SỞ KHOA HỌC VÀ CÔNG NGHỆ THÀNH PHỐ CẦN THƠ

Khoa học, công nghệ và Đổi mới sáng tạo - Khơi dậy khát vọng kiến tạo tương lai

Hacker nén mã độc vào dạng file “.NET” để qua mặt kiểm soát

[22/07/2019 15:13]

Các nhà nghiên cứu của Kaspersky vừa phát hiện nhóm hacker Turla đã cải tiến bộ công cụ cách nén mã độc JavaScript KopiLuwak vào file Topinambour, rồi tạo ra hai phiên bản với ngôn ngữ khác nhau để thực hiện hành vi tấn công mạng.

Ảnh minh họa. Nguồn: Internet.

Theo Kaspersky, do nằm sẵn trong những phần mềm hợp pháp nên chúng đã qua mặt được các bước kiểm duyệt. Các nhà nghiên cứu tin rằng: công cụ này được phát triển để giảm thiểu khả năng bị phát hiện và tăng độ chính xác khi tấn công mục tiêu. Topinambour được phát hiện trong một phi vụ hồi đầu năm 2019.

Turla là một nhóm hacker người Nga nổi tiếng với nhiều cuộc tấn công mạng lớn. Nhóm hacker này đã tạo ra mã độc KopiLuwak, ​​được phát hiện lần đầu tiên hồi cuối năm 2016. Năm 2019, các nhà nghiên cứu của Kaspersky đã phát hiện ra những công cụ và kỹ thuật mới được chúng cập nhật trên mã độc nhằm tăng khả năng “lẩn trốn” và giảm thiểu trường hợp bị phát hiện.

Topinambour là tên một dạng file mới trong hệ thống file .NET (một nền tảng lập trình do Microsoft tạo ra). Topinambour được Turla sử dụng để phát tán mã độc JavaScript KopiLuwak nhưng vẫn qua mặt được các bước kiểm duyệt nhờ cài cắm vào gói cài đặt của những phần mềm hợp pháp như VPN.

KopiLuwak được Turla xây dựng để phục vụ hoạt động tấn công mạng và lây nhiễm mã độc mới nhất của nhóm tin tặc, gồm: kỹ thuật để mã độc không bị phát hiện. Chẳng hạn, cơ sở hạ tầng chỉ huy sẽ xuất hiện những IP bắt chước các địa chỉ LAN thường thấy. Ở giai đoạn lây nhiễm cuối cùng (lúc mã độc gần như vô hình), một trojan được mã hóa để quản trị từ xa sẽ được nhúng vào hệ thống ghi danh của máy tính, từ đó mã độc sẽ tấn công khi có cơ hội.

Hai mã độc tương tự KopiLuwak là .NET RocketMan trojan và PowerShell MiamiBeach trojan cũng được dùng để tấn công mạng. Các nhà nghiên cứu cho rằng, các phiên bản này được tạo ra để phòng trường hợp phần mềm bảo mật phát hiện ra KopiLuwak.

Sau khi được cài cắm thành công, cả ba phiên bản có thể:

- Thu thập dấu vân tay để nhận biết những máy tính đã bị nhiễm.

- Thu thập thông tin về hệ thống và mạng.

- Lấy cắp file.

- Tải xuống và cài đặt thêm mềm độc hại.

- MiamiBeach cũng có thể chụp ảnh màn hình.

Kurt Baumgartner - nhà nghiên cứu bảo mật tại Kaspersky, cho biết: “Trong năm 2019, Turla nổi lên nhờ bộ công cụ được cải tiến với một số tính năng có thể giảm thiểu sự phát hiện của các nhà nghiên cứu và giải pháp bảo mật. Bộ công cụ gồm tính năng hạn chế dấu chân điện tử (digital footprint) của mã độc và tạo ra hai phiên bản khác nhau của mã độc KopiLuwak. Việc lợi dụng các gói cài đặt VPN để qua mặt quy trình kiểm duyệt cho thấy: kẻ tấn công đã xác định từ trước mục tiêu để thực hiện tấn công. Sự phát triển liên tục của Turla một lần nữa cho thấy tầm quan trọng của phần mềm bảo mật để chống lại những cuộc tấn công APT. Đơn cử, việc bảo vệ điểm cuối và kiểm tra file sau khi tải xuống sẽ giúp chống lại các mối đe dọa như Topinambour”.

Để giảm thiểu nguy cơ trở thành nạn nhân của các hoạt động tấn công mạng tinh vi, Kaspersky khuyên người dùng nên thực hiện các biện pháp:

- Đào tạo nâng cao nhận thức bảo mật cho nhân viên về cách nhận biết và phòng tránh những ứng dụng hoặc file có khả năng gây hại. Chẳng hạn, nhân viên không nên tải xuống và chạy bất kỳ ứng dụng hoặc chương trình nào từ những nguồn không đáng tin cậy.

- Để phát hiện, điều tra và khắc phục kịp thời những đe dọa mạng điểm cuối, hãy triển khai các giải pháp EDR như Kaspersky Endpoint Detection and Response.

- Ngoài việc áp dụng phương pháp bảo vệ điểm cuối thiết yếu, hãy triển khai giải pháp bảo mật giúp công ty phát hiện các mối đe dọa tinh vi ở giai đoạn đầu, chẳng hạn như Kaspersky Anti Targeted Attack Platform.

- Cung cấp cho Trung tâm điều hành an ninh (SOC - Security Operation Center) các thông tin đe dọa mạng mới nhất để họ luôn cập nhật những công cụ và kỹ thuật được tội phạm mạng đang sử dụng.

Cao Kiến Nam

 

www.khoahocphothong.com.vn(lntrang)
Bản quyền @ 2017 thuộc về Sở Khoa học và Công nghệ thành phố Cần Thơ
Địa chỉ: Số 02, Lý Thường kiệt, phường Tân An, quận Ninh Kiều, thành phố Cần Thơ
Điện thoại: 0292.3820674, Fax: 0292.3821471; Email: sokhcn@cantho.gov.vn
Trưởng Ban biên tập: Ông Trần Đông Phương An - Phó Giám đốc Sở Khoa học và Công nghệ thành phố Cần Thơ