Lazarus phát triển khung phần mềm độc hại đa nền tảng mới

Mới đây, các nhà nghiên cứu của Kaspersky đã phát hiện hàng loạt cuộc tấn công sử dụng một loại framework (chương trình khung) độc hại, được gọi là MATA, nhắm vào các hệ điều hành Windows, Linux và macOS.

Theo đó, chiến dịch của MATA được cho là bắt đầu từ đầu tháng 4/2018, với các nạn nhân bị tấn công chủ yếu ở Ba Lan, Đức, Thổ Nhĩ Kỳ, Hàn Quốc, Nhật Bản và Ấn Độ. Điều này cho thấy Lazarus không tập trung vào một khu vực cụ thể. Nhóm tội phạm mạng nhắm vào các doanh nghiệp lớn thuộc nhiều lĩnh vực, trong đó các công ty phát triển phần mềm, thương mại điện tử và các nhà cung cấp dịch vụ Internet.

Báo cáo của Kaspersky cung cấp cái nhìn toàn diện về khung MATA, đồng thời cũng được xây dựng dựa trên các bằng chứng trước đây được thu thập bởi các nhà nghiên cứu từ Netlab 360, Jamf và Malwarebytes trong 8 tháng qua.

Tháng 12 năm ngoái, Netlab 360 đã phát hiện một Trojan truy cập từ xa (RAT) được gọi là Dacls nhắm mục tiêu vào cả hai nền tảng Windows và Linux mà được chia sẻ cơ sở hạ tầng chính với hạ tầng do nhóm Lazarus vận hành.

Sau đó, vào tháng 5, Jamf và Malwarebytes đã phát hiện ra một biến thể macOS của RAT Dacls được phát tán thông qua một ứng dụng xác thực hai yếu tố (2FA) bị nhiễm trojan.

Theo Kaspersky, framework đa nền tảng mới bao gồm nhiều thành phần như: trình tải, bộ điều phối (quản lý và điều phối các quy trình khi thiết bị bị nhiễm) và các trình cắm.

Trong bản phát triển mới nhất, phiên bản Windows của MATA có một trình tải được sử dụng để tải một tải trọng được mã hóa - một modul điều phối ("lsass.exe") có khả năng tải cùng lúc 15 plugin bổ sung và thực thi chúng trong bộ nhớ. Bản thân các plugin chính là các tính năng cho phép mã độc điều khiển các tập tin và quy trình hệ thống, tiêm DLL (một kỹ thuật được sử dụng để chạy mã code trong không gian địa chỉ của một tiến trình khác thông qua cách ép nó tải một thư viện liên kết động) và tạo máy chủ proxy HTTP.

Các plugin MATA cũng cho phép tin tặc nhắm mục tiêu vào các thiết bị mạng như bộ định tuyến, tường lửa hoặc các thiết bị IoT cũng như các hệ thống macOS bằng cách giả mạo một ứng dụng 2FA có tên TinkaOTP mà dựa trên ứng dụng xác thực hai yếu tố nguồn mở MinaOTP.

Một khi các plugin được triển khai, tin tặc sẽ cố gắng xác định vị trí cơ sở dữ liệu của công ty bị xâm nhập và thực hiện một số truy vấn cơ sở dữ liệu để có được thông tin chi tiết về khách hàng. Ngoài ra, các nhà nghiên cứu của Kaspersky cho biết MATA đã được sử dụng để phân phối ransomware VHD tới một nạn nhân ẩn danh.

"Loạt tấn công này cho thấy Lazarus sẵn sàng đầu tư nhiều nguồn lực để phát triển bộ công cụ mới và mở rộng phạm vi tấn công, tập trung vào khai thác tiền và cả dữ liệu", Kaspersky cho biết.

Kaspersky khuyến cáo để tránh trở thành nạn nhân của phần mềm độc hại đa nền tảng, doanh nghiệp nên thực hiện các biện pháp sau:

- Cài đặt chương trình an ninh mạng chuyên dụng trên tất cả các điểm cuối (endpoint) của Windows, Linux và MacOS, ví dụ Kaspersky Endpoint Security for Business. Điều này sẽ giúp bảo vệ hệ thống khỏi những mối đe dọa hiện tại và mới, đồng thời cung cấp một số bước kiểm soát an ninh mạng trên mỗi hệ điều hành khác nhau.

- Cung cấp cho Trung tâm điều hành an ninh mạng (SOC) quyền truy cập vào dịch vụ thông tin tình báo mới nhất để họ cập nhật mọi công cụ, kỹ thuật, chiến thuật mới và mới nổi đang được tin tặc sử dụng.

- Thường xuyên cập nhật bản sao lưu dự phòng dữ liệu doanh nghiệp để có thể khôi phục khẩn cấp trong trường hợp dữ liệu bị mất hoặc bị khóa do ransomware.