- Một chiến dịch mới đã được triển khai nhằm tấn công các thiết bị Linux và Internet of Things (IoT) nhằm mục đích khai thác trái phép tiền điện tử.
Các đối tượng tấn công sử dụng một backdoor nhằm triển khai các công cụ và cài đặt rootkit cùng với bot IRC để đánh cắp dữ liệu của thiết bị.
Backdoor được cài cắm vào phần mềm OpenSSH đã được vá lỗi trên các thiết bị ảnh hưởng, cho phép đối tượng tấn công đánh cắp thông tin đăng nhập SSH để duy trì truy cập trên thiết bị, xâm nhập vào mạng nội bộ và che giấu các kết nối SSH độc hại khác.
Để tiến hành kế hoạch tấn công này, các máy chủ Linux sẽ được cấu hình để yêu cầu quyền truy cập ban đầu. Sau đó, đối tượng tấn công thực hiện vô hiệu hóa lịch sử trình duyệt đồng thời cài cắm phiên bản OpenSSH bị trojan hóa. Phiên bản OpenSSH giả mạo được cấu hình để cài đặt để khởi chạy backdoor và một tập lệnh shell cho phép đối tượng tấn công triển khai các payload bổ sung và backdoor khai thác khác.
Điều này cho phép kẻ tấn công lấy trộm thông tin từ các thiết bị, cài đặt rootkit Reptile và Diamorphine nhằm che giấu hoạt động độc hại trên các hệ thống bị xâm nhập. Để đảm bảo quyền truy cập liên tục vào thiết bị thông qua SSH, backdoor sẽ thêm hai public key vào tệp authorized_keys của tất cả người dùng trên hệ thống.
Ảnh minh họa |
Các đối tượng tấn công cũng cố gắng giành quyền sử dụng độc quyền các tài nguyên trên hệ thống bị nhiễm bằng cách loại bỏ các chương trình khai thác tiền điện tử cạnh tranh có thể đã được chạy trước đó.
Ngoài ra, mã độc này còn chạy một phiên bản sửa đổi của ZiggyStarTux, đây là một ứng dụng khách cho phép đối tượng tấn công thực hiện tấn công từ chối dịch vụ (DDoS) dựa trên bot IRC, có khả năng thực thi các lệnh bash được đưa ra từ máy chủ điều khiển và điều hành (C&C). Mã độc này dựa trên một botnet khác được gọi là Kaiten (hay còn được gọi là Tsunami).
Cuộc tấn công tận dụng tên miền phụ của một tổ chức tài chính giấu tên ở Đông Nam Á làm đường truyền cho máy chủ C&C, nhằm mục đích ngụy trang lưu lượng độc hại của nó.
Các cuộc tấn công nhằm vào các máy chủ Linux bằng mã độc khai thác tiền điện tử và một biến thể botnet Tsunami được gọi là Ziggy đã trở nên phổ biến.
Để tránh trở thành nạn nhân của các chiến dịch tấn công tương tự, người dùng nên thiết lập hạn chế truy cập đến các thiết bị của mình, tắt các cổng (port) và các dịch vụ không sử dụng. Đồng thời cập nhật đầy đủ các bản vá bảo mật cho các phần mềm, ứng dụng trên các thiết bị.
PV