WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Tin tặc tấn công máy chủ Citrix ADC, để lại backdoor sau khi loại bỏ mọi mã độc đào tiền ảo
Citrix ADC (Bộ điều khiển phân phối ứng dụng) hay máy chủ Netscaler mới được phát hiện tồn tại một lỗ hổng thực thi mã từ xa nghiêm trọng. Trong khi nhà sản xuất chưa phát hành bản vá cho lỗ hổng, dù đã có các biện pháp giảm thiểu, tin tặc đang tìm mọi cách để khai thác lỗ hổng này.
Công ty FireEye (Mỹ) đã quan sát thấy nhiều nhóm đang khai thác các thiết bị Citrix Netscaler không áp dụng biện pháp giảm thiểu trong hàng chục vụ tấn công thành công.
FireEye phát hiện ra rằng tội phạm mạng đang sử dụng payload NOTROBIN mới để rà quét các phần mềm độc hại đã được cài đặt trên các thiết bị Citrix Netscaler bị xâm nhập, sau đó xóa bỏ chúng.
Sau khi khai thác lỗ hổng CVE-2019-19781 để có quyền truy cập vào hệ thống Citrix Netscaler, tập lệnh shell Bash sẽ xóa tất cả các công cụ đào tiền ảo đang chạy trên hệ thống. Sau đó, phần mềm độc hại NOTROBIN được tải xuống, cài đặt và duy trì hoạt động trên thiết bị.
NOTROBIN quét các tập lệnh độc hại trong một thư mục cụ thể và xóa bỏ chúng trừ khi tên tệp hoặc chính tệp được mã hoá (bằng hàm băm).
Phần mềm độc hại cũng tìm kiếm các tệp có phần mở rộng .xml trong thư mục khác được sử dụng bởi những kẻ tấn công khai thác lỗ hổng CVE-2019-19781; Nếu NOTROBIN tìm thấy các chuỗi "block" hoặc "BLOCK", các tệp sẽ bị xóa, FireEye cho biết.
Một lần nữa, các tệp được mã hoá (bằng hàm băm) không bị xóa bởi NOTROBIN.
Trên một thiết bị mà FireEye phân tích, NOTROBIN đã chặn thành công hơn một chục nỗ lực khai thác trong 3 ngày.
Việc loại bỏ các công cụ đào tiền ảo có thể được thực hiện để khiến quản trị viên nghĩ rằng không có điều gì bất thường xảy ra với thiết bị Netscaler bị xâm nhập.
Các mẫu khác nhau của NOTROBIN chứa các khóa duy nhất, gây khó khăn cho những kẻ tấn công hoặc nhà cung cấp bảo mật trong việc rà quét các thiết bị Netscaler được "bảo vệ" bởi NOTROBIN.
FireEye tin rằng kẻ đứng sau NOTROBIN duy trì một cửa hậu (backdoor) trên các thiết bị Netscaler bị xâm nhập để được sử dụng trong một chiến dịch sau này.
Cho đến nay, FireEye vẫn chưa thể xác định được liệu tin tặc đứng sau NOTROBIN có quay trở lại các thiết bị bị xâm nhập hay không.
Công ty FireEye (Mỹ) đã quan sát thấy nhiều nhóm đang khai thác các thiết bị Citrix Netscaler không áp dụng biện pháp giảm thiểu trong hàng chục vụ tấn công thành công.
FireEye phát hiện ra rằng tội phạm mạng đang sử dụng payload NOTROBIN mới để rà quét các phần mềm độc hại đã được cài đặt trên các thiết bị Citrix Netscaler bị xâm nhập, sau đó xóa bỏ chúng.
Sau khi khai thác lỗ hổng CVE-2019-19781 để có quyền truy cập vào hệ thống Citrix Netscaler, tập lệnh shell Bash sẽ xóa tất cả các công cụ đào tiền ảo đang chạy trên hệ thống. Sau đó, phần mềm độc hại NOTROBIN được tải xuống, cài đặt và duy trì hoạt động trên thiết bị.
NOTROBIN quét các tập lệnh độc hại trong một thư mục cụ thể và xóa bỏ chúng trừ khi tên tệp hoặc chính tệp được mã hoá (bằng hàm băm).
Phần mềm độc hại cũng tìm kiếm các tệp có phần mở rộng .xml trong thư mục khác được sử dụng bởi những kẻ tấn công khai thác lỗ hổng CVE-2019-19781; Nếu NOTROBIN tìm thấy các chuỗi "block" hoặc "BLOCK", các tệp sẽ bị xóa, FireEye cho biết.
Một lần nữa, các tệp được mã hoá (bằng hàm băm) không bị xóa bởi NOTROBIN.
Trên một thiết bị mà FireEye phân tích, NOTROBIN đã chặn thành công hơn một chục nỗ lực khai thác trong 3 ngày.
Việc loại bỏ các công cụ đào tiền ảo có thể được thực hiện để khiến quản trị viên nghĩ rằng không có điều gì bất thường xảy ra với thiết bị Netscaler bị xâm nhập.
Các mẫu khác nhau của NOTROBIN chứa các khóa duy nhất, gây khó khăn cho những kẻ tấn công hoặc nhà cung cấp bảo mật trong việc rà quét các thiết bị Netscaler được "bảo vệ" bởi NOTROBIN.
FireEye tin rằng kẻ đứng sau NOTROBIN duy trì một cửa hậu (backdoor) trên các thiết bị Netscaler bị xâm nhập để được sử dụng trong một chiến dịch sau này.
Cho đến nay, FireEye vẫn chưa thể xác định được liệu tin tặc đứng sau NOTROBIN có quay trở lại các thiết bị bị xâm nhập hay không.
Theo ITnews