Lazarus phát triển khung phần mềm độc hại đa nền tảng mới

TH| 24/07/2020 16:41
Theo dõi ICTVietnam trên

Lazarus Group, nhóm tin tặc khét tiếng, đã tung ra một khung phần mềm độc hại đa nền tảng mới với mục đích xâm nhập các hệ thống của công ty trên khắp thế giới, đánh cắp cơ sở dữ liệu khách hàng và phát tán mã độc tống tiền (ransomware).

Mới đây, các nhà nghiên cứu của Kaspersky đã phát hiện hàng loạt cuộc tấn công sử dụng một loại framework (chương trình khung) độc hại, được gọi là MATA, nhắm vào các hệ điều hành Windows, Linux và macOS.

Theo đó, chiến dịch của MATA được cho là bắt đầu từ đầu tháng 4/2018, với các nạn nhân bị tấn công chủ yếu ở Ba Lan, Đức, Thổ Nhĩ Kỳ, Hàn Quốc, Nhật Bản và Ấn Độ. Điều này cho thấy Lazarus không tập trung vào một khu vực cụ thể. Nhóm tội phạm mạng nhắm vào các doanh nghiệp lớn thuộc nhiều lĩnh vực, trong đó các công ty phát triển phần mềm, thương mại điện tử và các nhà cung cấp dịch vụ Internet.

Báo cáo của Kaspersky cung cấp cái nhìn toàn diện về khung MATA, đồng thời cũng được xây dựng dựa trên các bằng chứng trước đây được thu thập bởi các nhà nghiên cứu từ Netlab 360, Jamf và Malwarebytes trong 8 tháng qua.

Tháng 12 năm ngoái, Netlab 360 đã phát hiện một Trojan truy cập từ xa (RAT) được gọi là Dacls nhắm mục tiêu vào cả hai nền tảng Windows và Linux mà được chia sẻ cơ sở hạ tầng chính với hạ tầng do nhóm Lazarus vận hành.

Sau đó, vào tháng 5, Jamf và Malwarebytes đã phát hiện ra một biến thể macOS của RAT Dacls được phát tán thông qua một ứng dụng xác thực hai yếu tố (2FA) bị nhiễm trojan.

Nhóm tin tặc Lazarus phát triển khung phần mềm độc hại đa nền tảng mới - Ảnh 2.

Các nạn nhân của MATA

Theo Kaspersky, framework đa nền tảng mới bao gồm nhiều thành phần như: trình tải, bộ điều phối (quản lý và điều phối các quy trình khi thiết bị bị nhiễm) và các trình cắm.

Trong bản phát triển mới nhất, phiên bản Windows của MATA có một trình tải được sử dụng để tải một tải trọng được mã hóa - một modul điều phối ("lsass.exe") có khả năng tải cùng lúc 15 plugin bổ sung và thực thi chúng trong bộ nhớ. Bản thân các plugin chính là các tính năng cho phép mã độc điều khiển các tập tin và quy trình hệ thống, tiêm DLL (một kỹ thuật được sử dụng để chạy mã code trong không gian địa chỉ của một tiến trình khác thông qua cách ép nó tải một thư viện liên kết động) và tạo máy chủ proxy HTTP.

Các plugin MATA cũng cho phép tin tặc nhắm mục tiêu vào các thiết bị mạng như bộ định tuyến, tường lửa hoặc các thiết bị IoT cũng như các hệ thống macOS bằng cách giả mạo một ứng dụng 2FA có tên TinkaOTP mà dựa trên ứng dụng xác thực hai yếu tố nguồn mở MinaOTP.

Một khi các plugin được triển khai, tin tặc sẽ cố gắng xác định vị trí cơ sở dữ liệu của công ty bị xâm nhập và thực hiện một số truy vấn cơ sở dữ liệu để có được thông tin chi tiết về khách hàng. Ngoài ra, các nhà nghiên cứu của Kaspersky cho biết MATA đã được sử dụng để phân phối ransomware VHD tới một nạn nhân ẩn danh.

"Loạt tấn công này cho thấy Lazarus sẵn sàng đầu tư nhiều nguồn lực để phát triển bộ công cụ mới và mở rộng phạm vi tấn công, tập trung vào khai thác tiền và cả dữ liệu", Kaspersky cho biết.

Kaspersky khuyến cáo để tránh trở thành nạn nhân của phần mềm độc hại đa nền tảng, doanh nghiệp nên thực hiện các biện pháp sau:

- Cài đặt chương trình an ninh mạng chuyên dụng trên tất cả các điểm cuối (endpoint) của Windows, Linux và MacOS, ví dụ Kaspersky Endpoint Security for Business. Điều này sẽ giúp bảo vệ hệ thống khỏi những mối đe dọa hiện tại và mới, đồng thời cung cấp một số bước kiểm soát an ninh mạng trên mỗi hệ điều hành khác nhau.

- Cung cấp cho Trung tâm điều hành an ninh mạng (SOC) quyền truy cập vào dịch vụ thông tin tình báo mới nhất để họ cập nhật mọi công cụ, kỹ thuật, chiến thuật mới và mới nổi đang được tin tặc sử dụng.

- Thường xuyên cập nhật bản sao lưu dự phòng dữ liệu doanh nghiệp để có thể khôi phục khẩn cấp trong trường hợp dữ liệu bị mất hoặc bị khóa do ransomware.

Bài liên quan
Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Microsoft hắt hơi và lĩnh vực CNTT thế giới cảm lạnh
    Một lỗi trong hệ thống của Crowdstrike, đối tác của Microsoft, đã gây gián đoạn hầu hết các dịch vụ trên hành tinh và là lời cảnh báo lớn về rủi ro hệ thống của dịch vụ đám mây.
  • Còn 11 triệu thuê bao 2G và một số kiến nghị giải pháp
    Tính đến tháng 5/2024, số thuê bao 2G only còn hơn 11 triệu thuê bao, chiếm khoảng 9% tổng số thuê bao di động trên toàn quốc. Các nhà mạng đang kiến nghị các giải pháp giảm số thuê bao 2G khi hệ thống công nghệ này tiến tới dừng hoạt động vào ngày 15/9/2024.
  • VNPT cung cấp đường truyền Internet thế hệ mới XGSPON, đột phá về tốc độ
    Với tốc độ truyền tải tối đa lên tới 10 Gbps, đường truyền Internet công nghệ mới XGigabit-capable Passive Optical Network (XGSPON) của VNPT đang tiên phong trong việc đón đầu, đáp ứng xu hướng kết nối của thời đại số, đem đến trải nghiệm tối ưu cho khách hàng.
  • VinaPhone hỗ trợ khách hàng nâng cấp điện thoại 4G miễn phí
    Thực hiện chủ trương tắt sóng 2G của Bộ Thông tin và Truyền thông vào tháng 9/2024 tới đây, VinaPhone triển khai loạt ưu đãi khách hàng nâng cấp lên điện thoại 4G miễn phí và nhiều ưu đãi hấp dẫn khác để duy trì liên lạc mà không phải lo lắng về chi phí.
  • 4 kỹ năng cần có để không bị AI thay thế
    Sự phát triển bùng nổ của trí tuệ nhân tạo (AI) trong những năm gần đây đã gây ra không ít tranh luận về việc liệu AI có thể thay thế con người và đe dọa trực tiếp đến công việc của người lao động trong tương lai hay không. Theo đó, chúng ta cần trang bị những gì để thích ứng.
  • ‏FPT khai trương văn phòng mới tại Kuala Lumpur, Malaysia‏
    FPT vừa chính thức cắt băng khánh thành văn phòng thứ hai tại Kuala Lumpur, nhằm tăng cường hiện diện của công ty tại khu vực và trên toàn cầu, từ đó mở rộng tiếp cận các khách hàng lớn. ‏
  • Nhân lực ngành quản trị kinh doanh cần cập nhật, ứng dụng công nghệ liên tục
    Quản trị Kinh doanh (QTKD) là một ngành "hot" trong những năm gần đây và dường như vẫn chưa có dấu hiệu hạ nhiệt ngay cả khi hàng loạt ngành học mới liên tục ra đời.
  • VPBank cam kết đầu tư cho các tài năng trẻ lĩnh vực CNTT & Khoa học dữ liệu
    Sau thành công của các sân chơi công nghệ từ VPBank Cloud Technology Day 2023 tới VPBank Technology Hackathon 2024, Ngân hàng đánh giá cao tiềm năng của nhóm nguồn nhân lực trẻ và cam kết tiếp tục đầu tư hơn nữa để tiếp tục mang đến những cơ hội phát triển nghề nghiệp của các tài năng trẻ tại VPBank. Đó cũng là mục tiêu của chương trình VPBank Technology & Data Young Talents mà ngân hàng vừa mới triển khai.
  • VPBank và IFC hợp tác cung ứng vốn cho doanh nghiệp cà phê Việt Nam
    VPBank và Tổ chức Tài chính Quốc tế (IFC) mới đây đã hợp tác đồng tài trợ chuỗi cung ứng cho các công ty xuất khẩu cà phê, trong nỗ lực hỗ trợ cộng đồng doanh nghiệp vừa và nhỏ (SME) của Việt Nam tham gia sâu rộng hơn vào chuỗi cung ứng nông nghiệp toàn cầu.
  • Doanh nghiệp game thứ ba ký kết hợp tác đào tạo với PTIT
    Học viện Công nghệ Bưu chính Viễn thông (PTIT) - Bộ TT&TT và Công ty Cổ phần (CP) APPOTA (APPOTA) đã chính thức công bố hợp tác đào tạo và phát triển nguồn nhân lực ngành công nghiệp game.
Lazarus phát triển khung phần mềm độc hại đa nền tảng mới
POWERED BY ONECMS - A PRODUCT OF NEKO