duy trì sự hiện diện bí mật trên máy của nạn nhân, dàn dựng thêm hoạt động độc hại trong môi trường ẩn, khiến các giải pháp diệt vi-rút truyền thống khó phát hiện."

Các tin nhắn lừa đảo này có nội dung là "khảo sát OneAmerica" kèm theo tệp ZIP có dung lượng 285MB, khi mở ra sẽ kích hoạt quá trình lây nhiễm.

Là một phần của chiến dịch tấn công chưa được xác định, tệp LNK đóng vai trò là đường dẫn để trích xuất và khởi tạo một môi trường Linux nhẹ, tùy chỉnh được mô phỏng thông qua Quick Emulator ( QEMU ), một công cụ ảo hóa nguồn mở hợp pháp. Máy ảo chạy trên Tiny Core Linux.


Sau đó, phím tắt sẽ khởi chạy các lệnh PowerShell có nhiệm vụ giải nén lại tệp ZIP và thực thi một tập lệnh "start.bat" ẩn, sau đó hiển thị một thông báo lỗi giả cho nạn nhân để khiến họ nghĩ rằng liên kết khảo sát không còn hoạt động nữa.

Nhưng ở chế độ nền, nó thiết lập môi trường Linux ảo QEMU được gọi là PivotBox, được cài đặt sẵn tiện ích đường hầm Chisel, cấp quyền truy cập từ xa vào máy chủ ngay sau khi khởi động phiên bản QEMU.

"Tệp nhị phân này có vẻ là một máy khách Chisel được cấu hình sẵn, được thiết kế để kết nối với máy chủ Command and Control (C2) từ xa tại 18.208.230[.]174 qua websockets", các nhà nghiên cứu cho biết. "Cách tiếp cận của kẻ tấn công thực sự biến máy khách Chisel này thành một cửa hậu hoàn chỉnh, cho phép lưu lượng lệnh và điều khiển từ xa chảy vào và ra khỏi môi trường Linux".


Sự phát triển này là một trong nhiều chiến thuật liên tục thay đổi mà các tác nhân đe dọa đang sử dụng để nhắm vào các tổ chức và che giấu hoạt động độc hại -- một ví dụ điển hình là chiến dịch lừa đảo qua email nhắm vào các công ty sản xuất, kỹ thuật và công nghiệp điện tử ở các nước châu Âu để phát tán phần mềm độc hại GuLoader khó phát hiện.

"Các email thường bao gồm các yêu cầu đặt hàng và chứa tệp đính kèm lưu trữ", nhà nghiên cứu Tara Gould của Cado Security cho biết. "Các email được gửi từ nhiều địa chỉ email khác nhau, bao gồm từ các công ty giả mạo và các tài khoản bị xâm phạm. Các email thường chiếm đoạt một chuỗi email hiện có hoặc yêu cầu thông tin về đơn hàng".

Hoạt động này chủ yếu nhắm vào các quốc gia như Romania, Ba Lan, Đức và Kazakhstan, bắt đầu bằng một tệp lệnh có trong tệp lưu trữ. Tệp lệnh này nhúng một tập lệnh PowerShell được che giấu sau đó tải xuống một tập lệnh PowerShell khác từ máy chủ từ xa.

Tập lệnh PowerShell thứ cấp bao gồm chức năng phân bổ bộ nhớ và cuối cùng thực thi mã lệnh GuLoader để lấy dữ liệu ở giai đoạn tiếp theo.

"Phần mềm độc hại Guloader tiếp tục điều chỉnh các kỹ thuật của mình để tránh bị phát hiện nhằm cung cấp RAT", Gould cho biết. "Những kẻ đe dọa liên tục nhắm mục tiêu vào các ngành công nghiệp cụ thể ở một số quốc gia nhất định. Khả năng phục hồi của nó làm nổi bật nhu cầu về các biện pháp bảo mật chủ động".