Kaspersky phát hiện một bộ công cụ mã độc mới nhằm vào các tập đoàn công nghiệp
Các nhà nghiên cứu của Kaspersky đã phát hiện các vụ tấ.n côn.g có chủ đích nhằm vào các tập đoàn công nghiệp bắt đầu từ năm 2018 – hiếm thấy hơn rất nhiều so với các tin tặc phát tán các vụ tấ.n côn.g có chủ đích nhằm vào các nhà ngoại giao và các nhà chính trị cấp cao khác.
Bộ công cụ được sử dụng (ban đầu được tác giả của mã độc đặt tên là MT3) đã được Kaspersky đặt tên mới là “ MontysThree”. Bộ công cụ này sử dụng nhiều kỹ thuật để tránh bị phát hiện, bao gồm cả việc ẩn lưu lượng truyền thông trong máy chủ điều khiển và các dịch vụ điện toán đám mây công cộng, đồng thời che giấu mô-đun mã độc chính bằng kỹ thuật giấu tin ( steganography).
Các cơ quan chính phủ, nhà ngoại giao và nhà mạng viễn thông dường như là những đích tấ.n côn.g ưa thích của các vụ tấ.n côn.g có chủ đích (APT), bởi vì các cá nhân và tổ chức này thường quản lý và xử lý nhiều thông tin mật, nhạy cảm về chính trị. Các chiến lược tấ.n côn.g do thám có chủ đích sẽ ít nhằm vào các cơ sở công nghiệp hơn, nhưng cũng giống như bất kỳ vụ tấ.n côn.g nào khác, chúng vẫn có thể gây ra những hậu quả nghiêm trọng đối với doanh nghiệp. Đó chính là lý do tại sao, khi phát hiện hoạt động của MontysThree, các nhà nghiên cứu của Kaspersky đã rất quan tâm.
Để thực hiện hoạt động do thám, MontysThree triển khai một chương trình mã độc bao gồm bốn mô-đun. Mô-đun thứ nhất – Trình tải (loader) – là bước lây lan ban đầu thông qua sử dụng các file RAR SFX (self-extracted archives – file lưu trữ tự giải nén) có chứa các tên gọi (names) trong danh sách nhân viên, tài liệu kỹ thuật và kết quả chẩn đoán y tế để đán.h lừa nhân viên tải file về – một kỹ thuật lừ.a đả.o (spearphishing) rất phổ biến. Trình Loader chủ yếu chịu trách nhiệm đảm bảo rằng mã độc không bị phát hiện trên hệ thống; để thực hiện điều đó, nó triển khai một kỹ thuật được gọi là steganography (kỹ thuật giấu tin).
Video đang HOT
Steganography được sử dụng để giấu đi thực tế rằng dữ liệu đang bị khai thác. Với trường hợp của MontysThree, payload (phần dữ liệu được truyền đi) của mã độc chính được ngụy trang bằng một file hình ảnh theo định dạng bitmap (một định dạng để lưu trữ hình ảnh số). Nếu nhập vào đúng câu lệnh, trình Loader sẽ sử dụng một thuật toán đặc biệt để giải mã nội dung ma trận điểm ảnh và chạy payload mã độc.
Payload mã độc chính là sử dụng một số kỹ thuật mã hóa để tránh bị phát hiện, cụ thể là sử dụng một thuật toán RSA để mã hóa lưu lượng truyền thông với máy chủ chỉ huy điều khiển và giải mã các “tác vụ” chính mà mã độc ấn định cho nó. Điều đó bao gồm việc tìm kiếm các tài liệu có phần mở rộng nhất định nằm trong các thư mục cụ thể của công ty. MontysThree được thiết kế để tấ.n côn.g các tài liệu Microsoft và Adobe Acrobat; nó còn có thể chụp ảnh màn hình và “lấy dấu vây tay – fingerprint” của đích tấ.n côn.g (nghĩa là thu thập thông tin về tham số cài đặt mạng, tên máy chủ, v.v…) để đán.h giá xem đích đó có hấp dẫn với tin tặc hay không.
Sau đó, thông tin thu thập được và các nội dung truyền thông khác với máy chủ chỉ huy điều khiển được đặt trên các dịch vụ điện toán đám mây công cộng như là Google, Microsoft và Dropbox. Điều đó làm cho lưu lượng truyền thông trở nên khó bị phát hiện dưới dạng mã độc và bởi vì không có phần mềm diệt vi-rút nào chặn các dịch vụ này, nó đảm bảo rằng máy chủ chỉ huy điều khiển có thể thực hiện các câu lệnh một cách liên tục.
MontysThree còn sử dụng một phương pháp đơn giản để duy trì sự ẩn nấp dai dẳng trên hệ thống bị lây nhiễm – một công cụ chỉnh sửa (modifier) phần thanh công cụ chạy ứng dụng nhanh Windows Quick Launch. Người dùng vô tình chạy mô-đun ban đầu của mã độc mỗi khi chạy các ứng dụng chính thống, khi sử dụng thanh công cụ Quick Launch.
Kaspersky chưa phát hiện ra bất kỳ điểm tương đồng nào trong mã độc hay trong cơ sở hạ tầng với bất kỳ APT đã biết nào.
“MontysThree là mã độc thú vị vì thực tế là nó không chỉ nhằm vào các tập đoàn công nghiệp, mà còn vì đó là một tổ hợp của các TTP tinh vi và hơi “a-ma-tơ” một chút. Nói chung, mức độ tinh vi là khác nhau giữa các mô-đun, nhưng vẫn không thể so sánh được với mức độ mà các APT tinh vi sử dụng. Tuy nhiên, chúng sử dụng các tiêu chuẩn mã hóa mạnh và trên thực tế có đưa ra một số quyết định chi tiết về công nghệ, bao gồm cả kỹ thuật giấu tin tùy biến. Có thể điều quan trọng nhất là ở chỗ, rõ ràng là tin tặc đã đầu tư nhiều công sức vào việc phát triển bộ công cụ MontysThree, và điều đó cho thấy rằng, chúng quyết tâm đạt được mục tiêu – và điều đó không có nghĩa rằng đó là một chiến dịch chỉ diễn ra trong thời gian ngắn,” ông Denis Legezo, nghiên cứu viên cao cấp thuộc Nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky chia sẻ.
Kaspersky giới thiệu công cụ hỗ trợ thông tin tấ.n côn.g APT
Kaspersky vừa giới thiệu giải pháp cung cấp thông tin mối đ.e dọ.a cho các nhà phân tích SOC và đội ứng phó sự cố bằng cách đối chiếu mã độc với mẫu phần mềm độc hại, từng được phát tán bởi các nhóm APT.
Hacker thường xuyên có nhiều phương thức khác nhau tấ.n côn.g người dùng
Sử dụng phương pháp độc quyền của mình, Kaspersky Threat Attribution Engine giúp đối chiếu mã độc được phát hiện với mẫu mã độc có trong một trong những cơ sở dữ liệu phần mềm độc hại lớn nhất trong ngành.
Dựa trên sự tương đồng về mã, phần mềm giúp nhận diện sự liên quan giữa mã độc với nhóm hoặc chiến dịch APT (dạng tấ.n côn.g có chủ đích). Thông tin này giúp các chuyên gia bảo mật ưu tiên đối phó các mối đ.e dọ.a rủi ro cao, thay vì tập trung vào những sự cố ít nghiêm trọng hơn.
Bằng việc biết ai đang tấ.n côn.g công ty và với mục đích gì, bộ phận an ninh mạng có thể nhanh chóng đưa ra kế hoạch ứng phó sự cố phù hợp. Tuy nhiên, nhận diện tin tặc đứng sau một cuộc tấ.n côn.g là nhiệm vụ đầy thách thức, không chỉ đòi hỏi lượng lớn thông tin tình báo mối đ.e dọ.a an ninh mạng, mà còn cần những kỹ năng phù hợp để phân tích những thông tin đó. Để tự động hóa việc phân loại và nhận dạng phần mềm độc hại tinh vi, Kaspersky giới thiệu công cụ Kaspersky Threat Attribution Engine.
Giải pháp được phát triển từ một công cụ nội bộ được sử dụng bởi Nhóm nghiên cứu và phân tích toàn cầu của Kaspersky (GReAT). Trước đó, Kaspersky Threat Attribution Engine đã được sử dụng trong quá trình điều tra các chiến dịch tấ.n côn.g iOS implant LightSpy, TajMahal, ShadowHammer, ShadowPad và Dtrack campaigns.
Để xác định mối đ.e dọ.a có liên quan đến một nhóm hoặc chiến dịch APT đã biết hay không, và cụ thể là mối đ.e dọ.a nào, Kaspersky Threat Attribution Engine sẽ tự động phân tách tệp độc hại mới tìm thấy thành các mảnh nhị phân nhỏ. Sau đó, công cụ tiến hành so sánh với các mảnh trong bộ hơn 60.000 tệp liên quan đến tấ.n côn.g APT của Kaspersky. Để chính xác hơn, giải pháp cũng kết hợp một cơ sở dữ liệu lớn các tệp có trong danh sách trắng. Việc này cải thiện đáng kể chất lượng của việc phân loại phần mềm độc hại và nhận dạng tấ.n côn.g, từ đó phục vụ cho hoạt động phản ứng sự cố.
Phát hiện các nhóm mã độc tống tiề.n có chủ đích tại Đông Nam Á Những mã độc tống tiề.n doanh nghiệp vẫn đang phát triển mạnh mẽ, dựa trên thông tin tình báo mối đ.e dọ.a an ninh mạng mới nhất do Kaspersky vừa công bố. Mã độc tống tiề.n vẫn đang bùng nổ trong năm 2020 Ông Vitaly Kamluk, Giám đốc Nhóm nghiên cứu và phân tích toàn cầu (GReAT) khu vực APAC của Kaspersky cho...