Một backdoor nguy hiểm giúp tin tặc hack được cả Windows, macOS và Linux

www.tuoitre.vn -   12/01/2022 12:00:00 776

Các nhà nghiên cứu an ninh mạng quốc tế vừa phát đi thông báo khẩn về một loại phần mềm độc hại đa nền tảng mới có tên 'SysJoker' đã và đang xuất hiện rầm rộ trên toàn thế giới. Mã độc dạng backdoor này hiện đang tích cực nhắm mục tiêu vào Windows, Linux và macOS - ba nền tảng hệ điều hành PC phổ biến nhất thế giới - với khả năng lẩn tránh phát hiện cực kỳ tinh vi.

Một backdoor nguy hiểm giúp tin tặc hack được cả Windows, macOS và Linux

Việc phát hiện ra backdoor trong các thiết bị nhìn chung là vô cùng khó khăn. Phần mềm độc hại mới này được phát hiện và đặt tên bởi các nhà nghiên cứu tại Intezer, những người lần đầu tiên nhìn thấy dấu hiệu hoạt động của nó vào tháng 12 năm 2021, sau khi điều tra cuộc tấn công vào một máy chủ web dựa trên Linux quy mô khá lớn. Tương tự như các dạng backdoor khác, sự đáng sợ của SysJoker nằm ở chỗ nó rất giỏi trong việc lẩn tránh bị phát hiện, cho phép nó gây thiệt hại âm ỉ, kéo dài mà nạn nhân không hề nhận ra.

Một “Joker” không thích thu hút sự chú ý

Phần mềm độc hại này được viết bằng C++. Đặc biệt nó sẽ có nhiều biến thể khác nhau, trong đó mỗi biến thể lại được tinh chỉnh cho phù hợp với từng hệ điều hành mà nó nhắm mục tiêu. Điều đáng nói là tất cả chúng đều không bị phát hiện trên VirusTotal, một trang web quét phần mềm độc hại trực tuyến nổi tiếng sử dụng 57 công cụ antivirus khác nhau.

Trên Windows, SysJoker sử dụng các lệnh PowerShell để thực hiện những tác vụ độc hại sau:

Tìm nạp ZIP SysJoker từ kho lưu trữ GitHub.

Giải nén nó trên "C:\ProgramData\RecoverySystem\".

Triển khai payload.

Sau đó, phần mềm độc hại sẽ “ngủ” trong tối đa 2 phút trước khi tạo một thư mục mới và tự sao chép dưới dạng Intel Graphics Common User Interface Service (“igfxCUIService.exe”).

Tiếp theo, SysJoker sẽ thu thập thông tin về máy bằng chuỗi lệnh Living off the Land (LOtL). SysJoker sử dụng các tệp văn bản tạm thời khác nhau để ghi lại kết quả của các lệnh. Các tệp văn bản này sau đó sẽ bị xóa ngay lập tức, được lưu trữ trong một đối tượng JSON, sau đó mã hóa và ghi vào tệp có tên "microsoft_Windows.dll”.

Một backdoor nguy hiểm giúp tin tặc hack được cả Windows, macOS và Linux

Sau khi thu thập dữ liệu hệ thống và mạng, phần mềm độc hại sẽ tự đang cao sự ổn định của mình bằng cách thêm một registry key mới:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Bước tiếp theo đối với phần mềm độc hại là tiếp cận với máy chủ C2 do hacker kiểm soát bằng cách sử dụng liên kết Google Drive được mã hóa cứng.

Liên kết lưu trữ tệp "domain.txt" mà tác nhân thường xuyên cập nhật để cung cấp các máy chủ khả dụng cho báo hiệu trực tiếp. Danh sách này liên tục thay đổi để tránh bị phát hiện và chặn.

Thông tin hệ thống được thu thập trong giai đoạn đầu tiên của quá trình lây nhiễm được gửi dưới dạng handshake đầu tiên tới C2. C2 trả lời bằng một mã thông báo duy nhất đóng vai trò là mã nhận dạng của điểm cuối bị nhiễm.

Từ đó, C2 có thể ra lệnh cho backdoor cài đặt thêm phần mềm độc hại, chạy lệnh trên thiết bị bị nhiễm, hoặc thậm chí ra lệnh cho backdoor tự xóa khỏi thiết bị.

Quy trình tương tự cũng được tìm thấy trên các biến thể Linux và macOS.

Một backdoor nguy hiểm giúp tin tặc hack được cả Windows, macOS và Linux

Phát hiện và ngăn ngừa

Intezer đã cung cấp đầy đủ các chỉ số về sự xâm phạm (IOC) trong báo cáo của mình. Qua đó các quản trị viên có thể sử dụng để phát hiện sự hiện diện của SysJoker trên hệ thống của mình.

Dưới đây là một số IOC cho từng hệ điều hành:

Trên Windows, các tệp phần mềm độc hại nằm trong thư mục:

C:\ProgramData\RecoverySystem

tại C:\ProgramData\SystemData\igfxCUIService.exe

 và C:\ProgramData\SystemData\microsoft_Windows.dll

Để tồn tại lâu dài, phần mềm độc hại tạo giá trị Autorun "Run" của "igfxCUIService" để khởi chạy tệp thực thi phần mềm độc hại igfxCUIService.exe.

Trên Linux, các tệp và thư mục được tạo trong "/.Library/”. Tính bền vững của backdoor được thiết lập bằng cách tạo cron job sau: @reboot (/.Library/SystemServices/updateSystem).

Trên macOS, các tệp được tạo trên "/Library/" và đạt được tính ổn định qua LaunchAgent theo đường dẫn: /Library/LaunchAgents/com.apple.update.plist.

Các miền C2 được chia sẻ trong báo cáo Intezer như sau:

https[://]bookitlab[.]tech

https[://]winaudio-tools[.]com

https[://]graphic-updater[.]com

https[://]github[.]url-mini[.]com

https[://]office360-update[.]com

https[://]drive[.]google[.]com/uc?export=download&id=1-NVty4YX0dPHdxkgMrbdCldQCpCaE-Hn

https[://]drive[.]google[.]com/uc?export=download&id=1W64PQQxrwY3XjBnv_QaeBQu-ePr537eu

Một backdoor nguy hiểm giúp tin tặc hack được cả Windows, macOS và Linux

Nếu bạn phát hiện ra hệ thống của mình đã bị xâm nhập bởi SysJoker, hãy làm theo 3 bước sau:

Diệt tất cả các tiến trình liên quan đến phần mềm độc hại và xóa thủ công các tệp cũng như cơ chế duy trì liên quan.

Chạy trình quét bộ nhớ để đảm bảo rằng tất cả các tệp độc hại đã được “nhổ” khỏi hệ thống.

Điều tra các điểm vào tiềm năng, kiểm tra cấu hình tường lửa và cập nhật tất cả các công cụ phần mềm lên phiên bản mới nhất hiện có.

Theo The Hackernews

TIN CÙNG CHUYÊN MỤC

Phát hiện Dell, HP, Lenovo đang dùng các...

30/11/2022 08:00:00 30
Một phân tích về hình ảnh chương trình cơ sở trên các thiết bị của Dell, HP và Lenovo đã tiết lộ sự ...

Cập nhật ngay trình duyệt Chrome để vá l...

30/11/2022 08:00:00 38
Google hôm thứ Năm đã phát hành bản cập nhật phần mềm để giải quyết một lỗ hổng zero-day khác trong ...

Hàng triệu thiết bị Android vẫn chưa có ...

29/11/2022 08:00:00 38
Một bộ năm lỗ hổng bảo mật mức độ nghiêm trọng trung bình trong trình điều khiển GPU Mali của Arm đã...

Hàng nghìn thiết bị bị lây nhiễm phần mề...

28/11/2022 08:00:00 43
Phần mềm độc hại lừa đảo ngân hàng Android được gọi là SharkBot một lần nữa xuất hiện trên Cửa hàng ...

34 nhóm tội phạm mạng Nga đã đánh cắp hơ...

25/11/2022 08:00:00 33
Có tới 34 băng nhóm nói tiếng Nga đang phân phối phần mềm độc hại đánh cắp thông tin theo mô hình kẻ...

Chuyên gia Kaspersky: Số lượng mã độc đà...

24/11/2022 08:00:00 78
Trong Quý 3/2022, các nhà nghiên cứu tại Kaspersky nhận thấy sự gia tăng mạnh mẽ của mã độc đào tiền...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ