Chủ đề

(Không gian mạng) - Các chuyên gia bảo mật đã phát hiện ra một vụ tấn công phát tán trojan ngân hàng ZeuS phiên bản 2.0.8.9 từng bị rò rỉ từ năm 2011.

Vụ tấn công xảy ra vào tháng 8/2017, trong thời gian chuẩn bị cho Lễ Độc lập ở Ukraine, tuy nhiên vụ việc chỉ mới được các nhà nghiên cứu Talos tiết lộ trong báo cáo ngày 04/01.

Phát hiện trojan Zeus phát tán qua website của công ty phần mềm Ukraine

Phát hiện trojan Zeus phát tán qua website của công ty phần mềm Ukraine

Các chuyên gia cũng phát hiện nhiều điểm tương đồng trong vector tấn công giữa vụ tấn công này với vụ NotPetya. Tuy nhiên, trong khi các tin tặc đứng sau NotPetya xâm nhập vào chuỗi cung ứng của phần mềm MEDOC để phân phối mã độc, thì Zeus lại được tin tặc phân phối qua trang web của nhà sản xuất phần mềm kế toán CFM. Zeus được tải xuống nhờ các dowloader phân phối trong các tập tin đính kèm trong một chiến dịch phân phối email rác.

Các nhà nghiên cứu Talos đã có thể đăng ký và sinkhole một trong những tên miền Ra lệnh và Điều khiển (C2) được tin tặc sử dụng, theo cách này các nhà nghiên cứu có thể thu thập thông tin về số lượng và tính chất của các hệ thống bị nhiễm mã độc.

Kẻ tấn công đã sử dụng email rác đính kèm tập tin nén ZIP có chứa tập tin JavaScript, đây là tập tin có nhiệm vụ tải về payload mã độc. Các nhà nghiên cứu phát hiện ra rằng một trong những domain được sử dụng để lưu trữ các payload mã độc được liên kết với trang web của công ty CFM (Ukraine), đây cũng là trang web từng được tin tặc sử dụng nó để phân phối mã độc tống tiền PSCrypt.

Phân tích quá trình lây nhiễm cho thấy, một khi đã được thực thi, mã độc trước tiên sẽ kiểm tra phần mềm ảo (VM) để xác định xem nó có chạy trong môi trường ảo hay không. Nếu không, mã độc sẽ tạo một mục nhập registry để đảm bảo nó được thực thi khi hệ thống khởi động.

Affected-network-providers

Hầu hết các hệ thống bị nhiễm đều nằm ở Ukraine, tiếp đến là Mỹ.

“PJSC Ukrtelecom đã bị ảnh hưởng nặng nề nhất. Nhà cung cấp dịch vụ Internet này là công ty được quản lý bởi Bộ Giao thông Vận tải ở Ukraine. Tổng cộng, chúng tôi đã ghi nhận được 11.925.626 tín hiệu từ 3.165 địa chỉ IP”, theo kết quả phân tích của Talos.

Theo Talos, các tin tặc vẫn đang phát triển kỹ thuật tấn công của chúng và sẽ tăng cường lợi dụng mối quan hệ thân tín giữa các tổ chức và các nhà sản xuất phần mềm đáng tin cậy của họ.

Lâm Quang Dũng (Lược dịch từ: Security Week)

Thích và chia sẻ bài này trên:
Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@trandaiquang.net