WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Mã độc TrickBot tích hợp tính năng Bootkit UEFI/BIOS để tránh bị phát hiện
Mạng botnet TrickBot đang mở rộng bộ công cụ để nhắm mục tiêu vào các lỗ hổng trên firmware từ đó triển khai bootkit và kiểm soát hoàn toàn hệ thống bị nhiễm mã độc.
Chức năng mới TrickBoot của Advanced Intelligence (AdvIntel) và Eclypsium, sử dụng các công cụ sẵn có để kiểm tra các thiết bị xem có tồn tại lỗ hổng cho phép kẻ tấn công chèn mã độc vào UEFI/BIOS firmware của thiết bị hay không, giúp hacker có được cơ chế lưu trữ mã độc hiệu quả.
Các nhà nghiên cứu cho biết: “Điều này đánh dấu một bước tiến lớn trong sự phát triển của TrickBot bởi UEFI level implants là dạng bootkit sâu nhất, mạnh mẽ nhất và tàng hình. Bằng việc bổ sung thêm khả năng giả dạng các thiết bị nạn nhân cho từng lỗ hổng firmware UEFI/BIOS cụ thể, những kẻ tấn công đứng sau TrickBot có thể nhắm mục tiêu vào những nạn nhân cụ thể nhờ phần firmware vững chắc cung cấp khả năng chụp ảnh lại, thậm chí là ghép thiết bị".
Các nhà nghiên cứu cho biết: "Chuỗi tấn công của TrickBot phần lớn bắt đầu thông qua các chiến dịch Emotet malspam, sau đó tải TrickBot và/hoặc các trình tải khác và chuyển sang các công cụ tấn công như PowerShell Empire hoặc Cobalt Strike để chiếm được các mục tiêu liên quan đến tổ chức nạn nhân bị tấn công. Thông thường, vào cuối chuỗi tấn công, ransomware Conti hoặc Ryuk sẽ được triển khai".
Theo Microsoft và các đối tác của hãng tại Symantec, ESET, FS-ISAC và Lumen, cho đến nay, mạng botnet này đã lây nhiễm hơn một triệu máy tính.
Sự bổ sung mới nhất cho thấy TrickBot không chỉ có thể được sử dụng để nhắm mục tiêu vào các hệ thống bị tấn công bằng ransomware và UEFI mà còn trang bị cho những kẻ tấn công nhiều đòn bẩy khi thương lượng tiền chuộc.
Các chuyên gia WhiteHat khuyến cáo để tránh bị ảnh hưởng người dùng cần cập nhật firmware BIOS và tuyệt đối không bấm vào các email không rõ nguồn gốc.
Các nhà nghiên cứu cho biết: “Điều này đánh dấu một bước tiến lớn trong sự phát triển của TrickBot bởi UEFI level implants là dạng bootkit sâu nhất, mạnh mẽ nhất và tàng hình. Bằng việc bổ sung thêm khả năng giả dạng các thiết bị nạn nhân cho từng lỗ hổng firmware UEFI/BIOS cụ thể, những kẻ tấn công đứng sau TrickBot có thể nhắm mục tiêu vào những nạn nhân cụ thể nhờ phần firmware vững chắc cung cấp khả năng chụp ảnh lại, thậm chí là ghép thiết bị".
Sự bổ sung mới nhất cho thấy TrickBot không chỉ có thể được sử dụng để nhắm mục tiêu vào các hệ thống bị tấn công bằng ransomware và UEFI mà còn trang bị cho những kẻ tấn công nhiều đòn bẩy khi thương lượng tiền chuộc.
Các chuyên gia WhiteHat khuyến cáo để tránh bị ảnh hưởng người dùng cần cập nhật firmware BIOS và tuyệt đối không bấm vào các email không rõ nguồn gốc.
Nguồn: The Hacker News