Phát hiện cuộc tấn công APT WildPressure bằng mã độc mới nhắm mục tiêu vào Windows và MacOS

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi ToanDV, 08/07/21, 10:07 AM.

  1. ToanDV

    ToanDV Moderator Thành viên BQT

    Tham gia: 02/02/21, 09:02 AM
    Bài viết: 35
    Đã được thích: 7
    Điểm thành tích:
    8
    Một chiến dịch độc hại nhắm vào các tổ chức công nghiệp ở Trung Đông bắt đầu từ năm 2019, sử dụng bộ công cụ phần mềm độc hại nguy hiểm tấn công hệ điều hành Windows và macOS, cho thấy sự mở rộng cả về mục tiêu và chiến lược.
    [​IMG]

    Theo công ty an ninh mạng của Nga, đây là các cuộc tấn công mạng APT, được gọi với tên "Wildressure", nhắm mục tiêu vào ngành dầu khí.
    WildPressure xuất hiện lần đầu vào tháng 3/2020, sử dụng Trojan C++ "Milum", cho phép kẻ tấn công chiếm quyền điều khiển từ xa thiết bị bị xâm nhập. Cũng có thông tin, các cuộc tấn công này xuất hiện sớm hơn, từ tháng 8/2019.
    Nhà nghiên cứu Kaspersky cho biết: " Kẻ tấn công đã sử dụng các máy chủ riêng ảo OVH và Netzbetrieb (VPS) cho thuê và một miền được đăng ký với dịch vụ ẩn danh Domains by Proxy".
    Từ đó, các mẫu mã độc mới được sử dụng trong các cuộc tấn công WildPressure "lộ diện", trong đó có biến thể của Milum Trojan C++, một loại khác thì hoạt động trên cả Windows và MacOS với tên "Guard".
    Trojan đa hệ điều hành trên nền tảng Python, được tạo ra từ mã bên thứ ba, để cung cấp tên máy chủ, kiến trúc máy và phiên bản hệ điều hành cho một máy chủ từ xa và tìm kiếm các phần mềm diệt virus được cài đặt. Sau đó, Trojan chờ các lệnh từ máy chủ, cho phép tải xuống và tải lên các tệp tùy ý, thực hiện các lệnh, cập nhật Trojan và xóa dấu vết của nó khỏi máy chủ nạn nhân.
    Phiên bản VBScript của phần mềm độc hại, có tên "Tandis", có những khả năng tương tự Guard và Milum, đồng thời tận dụng XML được mã hóa qua HTTP cho các giao tiếp lệnh và điều khiển (C2). Một số plugin C ++ chưa từng được biết đến trước đây được sử dụng để thu thập dữ liệu trên các hệ thống bị nhiễm, bao gồm ghi lại thao tác gõ bàn phím và chụp màn hình.
    Chiến dịch tấn công gần đây nhất, ngoài dùng VPS thương mại, còn sử dụng các website WordPress hợp pháp tồn tại lỗ hổng để tấn công vào cơ sở hạ tầng, ở đó các trang đóng vai trò máy chủ trung gian.
    Đến nay, cơ chế lây lan của mã độc vẫn chưa rõ ràng.
     
    Chỉnh sửa cuối: 12/07/21, 04:07 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  1. WhiteHat Team
  2. Marcus1337
  3. WhiteHat Team
  4. WhiteHat News #ID:0911
  5. Ginny Hà