Trojan Stantinko Proxy giả mạo các máy chủ Apache

Thông tin chi tiết về trojan này được đưa ra năm 2017, Stantinko được cho là đã hoạt động ít nhất từ năm 2012.

Loại trojan này khiến các hệ thống bị lây nhiễm trở thành một botnet được sử dụng trong các chiến dịch phần mềm quảng cáo lớn, nhưng thực tế là các hoạt động cửa hậu (backdoor), các cuộc tấn công brute-force…

Trước đây, nhóm Stantinko chủ yếu được biết đến với việc nhắm mục tiêu vào các hệ thống Window. Tuy nhiên, các cuộc tấn công gần đây cho thấy chúng cũng đang tập trung phát triển phần mềm độc hại Linux của mình với một Trojan proxy mới giả mạo http, máy chủ giao thức truyền siêu văn bản của Apache (Apache Hypertext Transfer Protocol Server) được tìm thấy trên một số máy chủ Linux.

Các nhà nghiên cứu bảo mật cho biết: "Chúng tôi tin rằng phần mềm độc hại này là một phần của chiến dịch lớn hơn nhằm khai thác các máy chủ Linux bị ảnh hưởng".

Được phát hiện bởi một công cụ chống virus đơn lẻ trên VirusTotal, mẫu thử là một tệp nhị phân ELF 64 bít chưa được gán mã, khi thực thi sẽ thông qua một tệp tin cấu hình. Nếu tệp tin này bị lỗi hoặc thiếu cấu trúc, phần mềm độc hại sẽ ngừng thực thi.

Nếu vượt qua được xác thực, proxy sẽ tự chạy trên nền hệ thống, sau đó nó tạo một socket và một bộ nghe cho phép chấp nhận các kết nối. Theo Intezer, đây có thể là cách mà các máy bị lây nhiễm giao tiếp với nhau.

Phiên bản mới, đã được xác định gần 3 năm sau phiên bản trước, có mục đích tương tự nhưng có một loạt thay đổi, bao gồm cả địa chỉ IP của máy chủ điều khiển bằng lệnh (C&C) được lưu trữ trong tệp tin cấu hình đã bị loại bỏ theo phần mềm độc hại thiếu các tính năng tự cập nhật trong phiên bản mới và thực tế là phiên bản mới được liên kết động.

Một số tên hàm trong mẫu được phát hiện là giống với phiên bản trước, nhưng chúng không được gọi tĩnh trong phiên bản mới. Hơn nữa, các đường dẫn của C&C gợi ý đến các chiến dịch trước đây của nhóm tương tự cho thấy rằng Trojan mới có liên quan tới Stantinko.