Nguyễn Phú Trọng » An ninh Quốc phòng – Biển Đảo » Mã độc đa tầng CobInt nhắm vào ngân hàng Nga và Romani

(Không gian mạng) - Ngày 11/09, hãng bảo mật Proofpoint (Mỹ) báo cáo phát hiện, nhóm tin tặc Nga Cobalt đang sử dụng mã độc CobInt một cách mạnh mẽ trong chiến dịch mới đây.

Nhóm Cobalt dường như đã ngưng sử dụng loại mã độc này như một dạng downloader giai đoạn đầu vào đầu năm nay, nhưng một chiến dịch diễn ra vào tháng 08/2018 nhắm vào các ngân hàng Nga và Romani cho thấy, tin tặc đang sử dụng lại mã độc này.

Nổi tiếng qua các cuộc tấn công cơ sở tài chính toàn cầu, Cobalt Gang còn thực hiện nhiều chiến dịch nhắm vào tổ chức chính phủ, nhà cung cấp dịch vụ, viễn thông/Internet, ngành công nghiệp sản xuất, giải trí và y tế.Computer crime concept

Từ tháng 07/2018, mã độc CobInt nhiều tầng liên tục xuất hiện trong các cuộc tấn công của nhóm tin tặc này, phát tán mã độc qua tài liệu Office được phát triển nhờ dùng công cụ khai thác ThreadKit builder.

Tài liệu độc nhắm vào những lỗ hổng hiện thời trên Microsoft Office: CVE-2017-8570, CVE-2017-11882 và CVE-2018-0802. Tập tin độc hại sẽ cố gắng thả một trình tải (payload) giai đoạn 1 hoặc liên kết trực tiếp đến downloader CobInt.

Từ ngày 02/08 đến 04/09, Proofpoint phát hiện 4 cuộc tấn công của nóm Cobalt, nỗ lực lây nhiễm mã độc CobInt. Chiến dịch mới đây nhất lợi dụng một tài liệu Office cùng một object liên quan để trích xuất lệnh Vbscript ngoài, khai thác lỗ hổng CVE-2018-8174 để cài payload thực thi mã độc.

Được viết bằng ngôn ngữ C, CobInt là mã độc downloader gồm 3 bước: một downloader khởi điểm, thành phần chính và những mô đun phụ.

Mục đích của downloader giai đoạn đầu là tải về thành phần CoInt chính. Nó có tính năng mã hóa lệnh máy chủ C&C và URI, giấu chức năng của chúng bằng việc sử dụng hàm băm (hashing function) Windows API, và tiến hành tải về giai đoạn tiếp theo qua giao thức HTTPS.

Thành phần chính của CobInt được tải xuống dưới dạng một tập DLL mà giai đoạn 1 cũng thực thi. Thành phần chính này sẽ truy xuất và chạy nhiều mô đun nhận từ máy chủ C&C. Mã độc dùng giao thức HTTPS để liên lạc với máy chủ.

Các chuyên gia Proofpoint phát hiện 4 lệnh mà máy chủ C&C có thể gửi đến mã độc gồm: tải/thực thi mô đun; ngưng kiểm soát vòng máy chủ C&C; thực thi chức năng mà mô đun đưa ra; cập nhật thời gian chờ kiểm soát vòng máy chủ C&C.

Được tải dưới dạng shellcode, những mô đun này bắt đầu thực thi ngay từ điểm vào chỉ định. Mã độc tải về 2 mô đun từ máy chủ C&C, một để gửi hình chụp màn hình về máy chủ, một để gửi danh sách tên các quy trình đang chạy.

Proofpoint lưu ý, đây đều là những bước do thám mà tin tặc muốn thực hiện qua các mô đun bổ sung nhắm đến hệ thống lây nhiễm mà chúng quan tâm.

“ConInt là bằng chứng cho thấy tin tặc … đang gia tăng hướng đến các downloader do thám để bước đầu lây nhiễm hệ thống, và sau đó chỉ cài mã độc bổ sung vào hệ thống chúng quan tâm. Đây dường như là xu hướng mới nhất giúp tin tặc tăng hiệu quả và lựa chọn trình tải cuối phù hợp với đối tượng nạn nhân”, Proofpoint kết luận.

Hồng Anh (Lược dịch từ Security Week)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@nguyenphutrong.org
Thích và chia sẻ bài này trên: