Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Mã độc StoneDrill nhắm tới Trung Đông và châu Âu
Các chuyên gia vừa phát hiện mã độc xóa dữ liệu mới, đặt tên là StoneDrill, nhắm tới các công ty dầu mỏ ở châu Âu. Mã độc này có nhiều đặc điểm tương đồng với Shamoon – malware từng xóa dữ liệu trên 35.000 máy tính tại công ty xăng dầu quốc gia của Saudi Arabia vào năm 2012.
Mã độc xóa dữ liệu có khả năng làm tê liệt bất kỳ tổ chức nào bằng cách xóa vĩnh viễn dữ liệu của tất cả ổ cứng và bộ nhớ ngoài trên một máy đích, gây thiệt hại lớn về tài chính và uy tín của tổ chức.
Các chuyên gia Kaspersky đã phát hiện ra StoneDrill trong khi đang nghiên cứu các cuộc tấn công của mã độc Shamoon 2.0 (Shamoon 2.0) vào tháng 11 năm ngoái và cuối tháng 1 vừa qua.
Shamoon 2.0 là phiên bản cao hơn của Shamoon – mã độc đã tấn công 15 tổ chức và cơ quan chính phủ trên toàn thế giới, xóa dữ liệu và kiểm soát các bản ghi boot, ngăn không cho các máy tính khởi động lại.
Theo các chuyên gia, mã độc mới StoneDrill được xây dựng theo phong cách tương tự với Shamoon 2.0, nhưng không phải có code giống hệt nhau.
“Việc phát hiện StoneDrill tại châu Âu là dấu hiệu cho thấy nhóm hacker đang mở rộng các cuộc tấn công phá hoại ra ngoài Trung Đông", các chuyên gia cho biết. “Đích nhắm của cuộc tấn công có vẻ là một tập đoàn lớn với phạm vi hoạt động rộng trong ngành dầu khí, không có mối liên hệ nào rõ ràng tới Ả-rập Xê-út".
Các chuyên gia lưu ý rằng các mẫu của Shamoon 2.0 và StoneDrill từng được tải lên nhiều lần trên các công cụ quét tìm virus tại Ả-rập Xê-út vào tháng 11 năm ngoái.
Cách thức hoạt động của StoneDrill
StoneDrill được xây dựng như một dịch vụ và nhắm các hệ thống kết nối trong một tổ chức tới một domain Windows. Để tự phát tán, mã độc dựa vào một danh sách được hard code, username và mật khẩu của quản trị tên miền nhắm tới đã lấy cắp trước đó.
Một khi lây nhiễm, StoneDrill tự động tạo ra một mô-đun mã độc xóa mà không cần kết nối tới bất kỳ máy chủ C&C nào, khiến các thiết bị lây nhiễm hoàn toàn không thể hoạt động.
Một số đặc điểm của StoneDrill:
StoneDrill cũng sử dụng Visual Basic Script để chạy các script tự xóa. Trong khi đó, Shamoon không sử dụng bất kỳ script ngoài nào.
Các chuyên gia đã phát hiện ít nhất 4 máy chủ C&C mà kẻ tấn công từng sử dụng để theo dõi và lấy cắp dữ liệu từ một số mục tiêu nhắm tới.
Hơn nữa, StoneDrill sử dụng kết nối C&C để tương tác với mã độc thay vì sử dụng ‘kill time’ như trong các cuộc tấn công của Shamoon được phân tích vào tháng 1/2017.
Tính năng này hiện không hoạt động nhưng hacker có thể sử dụng trong các cuộc tấn công trong tương lai để kiếm nguồn lợi từ phía nạn nhân.
Mặc dù StoneDrill chủ yếu nhắm tới các tổ chức tại Ả-rập Xê-út, các chuyên gia đã phát hiện mã độc lây nhiễm tại châu Âu. Điều này có nghĩa hacker có thể đang mở rộng chiến dịch của mình.
Mã độc xóa dữ liệu có khả năng làm tê liệt bất kỳ tổ chức nào bằng cách xóa vĩnh viễn dữ liệu của tất cả ổ cứng và bộ nhớ ngoài trên một máy đích, gây thiệt hại lớn về tài chính và uy tín của tổ chức.
Các chuyên gia Kaspersky đã phát hiện ra StoneDrill trong khi đang nghiên cứu các cuộc tấn công của mã độc Shamoon 2.0 (Shamoon 2.0) vào tháng 11 năm ngoái và cuối tháng 1 vừa qua.
Shamoon 2.0 là phiên bản cao hơn của Shamoon – mã độc đã tấn công 15 tổ chức và cơ quan chính phủ trên toàn thế giới, xóa dữ liệu và kiểm soát các bản ghi boot, ngăn không cho các máy tính khởi động lại.
Theo các chuyên gia, mã độc mới StoneDrill được xây dựng theo phong cách tương tự với Shamoon 2.0, nhưng không phải có code giống hệt nhau.
“Việc phát hiện StoneDrill tại châu Âu là dấu hiệu cho thấy nhóm hacker đang mở rộng các cuộc tấn công phá hoại ra ngoài Trung Đông", các chuyên gia cho biết. “Đích nhắm của cuộc tấn công có vẻ là một tập đoàn lớn với phạm vi hoạt động rộng trong ngành dầu khí, không có mối liên hệ nào rõ ràng tới Ả-rập Xê-út".
Các chuyên gia lưu ý rằng các mẫu của Shamoon 2.0 và StoneDrill từng được tải lên nhiều lần trên các công cụ quét tìm virus tại Ả-rập Xê-út vào tháng 11 năm ngoái.
Cách thức hoạt động của StoneDrill
StoneDrill được xây dựng như một dịch vụ và nhắm các hệ thống kết nối trong một tổ chức tới một domain Windows. Để tự phát tán, mã độc dựa vào một danh sách được hard code, username và mật khẩu của quản trị tên miền nhắm tới đã lấy cắp trước đó.
Một khi lây nhiễm, StoneDrill tự động tạo ra một mô-đun mã độc xóa mà không cần kết nối tới bất kỳ máy chủ C&C nào, khiến các thiết bị lây nhiễm hoàn toàn không thể hoạt động.
Một số đặc điểm của StoneDrill:
- Kỹ thuật ‘ẩn náu’ mới
StoneDrill cũng sử dụng Visual Basic Script để chạy các script tự xóa. Trong khi đó, Shamoon không sử dụng bất kỳ script ngoài nào.
- Khả năng Backdoor
Các chuyên gia đã phát hiện ít nhất 4 máy chủ C&C mà kẻ tấn công từng sử dụng để theo dõi và lấy cắp dữ liệu từ một số mục tiêu nhắm tới.
Hơn nữa, StoneDrill sử dụng kết nối C&C để tương tác với mã độc thay vì sử dụng ‘kill time’ như trong các cuộc tấn công của Shamoon được phân tích vào tháng 1/2017.
- Chứa thành phần ransomware
Tính năng này hiện không hoạt động nhưng hacker có thể sử dụng trong các cuộc tấn công trong tương lai để kiếm nguồn lợi từ phía nạn nhân.
Mặc dù StoneDrill chủ yếu nhắm tới các tổ chức tại Ả-rập Xê-út, các chuyên gia đã phát hiện mã độc lây nhiễm tại châu Âu. Điều này có nghĩa hacker có thể đang mở rộng chiến dịch của mình.
Nguồn: The Hacker News