Kaspersky Lab phát hiện backdoor ShadowPad độc hại nhắm vào doanh nghiệp

www.tuoitre.vn -   17/08/2017 02:00:00 2378

Kaspersky vừa công bố phát hiện mới về sự xuất hiện của một backdoor ShadowPad cho phép kẻ tấn công đẩy những module độc hại đến hệ thống máy của nạn nhân và lấy cắp dữ liệu.

Kaspersky Lab phát hiện backdoor ShadowPad độc hại nhắm vào doanh nghiệp

Các chuyên gia bảo mật từ Kaspersky Lab mới đây đã phát hiện một backdoor độc hại được cài vào một phần mềm quản lý máy chủ, được sử dụng bởi hàng trăm doanh nghiệp lớn trên thế giới. Một khi đươc kích hoạt, backdoor sẽ giúp kẻ tấn công tải về các module độc hại vào hệ thống của nạn nhân hoặc đanh cắp dữ liệu quan trọng. Được biết, hãng đã nhanh chóng thông báo cho NetSarang, nhà cung cấp phần mềm bị lây nhiễm này và kịp thời gỡ bỏ mã độc khỏi hệ thống, ngay lập tức phát hành bản cập nhật cho khách hàng.

Câu chuyện về quá trình phát hiện ra ShadowPad

Tháng 7/2017, nhóm nghiên cứu và phân tích toàn cầu của Kaspersky Lab (hay còn gọi là GReAT) đã tiếp cận một tố chức tài chính. Nhóm chuyên gia bảo mật của tổ chức này đã nghi vấn về các yêu cầu DNS đáng ngờ bắt nguồn từ một hệ thống liên quan đến việc xử lý các giao dịch tài chính.

Trong các cuộc điều tra tiếp theo, nhóm nghiên cứu và phát hiện nguồn gốc của những yêu cầu đáng ngờ này là phần mềm quản lý máy chủ, được sản xuất bởi một công ty hợp pháp và được sử dụng bởi hàng trăm khách hàng trong các lĩnh vực quan trọng như dịch vụ tài chính, giáo dục, viễn thông, sản xuất, năng lượng và vận tải. Phát hiện đáng lo ngại nhất là thực tế nhà cung cấp phần mềm không hề thiết lập phần mềm thực thi những yêu cầu này.

Kaspersky Lab đi sâu vào phân tích thì thấy rằng các yêu cầu đáng ngờ này thực sự là kết quả của một module độc hại ẩn mình bên trong một phiên bản gần đây của phần mềm hợp pháp này. Sau khi cài đặt bản cập nhật phần mềm bị lây nhiễm, module độc hại sẽ bắt đầu gửi truy vấn DNS tới các tên miền cụ thể với tần suất 8 giờ/lần.

Kaspersky Lab phát hiện backdoor ShadowPad độc hại nhắm vào doanh nghiệp

Các nội dung truyền đi bao gồm các thông tin cơ bản về hệ thống của nạn nhân như tên người dùng, tên miền, tên máy chủ lưu trữ. Nếu kẻ tấn công xem hệ thống này có thể khai thác và tấn công được, máy chủ sẽ ra lệnh trả lời và kích hoạt một nền tảng backdoor đầy đủ, âm thầm triển khai bên trong máy tính bị tấn công. Sau đó, backdoor sẽ có thể tải về và thực thi các mã độc hơn theo lệnh của kẻ tấn công.

Sau khi phát hiện, các nhà nghiên cứu Kaspersky Lab đã liên lạc ngay với NetSarang. Công ty này đã phản ứng nhanh và phát hành phiên bản cập nhật của phần mềm mà không có chứa mã độc hại.

Cho đến nay, theo nghiên cứu của Kaspersky Lab, module độc hại đã được kích hoạt ở Hồng Kông, nhưng nó có thể đang nằm yên trên nhiều hệ thống khác trên toàn thế giới, đặc biệt nếu người dùng chưa cài đặt phiên bản cập nhật của phần mềm bị ảnh hưởng.

Ông Igor Soumenkov, chuyên gia bảo mật, Nhóm nghiên cứu và phân tích toàn cầu, Kaspersky Lab cho biết: “ShadowPad là một ví dụ về mức độ nguy hiểm và quy mô lớn một cuộc tấn công chuỗi cung ứng thành công có thể xảy ra. Do cơ hội tiếp cận và thu thập dữ liệu mà nó mang lại cho những kẻ tấn công, rất có thể nó sẽ được thực hiện lại với một số phần mềm khác được sử dụng rộng rãi.

Tất cả các sản phẩm của Kaspersky Lab phát hiện và bảo vệ chống lại phần mềm độc hại của ShadowPad như “Backdoor.Win32.ShadowPad.a”.

Kaspersky Lab khuyên người dùng phải cập nhật ngay phiên bản mới nhất của phần mềm NetSarang, từ đó mô-đun độc hại sẽ được gỡ bỏ và kiểm tra các hệ thống của họ để biết dấu hiệu truy vấn DNS tới các tên miền không bình thường. Một danh sách các tên miền máy chủ lệnh được sử dụng bởi mô-đun độc hại có thể được tìm thấy trong Securelist blogpost, cũng bao gồm các thông tin kỹ thuật về backdoor.

Theo Kaspersky Lab

TIN CÙNG CHUYÊN MỤC

Nhiều trang web chống virus giả mạo này ...

31/05/2024 08:00:00 142
Các chuyên gia bảo mật đã quan sát thấy các tác nhân đe dọa sử dụng các trang web giả mạo giả dạng g...

Top mười từ khóa trên Google không nên t...

31/05/2024 12:00:00 116
Dưới đây là những từ khóa được khuyến cáo không nên tìm kiếm trên Google.

Các nhà nghiên cứu phát hiện hoạt động k...

30/05/2024 08:00:00 115
Các nhà nghiên cứu an ninh mạng đã cảnh báo rằng nhiều lỗ hổng bảo mật có mức độ nghiêm trọng cao tr...

Nội dung của người dùng sẽ bị Facebook t...

30/05/2024 12:00:00 101
Nội dung công khai của người dùng – không phải tin nhắn riêng tư – sẽ được Meta sử dụng để đào tạo v...

Microsoft cảnh báo về sự gia tăng các cu...

29/05/2024 08:00:00 105
Microsoft đã nhấn mạnh sự cần thiết phải bảo mật các thiết bị công nghệ vận hành (OT) có kết nối int...

Elon Musk tố dữ liệu người dùng trên Wha...

29/05/2024 12:00:00 69
Elon Musk tuyên bố rằng WhatsApp xuất tất cả dữ liệu người dùng mỗi đêm, vi phạm quyền riêng tư nghi...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ