Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Phát hiện mã độc ẩn trong phần mềm quản lý máy chủ của NetSarang
(ICTNews) Các chuyên gia vừa công bố phát hiện một backdoor được cài vào sản phẩm phần mềm quản lý máy chủ của NetSarang, cho phép hacker khi kích hoạt backdoor có thể tải về các mô-đun độc hại hơn hoặc đánh cắp dữ liệu. Hiện NetSarang đã gỡ bỏ mã độc, phát hành bản cập nhật.
Người dùng được khuyến cáo cập nhật ngay phiên bản mới nhất của phần mềm NetSarang, từ đó mô-đun độc hại sẽ được gỡ bỏ (Ảnh minh họa)
Các chuyên gia Kaspersky cho biết, tháng 7/2017, một tổ chức tài chính là đối tác của hãng đã liên hệ và bày tỏ lo lắng về các yêu cầu DNS (tên miền máy chủ) đáng ngờ bắt nguồn từ một hệ thống liên quan đến việc xử lý các giao dịch tài chính.
Các cuộc điều tra tiếp theo cho thấy nguồn gốc của những yêu cầu là phần mềm quản lý máy chủ được sản xuất bởi một công ty hợp pháp và được hàng trăm doanh nghiệp lớn trên thế giới trong các ngành tài chính, giáo dục, viễn thông, sản xuất, năng lượng và vận tải sử dụng. Đáng lo ngại là nhà cung cấp không hề thiết lập phần mềm thực hiện những yêu cầu này.
Các phân tích sâu hơn của các chuyên gia cho thấy, những yêu cầu đáng ngờ thực sự là kết quả hoạt động của một mô-đun độc hại ẩn bên trong một phiên bản gần đây của phần mềm hợp pháp này. Sau khi cài đặt bản cập nhật phần mềm bị lây nhiễm, mô-đun độc hại sẽ bắt đầu gửi truy vấn DNS tới các tên miền cụ thể (máy chủ lệnh và điều khiển) với tần suất 8 giờ/lần.
Yêu cầu sẽ chứa thông tin cơ bản về hệ thống nạn nhân (tên người dùng, tên miền, tên máy chủ lưu trữ). Nếu kẻ tấn công xem hệ thống này là “thú vị”, máy chủ lệnh sẽ trả lời và kích hoạt một nền tảng backdoor đầy đủ chính thức âm thầm triển khai bên trong máy tính bị tấn công. Sau đó, theo lệnh từ những kẻ tấn công, nền tảng backdoor sẽ có thể tải về và thực thi mã độc hại hơn.
Sau khi phát hiện, các chuyên gia đã thông báo cho NetSarang - nhà cung cấp phần mềm bị lây nhiễm và nhà cung cấp này đã kịp thời gỡ bỏ mã độc và phát hành bản cập nhật cho khách hàng.
Đến nay, theo nghiên cứu của các chuyên gia, mô-đun độc hại đã được kích hoạt ở Hồng Kông. Nhưng nó có thể đang nằm yên trên nhiều hệ thống khác trên toàn thế giới, đặc biệt nếu người dùng chưa cài đặt phiên bản cập nhật của phần mềm bị ảnh hưởng.
Chuyên gia Igor Soumenkov (Kaspersky Lab) cho biết, việc NetSarang nhanh chóng phản ứng sau thông báo của hãng và đưa ra bản cập nhật phần mềm gần như đã ngăn chặn hàng trăm dữ liệu bị đánh cắp quay lại tấn công khách hàng của họ.
“Tuy nhiên, trường hợp này cho thấy các công ty lớn nên dựa vào các giải pháp tiên tiến có khả năng theo dõi hoạt động của mạng và phát hiện các bất thường. Những giải pháp này giúp bạn có thể phát hiện ra hoạt động độc hại ngay cả khi kẻ tấn công đủ tinh vi để ẩn phần mềm độc hại bên trong phần mềm hợp pháp”, Igor Soumenkov cho biết.
Chuyên gia cho biết thêm: “Khi phân tích các kỹ thuật và quá trình của công cụ được sử dụng bởi những kẻ tấn công, các nhà nghiên cứu của hãng đã đi đến kết luận rằng một số điểm tương đồng cho thấy các biến thể của phần mềm độc hại PlugX được sử dụng bởi Winnti APT - một nhóm tội phạm mạng nói tiếng Hoa. Tuy nhiên, thông tin này chưa đủ để kết nối chính xác đến các đối tượng này”.
Người dùng được khuyến cáo cập nhật ngay phiên bản mới nhất của phần mềm NetSarang, từ đó mô-đun độc hại sẽ được gỡ bỏ. Đồng thời, cần kiểm tra các hệ thống của để biết dấu hiệu truy vấn DNS tới các tên miền không bình thường.
Người dùng được khuyến cáo cập nhật ngay phiên bản mới nhất của phần mềm NetSarang, từ đó mô-đun độc hại sẽ được gỡ bỏ (Ảnh minh họa)
Các chuyên gia Kaspersky cho biết, tháng 7/2017, một tổ chức tài chính là đối tác của hãng đã liên hệ và bày tỏ lo lắng về các yêu cầu DNS (tên miền máy chủ) đáng ngờ bắt nguồn từ một hệ thống liên quan đến việc xử lý các giao dịch tài chính.
Các cuộc điều tra tiếp theo cho thấy nguồn gốc của những yêu cầu là phần mềm quản lý máy chủ được sản xuất bởi một công ty hợp pháp và được hàng trăm doanh nghiệp lớn trên thế giới trong các ngành tài chính, giáo dục, viễn thông, sản xuất, năng lượng và vận tải sử dụng. Đáng lo ngại là nhà cung cấp không hề thiết lập phần mềm thực hiện những yêu cầu này.
Các phân tích sâu hơn của các chuyên gia cho thấy, những yêu cầu đáng ngờ thực sự là kết quả hoạt động của một mô-đun độc hại ẩn bên trong một phiên bản gần đây của phần mềm hợp pháp này. Sau khi cài đặt bản cập nhật phần mềm bị lây nhiễm, mô-đun độc hại sẽ bắt đầu gửi truy vấn DNS tới các tên miền cụ thể (máy chủ lệnh và điều khiển) với tần suất 8 giờ/lần.
Yêu cầu sẽ chứa thông tin cơ bản về hệ thống nạn nhân (tên người dùng, tên miền, tên máy chủ lưu trữ). Nếu kẻ tấn công xem hệ thống này là “thú vị”, máy chủ lệnh sẽ trả lời và kích hoạt một nền tảng backdoor đầy đủ chính thức âm thầm triển khai bên trong máy tính bị tấn công. Sau đó, theo lệnh từ những kẻ tấn công, nền tảng backdoor sẽ có thể tải về và thực thi mã độc hại hơn.
Sau khi phát hiện, các chuyên gia đã thông báo cho NetSarang - nhà cung cấp phần mềm bị lây nhiễm và nhà cung cấp này đã kịp thời gỡ bỏ mã độc và phát hành bản cập nhật cho khách hàng.
Đến nay, theo nghiên cứu của các chuyên gia, mô-đun độc hại đã được kích hoạt ở Hồng Kông. Nhưng nó có thể đang nằm yên trên nhiều hệ thống khác trên toàn thế giới, đặc biệt nếu người dùng chưa cài đặt phiên bản cập nhật của phần mềm bị ảnh hưởng.
Chuyên gia Igor Soumenkov (Kaspersky Lab) cho biết, việc NetSarang nhanh chóng phản ứng sau thông báo của hãng và đưa ra bản cập nhật phần mềm gần như đã ngăn chặn hàng trăm dữ liệu bị đánh cắp quay lại tấn công khách hàng của họ.
“Tuy nhiên, trường hợp này cho thấy các công ty lớn nên dựa vào các giải pháp tiên tiến có khả năng theo dõi hoạt động của mạng và phát hiện các bất thường. Những giải pháp này giúp bạn có thể phát hiện ra hoạt động độc hại ngay cả khi kẻ tấn công đủ tinh vi để ẩn phần mềm độc hại bên trong phần mềm hợp pháp”, Igor Soumenkov cho biết.
Chuyên gia cho biết thêm: “Khi phân tích các kỹ thuật và quá trình của công cụ được sử dụng bởi những kẻ tấn công, các nhà nghiên cứu của hãng đã đi đến kết luận rằng một số điểm tương đồng cho thấy các biến thể của phần mềm độc hại PlugX được sử dụng bởi Winnti APT - một nhóm tội phạm mạng nói tiếng Hoa. Tuy nhiên, thông tin này chưa đủ để kết nối chính xác đến các đối tượng này”.
Người dùng được khuyến cáo cập nhật ngay phiên bản mới nhất của phần mềm NetSarang, từ đó mô-đun độc hại sẽ được gỡ bỏ. Đồng thời, cần kiểm tra các hệ thống của để biết dấu hiệu truy vấn DNS tới các tên miền không bình thường.
Theo ICTNews
