Một backdoor nguy hiểm giúp tin tặc hack được cả Windows, macOS và Linux

www.tuoitre.vn -   12/01/2022 12:00:00 1622

Các nhà nghiên cứu an ninh mạng quốc tế vừa phát đi thông báo khẩn về một loại phần mềm độc hại đa nền tảng mới có tên 'SysJoker' đã và đang xuất hiện rầm rộ trên toàn thế giới. Mã độc dạng backdoor này hiện đang tích cực nhắm mục tiêu vào Windows, Linux và macOS - ba nền tảng hệ điều hành PC phổ biến nhất thế giới - với khả năng lẩn tránh phát hiện cực kỳ tinh vi.

Một backdoor nguy hiểm giúp tin tặc hack được cả Windows, macOS và Linux

Việc phát hiện ra backdoor trong các thiết bị nhìn chung là vô cùng khó khăn. Phần mềm độc hại mới này được phát hiện và đặt tên bởi các nhà nghiên cứu tại Intezer, những người lần đầu tiên nhìn thấy dấu hiệu hoạt động của nó vào tháng 12 năm 2021, sau khi điều tra cuộc tấn công vào một máy chủ web dựa trên Linux quy mô khá lớn. Tương tự như các dạng backdoor khác, sự đáng sợ của SysJoker nằm ở chỗ nó rất giỏi trong việc lẩn tránh bị phát hiện, cho phép nó gây thiệt hại âm ỉ, kéo dài mà nạn nhân không hề nhận ra.

Một “Joker” không thích thu hút sự chú ý

Phần mềm độc hại này được viết bằng C++. Đặc biệt nó sẽ có nhiều biến thể khác nhau, trong đó mỗi biến thể lại được tinh chỉnh cho phù hợp với từng hệ điều hành mà nó nhắm mục tiêu. Điều đáng nói là tất cả chúng đều không bị phát hiện trên VirusTotal, một trang web quét phần mềm độc hại trực tuyến nổi tiếng sử dụng 57 công cụ antivirus khác nhau.

Trên Windows, SysJoker sử dụng các lệnh PowerShell để thực hiện những tác vụ độc hại sau:

Tìm nạp ZIP SysJoker từ kho lưu trữ GitHub.

Giải nén nó trên "C:\ProgramData\RecoverySystem\".

Triển khai payload.

Sau đó, phần mềm độc hại sẽ “ngủ” trong tối đa 2 phút trước khi tạo một thư mục mới và tự sao chép dưới dạng Intel Graphics Common User Interface Service (“igfxCUIService.exe”).

Tiếp theo, SysJoker sẽ thu thập thông tin về máy bằng chuỗi lệnh Living off the Land (LOtL). SysJoker sử dụng các tệp văn bản tạm thời khác nhau để ghi lại kết quả của các lệnh. Các tệp văn bản này sau đó sẽ bị xóa ngay lập tức, được lưu trữ trong một đối tượng JSON, sau đó mã hóa và ghi vào tệp có tên "microsoft_Windows.dll”.

Một backdoor nguy hiểm giúp tin tặc hack được cả Windows, macOS và Linux

Sau khi thu thập dữ liệu hệ thống và mạng, phần mềm độc hại sẽ tự đang cao sự ổn định của mình bằng cách thêm một registry key mới:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Bước tiếp theo đối với phần mềm độc hại là tiếp cận với máy chủ C2 do hacker kiểm soát bằng cách sử dụng liên kết Google Drive được mã hóa cứng.

Liên kết lưu trữ tệp "domain.txt" mà tác nhân thường xuyên cập nhật để cung cấp các máy chủ khả dụng cho báo hiệu trực tiếp. Danh sách này liên tục thay đổi để tránh bị phát hiện và chặn.

Thông tin hệ thống được thu thập trong giai đoạn đầu tiên của quá trình lây nhiễm được gửi dưới dạng handshake đầu tiên tới C2. C2 trả lời bằng một mã thông báo duy nhất đóng vai trò là mã nhận dạng của điểm cuối bị nhiễm.

Từ đó, C2 có thể ra lệnh cho backdoor cài đặt thêm phần mềm độc hại, chạy lệnh trên thiết bị bị nhiễm, hoặc thậm chí ra lệnh cho backdoor tự xóa khỏi thiết bị.

Quy trình tương tự cũng được tìm thấy trên các biến thể Linux và macOS.

Một backdoor nguy hiểm giúp tin tặc hack được cả Windows, macOS và Linux

Phát hiện và ngăn ngừa

Intezer đã cung cấp đầy đủ các chỉ số về sự xâm phạm (IOC) trong báo cáo của mình. Qua đó các quản trị viên có thể sử dụng để phát hiện sự hiện diện của SysJoker trên hệ thống của mình.

Dưới đây là một số IOC cho từng hệ điều hành:

Trên Windows, các tệp phần mềm độc hại nằm trong thư mục:

C:\ProgramData\RecoverySystem

tại C:\ProgramData\SystemData\igfxCUIService.exe

 và C:\ProgramData\SystemData\microsoft_Windows.dll

Để tồn tại lâu dài, phần mềm độc hại tạo giá trị Autorun "Run" của "igfxCUIService" để khởi chạy tệp thực thi phần mềm độc hại igfxCUIService.exe.

Trên Linux, các tệp và thư mục được tạo trong "/.Library/”. Tính bền vững của backdoor được thiết lập bằng cách tạo cron job sau: @reboot (/.Library/SystemServices/updateSystem).

Trên macOS, các tệp được tạo trên "/Library/" và đạt được tính ổn định qua LaunchAgent theo đường dẫn: /Library/LaunchAgents/com.apple.update.plist.

Các miền C2 được chia sẻ trong báo cáo Intezer như sau:

https[://]bookitlab[.]tech

https[://]winaudio-tools[.]com

https[://]graphic-updater[.]com

https[://]github[.]url-mini[.]com

https[://]office360-update[.]com

https[://]drive[.]google[.]com/uc?export=download&id=1-NVty4YX0dPHdxkgMrbdCldQCpCaE-Hn

https[://]drive[.]google[.]com/uc?export=download&id=1W64PQQxrwY3XjBnv_QaeBQu-ePr537eu

Một backdoor nguy hiểm giúp tin tặc hack được cả Windows, macOS và Linux

Nếu bạn phát hiện ra hệ thống của mình đã bị xâm nhập bởi SysJoker, hãy làm theo 3 bước sau:

Diệt tất cả các tiến trình liên quan đến phần mềm độc hại và xóa thủ công các tệp cũng như cơ chế duy trì liên quan.

Chạy trình quét bộ nhớ để đảm bảo rằng tất cả các tệp độc hại đã được “nhổ” khỏi hệ thống.

Điều tra các điểm vào tiềm năng, kiểm tra cấu hình tường lửa và cập nhật tất cả các công cụ phần mềm lên phiên bản mới nhất hiện có.

Theo The Hackernews

TIN CÙNG CHUYÊN MỤC

Đọc nhanh tài liệu Word với tính năng AI...

30/08/2024 12:00:00 83
Một tính năng mới rất hữu ích dành cho người dùng Word, cho phép xử lý các tài liệu dài dễ dàng hơn ...

Google tung bản vá bảo mật khẩn cấp cho ...

29/08/2024 12:00:00 69
Hãykiểm tra xem trình duyệt của mình đã tự động cập nhật lên phiên bản mới nhất chưa bằng cách mở cà...

Phần mềm độc hại Android mới NGate đánh ...

28/08/2024 08:00:00 71
Các nhà nghiên cứu an ninh mạng đã phát hiện ra phần mềm độc hại Android mới có thể chuyển tiếp dữ l...

Thời đại AI lên ngôi, ảnh chụp không hẳn...

28/08/2024 12:00:00 80
Với sự xuất hiện của AI, bất kỳ ai cũng có thể tạo ảnh giả với độ chân thực không kém chuyên gia pho...

Trung tâm siêu dữ liệu đang được Google ...

27/08/2024 12:00:00 48
Lý do khiến Google có thể lựa chọn xây trung tâm dữ liệu tại Việt Nam đến từ việc hãng kiếm được ngà...

Google cảnh báo về lỗ hổng bảo mật CVE-2...

26/08/2024 08:00:00 33
Google đã tiết lộ rằng một lỗ hổng bảo mật đã được vá như một phần của bản cập nhật phần mềm được tu...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ