- Nhóm tấn công APT Alloy Taurus của Trung Quốc đã tung ra một biến thể mới của phần mềm độc hại...
 |
PingPull để nhằm mục tiêu vào hệ điều hành Linux
Biến thể phần mềm độc hại này đang được sử dụng cùng với một backdoor khác, được biết đến với tên gọi là Sword203 trong một chiến dịch nhằm vào Nam Phi và Nepal. Phần mềm độc hại PingPull Biến thể mới của phần mềm độc hại PingPull là một tệp .ELF, điều này đang bị cảnh báo bởi 3 trong số 62 nhà cung cấp các phần mềm phòng chống vi-rút.
Khi được thực thi, biến thể phần mềm độc hại sử dụng thư viện OpenSSL và yêu cầu HTTP POST để tương tác với các máy chủ C&C. Biến thể này cho phép đối tượng tấn công truy cập và thực hiện các hành vi trái phép. Trong các nghiên cứu gần đây cho thấy rằng trình xử lý lệnh được sử dụng trong phần mềm độc hại này trùng khớp với China Chopper - một web shell được sử dụng trong các cuộc tấn công chống lại các máy chủ của Microsoft Exchange.
Sword2033 backdoor
Sword2033 cũng là một tệp .ELF được phát hiện lần đầu tiên vào tháng 7 năm 2022. Tương tự như biến thể PingPull, Sword2033 được thiết kế để kết nối với cổng 8443 qua HTTPS. Biến thể này cho phép đối tượng tấn công thực thi mã độc và tải xuống các tệp từ hệ thống bị ảnh hưởng. Alloy Taurus thường tận dụng các sản phẩm hợp pháp, chẳng hạn như SoftEther VPN để vượt tránh bị phát hiện và duy trì sự bền bỉ trên hệ thống bị tấn công.
Alloy Taurus vẫn là mối đe đối với các tổ chức viễn thông, tài chính và chính phủ trên khắp Đông Nam Á, Châu Âu và Châu Phi. Việc phát hiện ra biến thể PingPull mới và việc sử dụng backdoor Sword2033 cho thấy nhóm này đang tích cực hoạt động để khởi động nhiều chiến dịch tấn công mạng trong thời gian sắp tới.
Để tránh nguy cơ bị tấn công mạng các cơ quan, tổ chức cần tăng cường kiểm tra, rà soát và sẵn sàng các phương án xử lý kịp thời khi có dấu hiệu bị cài cắm, tấn công mạng.
PV
