Trojan Stantinko Proxy giả mạo các máy chủ Apache

Hạnh Tâm| 30/11/2020 11:05
Theo dõi ICTVietnam trên

Nhóm tin tặc Stantinko đã sử dụng phiên bản mới của Trojan Linux proxy để giả mạo các máy chủ Apache nhằm tránh bị phát hiện.

Trojan Stantinko Proxy giả mạo các máy chủ Apache - Ảnh 1.

Thông tin chi tiết về trojan này được đưa ra năm 2017, Stantinko được cho là đã hoạt động ít nhất từ năm 2012.

Loại trojan này khiến các hệ thống bị lây nhiễm trở thành một botnet được sử dụng trong các chiến dịch phần mềm quảng cáo lớn, nhưng thực tế là các hoạt động cửa hậu (backdoor), các cuộc tấn công brute-force…

Trước đây, nhóm Stantinko chủ yếu được biết đến với việc nhắm mục tiêu vào các hệ thống Window. Tuy nhiên, các cuộc tấn công gần đây cho thấy chúng cũng đang tập trung phát triển phần mềm độc hại Linux của mình với một Trojan proxy mới giả mạo http, máy chủ giao thức truyền siêu văn bản của Apache (Apache Hypertext Transfer Protocol Server) được tìm thấy trên một số máy chủ Linux.

Các nhà nghiên cứu bảo mật cho biết: "Chúng tôi tin rằng phần mềm độc hại này là một phần của chiến dịch lớn hơn nhằm khai thác các máy chủ Linux bị ảnh hưởng".

Được phát hiện bởi một công cụ chống virus đơn lẻ trên VirusTotal, mẫu thử là một tệp nhị phân ELF 64 bít chưa được gán mã, khi thực thi sẽ thông qua một tệp tin cấu hình. Nếu tệp tin này bị lỗi hoặc thiếu cấu trúc, phần mềm độc hại sẽ ngừng thực thi.

Nếu vượt qua được xác thực, proxy sẽ tự chạy trên nền hệ thống, sau đó nó tạo một socket và một bộ nghe cho phép chấp nhận các kết nối. Theo Intezer, đây có thể là cách mà các máy bị lây nhiễm giao tiếp với nhau.

Phiên bản mới, đã được xác định gần 3 năm sau phiên bản trước, có mục đích tương tự nhưng có một loạt thay đổi, bao gồm cả địa chỉ IP của máy chủ điều khiển bằng lệnh (C&C) được lưu trữ trong tệp tin cấu hình đã bị loại bỏ theo phần mềm độc hại thiếu các tính năng tự cập nhật trong phiên bản mới và thực tế là phiên bản mới được liên kết động.

Một số tên hàm trong mẫu được phát hiện là giống với phiên bản trước, nhưng chúng không được gọi tĩnh trong phiên bản mới. Hơn nữa, các đường dẫn của C&C gợi ý đến các chiến dịch trước đây của nhóm tương tự cho thấy rằng Trojan mới có liên quan tới Stantinko.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Bộ KH&CN kiểm tra toàn diện công tác ứng phó bão Wipha tại Thanh Hoá
    Thứ trưởng Bộ KH&CN Phạm Đức Long biểu dương và ghi nhận sự chuẩn bị chu đáo và sự vào cuộc của cả hệ thống chính trị tỉnh Thanh Hoá trong công tác ứng phó với bão số 3 - Wipha.
  • 7 công bố đổi mới sáng tạo quan trọng của AWS
    Tại AWS Summit New York 2005 vừa diễn ra, AWS đã công bố một loạt những đổi mới sáng tạo quan trọng giúp các tổ chức, doanh nghiệp xây dựng và triển khai các AI agent một cách bảo mật ở quy mô lớn.
  • Chip ADC của CT Group làm được những gì?
    Bản thiết kế chip ADC của người Việt vừa ra mắt cuối tháng 6 vừa qua không chỉ tạo nên “cơn địa chấn” trong cộng đồng công nghệ mà còn mở ra bước đột phá quan trọng cho hành trình chuyển đổi số quốc gia. Đây có thể gọi là bước đột phá cực lớn của ngành bán dẫn tại Việt Nam và qua đó, khẳng định khả năng tự thiết kế chip, làm chủ công nghệ lõi của đội ngũ kỹ sư người Việt – từ công ty Diginal (một thành viên Tập đoàn CT Group).
  • Việt Nam trong Top 10 thế giới về Chỉ số AI
    Việt Nam vừa ghi dấu ấn mạnh mẽ trên bản đồ trí tuệ nhân tạo (AI) thế giới khi xếp thứ 6/40 quốc gia/vùng lãnh thổ về Chỉ số AI do Mạng lưới Nghiên cứu Thị trường Độc lập Toàn cầu (WIN) công bố tháng 7/2025.
  • Văn hoá "làm việc khó" giúp Viettel làm chủ cáp quang biển
    Các tuyến cáp quang biển sẽ đặt nền móng để Việt Nam trở thành trung tâm dữ liệu khu vực, thúc đẩy kinh tế số và vươn tầm quốc tế. Với hệ thống cáp biển đa hướng, dung lượng lớn và chiến lược làm chủ hoàn toàn về công nghệ, Tập đoàn Viettel đang khẳng định bản lĩnh và vị thế trong việc làm chủ hạ tầng kết nối quốc tế, phục vụ cho chiến lược phát triển hạ tầng số quốc gia.
Đừng bỏ lỡ
Trojan Stantinko Proxy giả mạo các máy chủ Apache
POWERED BY ONECMS - A PRODUCT OF NEKO