-
09/04/2020
-
85
-
553 bài viết
Hacker sử dụng bảng điều khiển TeslaGun để quản lý các cuộc tấn công backdoor ServHelper
Các nhà nghiên cứu vừa công bố thông tin chi tiết về việc nhóm hacker TA050 sử dụng TeslaGun, một bảng điều khiển phần mềm chưa từng được biết đến, để quản lý các cuộc tấn công backdoor.
TA505 là một nhóm tin tặc có động cơ tài chính. "Nhóm thường xuyên thay đổi các chiến lược tấn công phần mềm độc hại để bắt kịp xu hướng tội phạm mạng toàn cầu", công ty an ninh mạng Thụy Sĩ PRODAFT cho biết. "Nhóm thường lợi dụng các công nghệ mới để tấn công nạn nhân trước khi ngành công nghiệp an ninh mạng bắt đầu sử dụng các công nghệ này”.
TA505 còn có những tên gọi khác như Evil Corp, Gold Drake, Dudear, Indrik Spider và SectorJ04. Đây là một tổ chức tội phạm mạng hung hãn của Nga đứng sau trojan ngân hàng Dridex khét tiếng và có liên quan đến một số chiến dịch ransomware trong những năm gần đây.
Nhóm cũng được cho là có liên quan đến các cuộc tấn công Raspberry Robin vào tháng 9 năm 2021, do nhiều điểm tương đồng được phát hiện giữa Dridex và phần mềm độc hại của đợt tấn công.
Các họ phần mềm độc hại đáng chú ý khác có liên quan đến nhóm bao gồm FlawedAmmyy, botnet Neutrino và một backdoor có tên mã ServHelper. Biến thể của ServHelper có khả năng tải xuống một trojan truy cập từ xa có tên FlawedGrace.
Bảng điều khiển TeslaGun được tin tặc sử dụng để quản lý việc cài cắm ServHelper, hoạt động như một framework C&C điều khiển các máy bị xâm nhập.
Ngoài ra, TeslaGun cho phép kẻ tấn công gửi lệnh đến nạn nhân, thậm chí gửi lệnh đồng loạt đến tất cả các thiết bị nạn nhân chỉ qua một bước duy nhất, hoặc cấu hình bảng điều khiển sao cho một lệnh định trước sẽ tự động chạy khi nạn nhân mới được thêm vào bảng điều khiển.
Các nhà nghiên cứu cho biết: "Bảng điều khiển TeslaGun có thiết kế thực dụng, tối giản. Bảng điều khiển chính chỉ chứa dữ liệu nạn nhân bị nhiễm, phần nhận xét chung cho từng nạn nhân và một số tùy chọn để lọc hồ sơ nạn nhân”.
Ngoài việc sử dụng bảng điều khiển, kẻ tấn công cũng sử dụng công cụ giao thức máy tính để bàn từ xa (RDP) để kết nối thủ công với các hệ thống được nhắm mục tiêu thông qua các tunnel RDP.
Phân tích của PRODAFT về dữ liệu nạn nhân của TeslaGun cho thấy, từ tháng 7 năm 2020, các chiến dịch của nhóm đã nhắm đến ít nhất 8.160 mục tiêu. Phần lớn nạn nhân là ở Mỹ (3.667), tiếp theo là Nga (647), Brazil (483), Romania (444) và Vương quốc Anh (359).
TA505 là một nhóm tin tặc có động cơ tài chính. "Nhóm thường xuyên thay đổi các chiến lược tấn công phần mềm độc hại để bắt kịp xu hướng tội phạm mạng toàn cầu", công ty an ninh mạng Thụy Sĩ PRODAFT cho biết. "Nhóm thường lợi dụng các công nghệ mới để tấn công nạn nhân trước khi ngành công nghiệp an ninh mạng bắt đầu sử dụng các công nghệ này”.
TA505 còn có những tên gọi khác như Evil Corp, Gold Drake, Dudear, Indrik Spider và SectorJ04. Đây là một tổ chức tội phạm mạng hung hãn của Nga đứng sau trojan ngân hàng Dridex khét tiếng và có liên quan đến một số chiến dịch ransomware trong những năm gần đây.
Nhóm cũng được cho là có liên quan đến các cuộc tấn công Raspberry Robin vào tháng 9 năm 2021, do nhiều điểm tương đồng được phát hiện giữa Dridex và phần mềm độc hại của đợt tấn công.
Các họ phần mềm độc hại đáng chú ý khác có liên quan đến nhóm bao gồm FlawedAmmyy, botnet Neutrino và một backdoor có tên mã ServHelper. Biến thể của ServHelper có khả năng tải xuống một trojan truy cập từ xa có tên FlawedGrace.
Bảng điều khiển TeslaGun được tin tặc sử dụng để quản lý việc cài cắm ServHelper, hoạt động như một framework C&C điều khiển các máy bị xâm nhập.
Ngoài ra, TeslaGun cho phép kẻ tấn công gửi lệnh đến nạn nhân, thậm chí gửi lệnh đồng loạt đến tất cả các thiết bị nạn nhân chỉ qua một bước duy nhất, hoặc cấu hình bảng điều khiển sao cho một lệnh định trước sẽ tự động chạy khi nạn nhân mới được thêm vào bảng điều khiển.
Các nhà nghiên cứu cho biết: "Bảng điều khiển TeslaGun có thiết kế thực dụng, tối giản. Bảng điều khiển chính chỉ chứa dữ liệu nạn nhân bị nhiễm, phần nhận xét chung cho từng nạn nhân và một số tùy chọn để lọc hồ sơ nạn nhân”.
Ngoài việc sử dụng bảng điều khiển, kẻ tấn công cũng sử dụng công cụ giao thức máy tính để bàn từ xa (RDP) để kết nối thủ công với các hệ thống được nhắm mục tiêu thông qua các tunnel RDP.
Phân tích của PRODAFT về dữ liệu nạn nhân của TeslaGun cho thấy, từ tháng 7 năm 2020, các chiến dịch của nhóm đã nhắm đến ít nhất 8.160 mục tiêu. Phần lớn nạn nhân là ở Mỹ (3.667), tiếp theo là Nga (647), Brazil (483), Romania (444) và Vương quốc Anh (359).
Nguồn: The Hacker News