-
09/04/2020
-
93
-
600 bài viết
Mã độc Necro Python nâng cấp tính năng khai thác và đào tiền ảo
Necro (hay N3Cr0m0rPh) – Mã độc đa hình có khả năng tự sao chép dựa trên ngôn ngữ Python đã được nâng cấp khả năng lây nhiễm vào các hệ thống dính lỗ hổng và tránh bị phát hiện.
Theo nghiên cứu của Cisco Talos: Necro đã có những thay đổi đáng kể so với thời điểm được phát hiện vào đầu năm 2021. Các chuyên gia nhận thấy sự thay đổi từ cách giao tiếp lệnh kiểm soát (C2) tới việc bổ sung cách khai thác lỗ hổng mới để nâng cao khả năng lây lan. Trong đó đáng chú ý nhất là khai thác các lỗ hổng trong VMWare vSphere, SCO OpenServer, Vesta Control Panel và SMB.
Năm 2015, một chiến dịch mã độc mang tên “FreakOut” đã bị phát hiện khai thác các lỗ hổng trong các thiết bị lưu trữ mạng (NAS) nhắm vào các máy tính chạy hệ điều hành Linux, biến các thiết bị này thành một botnet để phát động tấn cống từ chối dịch vụ (DDoS) vào đào tiền ảo Monero. Necro vào thời điểm đó được xem là một phần của chiến dịch khi nhắm vào cả hệ điều hành Linux và Windows.
Ngoài khả năng phát động tấn công DDos và truy cập từ xa để tải và khởi chạy thêm các Payload, Necro còn được thiết kế để không “lộ diện” trên hệ thống bằng cách cài đặt rootkit. Ngoài ra mã độc này cũng tiêm nhiễm các mã độc hại để truy xuất và thực thi các bộ cài tiền ảo chạy bằng JavaScript từ một máy chủ từ xa vào các tệp HTML và PHP trên các hệ thống bị lây nhiễm.
Trong khi các phiên bản trước, Necro khai thác các lỗ hổng trong Liferay Portal, Laminas Project và TerraMaster, thì ở phiên bản mới được quan sát gần nhất vào ngày 11 và 18/05, các vụ khai thác tiêm nhiễm lệnh lại nhắm vào Vesta Control Panel, ZeroShell 3.9.0, SCO OpenServer 5.0.7, cũng như lỗ hổng thực thi mã từ xa ảnh hưởng tới VMWare vCenter (CVE-2021-21972) đã được công ty này cập nhật bản vá vào tháng Hai.
Phiên bản Necro được phát hành vào ngày 18 tháng 5 cũng bao gồm các hoạt động khai thác lỗ hổng EternalBlue (CVE-2017-0144) và EternalRomance (CVE-2017-0145). Cả hai lỗ hổng này đều bị lợi dụng để thực thi mã từ xa trong giao thức SMB của Windows. Điều này cho thấy tác giả của mã độc đang chủ động phát triển cách thức lây lan mới lợi dụng các lỗ hổng đã được công khai.
Điều đáng lưu ý ở đây là sự kết hợp của một engine đa hình để thay đổi mã nguồn của mã độc mà không bị phát hiện nhưng vẫn giữ nguyên được ý đồ của kẻ tạo ra nó.
Người dùng cần thường xuyên áp dụng các bản cập nhật bảo mật mới nhất cho tất cả các ứng dụng, không chỉ riêng hệ điều hành.
Theo nghiên cứu của Cisco Talos: Necro đã có những thay đổi đáng kể so với thời điểm được phát hiện vào đầu năm 2021. Các chuyên gia nhận thấy sự thay đổi từ cách giao tiếp lệnh kiểm soát (C2) tới việc bổ sung cách khai thác lỗ hổng mới để nâng cao khả năng lây lan. Trong đó đáng chú ý nhất là khai thác các lỗ hổng trong VMWare vSphere, SCO OpenServer, Vesta Control Panel và SMB.
Năm 2015, một chiến dịch mã độc mang tên “FreakOut” đã bị phát hiện khai thác các lỗ hổng trong các thiết bị lưu trữ mạng (NAS) nhắm vào các máy tính chạy hệ điều hành Linux, biến các thiết bị này thành một botnet để phát động tấn cống từ chối dịch vụ (DDoS) vào đào tiền ảo Monero. Necro vào thời điểm đó được xem là một phần của chiến dịch khi nhắm vào cả hệ điều hành Linux và Windows.
Ngoài khả năng phát động tấn công DDos và truy cập từ xa để tải và khởi chạy thêm các Payload, Necro còn được thiết kế để không “lộ diện” trên hệ thống bằng cách cài đặt rootkit. Ngoài ra mã độc này cũng tiêm nhiễm các mã độc hại để truy xuất và thực thi các bộ cài tiền ảo chạy bằng JavaScript từ một máy chủ từ xa vào các tệp HTML và PHP trên các hệ thống bị lây nhiễm.
Trong khi các phiên bản trước, Necro khai thác các lỗ hổng trong Liferay Portal, Laminas Project và TerraMaster, thì ở phiên bản mới được quan sát gần nhất vào ngày 11 và 18/05, các vụ khai thác tiêm nhiễm lệnh lại nhắm vào Vesta Control Panel, ZeroShell 3.9.0, SCO OpenServer 5.0.7, cũng như lỗ hổng thực thi mã từ xa ảnh hưởng tới VMWare vCenter (CVE-2021-21972) đã được công ty này cập nhật bản vá vào tháng Hai.
Phiên bản Necro được phát hành vào ngày 18 tháng 5 cũng bao gồm các hoạt động khai thác lỗ hổng EternalBlue (CVE-2017-0144) và EternalRomance (CVE-2017-0145). Cả hai lỗ hổng này đều bị lợi dụng để thực thi mã từ xa trong giao thức SMB của Windows. Điều này cho thấy tác giả của mã độc đang chủ động phát triển cách thức lây lan mới lợi dụng các lỗ hổng đã được công khai.
Điều đáng lưu ý ở đây là sự kết hợp của một engine đa hình để thay đổi mã nguồn của mã độc mà không bị phát hiện nhưng vẫn giữ nguyên được ý đồ của kẻ tạo ra nó.
Người dùng cần thường xuyên áp dụng các bản cập nhật bảo mật mới nhất cho tất cả các ứng dụng, không chỉ riêng hệ điều hành.
Theo The Hacker News
Chỉnh sửa lần cuối: