-
09/04/2020
-
85
-
550 bài viết
Botnet Abcbot nhắm vào Linux với sự biến đổi tinh vi
Các nhà nghiên cứu nhóm Netlab thuộc công ty Qihoo 360 (Trung Quốc) vừa công bố thông tin chi tiết về một mạng botnet "Abcbot" đang được phát triển như một sâu máy tính bao gồm triển khai tính năng tấn công DDoS có thể tuỳ chỉnh, chứng tỏ mã độc này vẫn đang được cải tiến liên tục.
Mặc dù phiên bản đầu tiên của botnet này có từ tháng 7 năm 2021, nhưng các biến thể mới xuất hiện vào ngày 30 tháng 10 được trang bị các bản cập nhật bổ sung để nhắm vào các máy chủ web Linux có mật khẩu yếu và dễ bị tấn công bởi lỗ hổng N-day (lỗ hổng đã được công bố nhưng có thể có hoặc chưa có bản vá).
Phát hiện của Netlab dựa trên một báo cáo từ Trend Micro, trong đó công khai các cuộc tấn công nhắm vào Huawei Cloud bằng mã độc đào tiền ảo. Các cuộc xâm nhập đáng chú ý vì các đoạn script shell độc hại đã vô hiệu hóa một tiến trình được thiết kế để theo dõi và quét các máy chủ hay dò tìm các vấn đề an ninh, cũng như đặt lại mật khẩu của người dùng cho dịch vụ Elastic cloud.
Theo công ty an ninh mạng của Trung Quốc, những đoạn mã shell này đang được sử dụng để phát tán Abcbot, hiện tổng cộng có 6 phiên bản của botnet này.
Sau khi được cài đặt trên một máy chủ bị xâm nhập, phần mềm độc hại sẽ kích hoạt một loạt các bước thực thi khiến thiết bị bị nhiễm được tái sử dụng như một máy chủ web, ngoài ra còn báo cáo thông tin hệ thống cho máy chủ (C2), phát tán mã độc vào các thiết bị mới bằng cách dò quét các cổng đang mở và tự cập nhật khi các nhà khai thác cung cấp tính năng mới.
Các phát hiện được đưa ra sau khi nhóm Netlab tiết lộ chi tiết về mạng botnet "Pink" được cho là đã lây nhiễm hơn 1,6 triệu thiết bị đặt tại Trung Quốc với mục tiêu phát động các cuộc tấn công DDoS và chèn quảng cáo vào các trang web HTTP.
Các nhà nghiên cứu kết luận: "Quá trình cập nhật trong 6 tháng không phải là quá trình nâng cấp liên tục các tính năng, mà là sự đánh đổi giữa các công nghệ khác nhau. Abcbot đang manh nha biến đổi một cách tinh vi. Chúng tôi không coi đây là giai đoạn cuối cùng, botnet này vẫn đang tiếp tục cải tiến và phát triển các tính năng “đáng để lưu tâm”.
Mặc dù phiên bản đầu tiên của botnet này có từ tháng 7 năm 2021, nhưng các biến thể mới xuất hiện vào ngày 30 tháng 10 được trang bị các bản cập nhật bổ sung để nhắm vào các máy chủ web Linux có mật khẩu yếu và dễ bị tấn công bởi lỗ hổng N-day (lỗ hổng đã được công bố nhưng có thể có hoặc chưa có bản vá).
Phát hiện của Netlab dựa trên một báo cáo từ Trend Micro, trong đó công khai các cuộc tấn công nhắm vào Huawei Cloud bằng mã độc đào tiền ảo. Các cuộc xâm nhập đáng chú ý vì các đoạn script shell độc hại đã vô hiệu hóa một tiến trình được thiết kế để theo dõi và quét các máy chủ hay dò tìm các vấn đề an ninh, cũng như đặt lại mật khẩu của người dùng cho dịch vụ Elastic cloud.
Theo công ty an ninh mạng của Trung Quốc, những đoạn mã shell này đang được sử dụng để phát tán Abcbot, hiện tổng cộng có 6 phiên bản của botnet này.
Sau khi được cài đặt trên một máy chủ bị xâm nhập, phần mềm độc hại sẽ kích hoạt một loạt các bước thực thi khiến thiết bị bị nhiễm được tái sử dụng như một máy chủ web, ngoài ra còn báo cáo thông tin hệ thống cho máy chủ (C2), phát tán mã độc vào các thiết bị mới bằng cách dò quét các cổng đang mở và tự cập nhật khi các nhà khai thác cung cấp tính năng mới.
Các phát hiện được đưa ra sau khi nhóm Netlab tiết lộ chi tiết về mạng botnet "Pink" được cho là đã lây nhiễm hơn 1,6 triệu thiết bị đặt tại Trung Quốc với mục tiêu phát động các cuộc tấn công DDoS và chèn quảng cáo vào các trang web HTTP.
Các nhà nghiên cứu kết luận: "Quá trình cập nhật trong 6 tháng không phải là quá trình nâng cấp liên tục các tính năng, mà là sự đánh đổi giữa các công nghệ khác nhau. Abcbot đang manh nha biến đổi một cách tinh vi. Chúng tôi không coi đây là giai đoạn cuối cùng, botnet này vẫn đang tiếp tục cải tiến và phát triển các tính năng “đáng để lưu tâm”.
Theo thehackernews
Chỉnh sửa lần cuối: