Hàng trăm máy chủ trên thế giới đang gặp nguy hiểm bởi backdoor này

Gốc
Backdoor này được cài vào một phần mềm quản lý máy chủ mà hiện đang được sử dụng bởi hàng trăm doanh nghiệp lớn trên thế giới.

Các chuyên gia Kaspersky Lab đã phát hiện ra một backdoor được cài vào một phần mềm quản lý máy chủ mà hiện đang được sử dụng bởi hàng trăm doanh nghiệp lớn trên thế giới. Khi kích hoạt, backdoor này cho phép kẻ tấn công tải về các thành phần độc hại để lấy cắp dữ liệu. Kaspersky Lab đã thông báo cho NetSarang - nhà cung cấp phần mềm bị lây nhiễm, và họ đã kịp thời gỡ bỏ mã độc đồng thời phát hành bản cập nhật cho khách hàng.

Hàng trăm máy chủ trên thế giới đang gặp nguy hiểm bởi backdoor này - Ảnh 1

Backdoor là thành phần nguy hiểm khi nó tích hợp trong các phần mềm hợp pháp.

Trước đó, vào tháng 7/2017, nhóm nghiên cứu và phân tích toàn cầu của Kaspersky Lab (GReAT) đã tiếp nhận thông tin từ một đối tác trong lĩnh vực tài chính. Các chuyên gia bảo mật của tổ chức này tỏ ra lo lắng về các yêu cầu DNS (tên miền máy chủ) đáng ngờ bắt nguồn từ một hệ thống liên quan đến việc xử lý các giao dịch tài chính. Các cuộc điều tra tiếp theo cho thấy, nguồn gốc của những yêu cầu đó là phần mềm quản lý máy chủ được sản xuất bởi một công ty hợp pháp và được sử dụng bởi hàng trăm khách hàng trong các ngành như dịch vụ tài chính, giáo dục, viễn thông, sản xuất, năng lượng và vận tải. Điều đáng lo ngại nhất là nhà cung cấp không hề thiết lập phần mềm thực hiện những yêu cầu này.

Hàng trăm máy chủ trên thế giới đang gặp nguy hiểm bởi backdoor này - Ảnh 2

Một số truy vấn của mã độc.

Các phân tích sâu hơn của Kaspersky Lab cho thấy rằng, các yêu cầu đáng ngờ đúng là sự hoạt động của một thành phần độc hại ẩn bên trong một phiên bản gần đây của phần mềm hợp pháp này. Sau khi cài đặt bản cập nhật phần mềm bị lây nhiễm, thành phần độc hại sẽ bắt đầu gửi truy vấn DNS tới các tên miền cụ thể (máy chủ lệnh và điều khiển) với tần suất 8 giờ một lần.

Yêu cầu sẽ chứa thông tin cơ bản về hệ thống nạn nhân (tên người dùng, tên miền, tên máy chủ lưu trữ). Nếu kẻ tấn công đánh giá hệ thống này "thú vị", máy chủ lệnh sẽ trả lời và kích hoạt một nền tảng backdoor đầy đủ chính thức mà sau đó sẽ âm thầm triển khai bên trong máy tính bị tấn công. Sau đó, theo lệnh từ những kẻ tấn công, nền tảng backdoor sẽ có thể tải về và thực thi mã độc hại hơn.

Cho đến nay, theo nghiên cứu của Kaspersky Lab, thành phần độc hại đã được kích hoạt ở Hồng Kông nhưng nó có thể đang nằm yên trên nhiều hệ thống khác trên toàn thế giới, đặc biệt nếu người dùng chưa cài đặt phiên bản cập nhật của phần mềm bị ảnh hưởng.

Khi phân tích các kỹ thuật và quá trình hoạt động của công cụ được sử dụng bởi những kẻ tấn công, các nhà nghiên cứu của Kaspersky Lab đã đi đến kết luận rằng có một số điểm tương đồng với các biến thể của phần mềm độc hại PlugX được sử dụng bởi Winnti APT -  một nhóm tội phạm mạng nói tiếng Hoa. Tuy nhiên, thông tin này chưa đủ để kết nối chính xác đến các đối tượng này.

Kaspersky Lab khuyên người dùng phải cập nhật ngay phiên bản mới nhất của phần mềm NetSarang, từ đó thành phần độc hại sẽ được gỡ bỏ. Đồng thời kiểm tra các hệ thống của họ để biết dấu hiệu truy vấn DNS tới các tên miền không bình thường.

“Để chống lại những hình thức tấn công không ngừng thay đổi, NetSarang đã kết hợp nhiều phương thức và biện pháp khác nhau để ngăn chặn dòng sản phẩm của chúng tôi không bị xâm nhập, bị lây nhiễm hoặc sử dụng bởi các nhóm tội phạm mạng. Thật đáng tiếc khi bản phát hành Build dòng sản phẩm đầy đủ của chúng tôi vào ngày 18/7 vô tình đã bị đính kèm với một backdoor, có khả năng bị khai thác bởi người tạo ra nó", NetSarang cho biết trong một tuyên bố.

Tin nóng

Tin mới