Người dùng macOS có nguy cơ bị tấn công bởi mã độc

0
0

- Nhóm tấn công Charming Kitten, còn được biết đến với tên APT42 hay Phosphorus, đã sử dụng mã độc NokNok để tấn công vào hệ điều hành macOS.

Chiến dịch này bắt đầu vào tháng 5 và sử dụng phương thức lây nhiễm khác so với trước đây, bằng việc triển khai payload thông qua các file LNK thay vì tài liệu Word như các chiến dịch trước đó.

Nhóm APT Charming Kitten đã tiến hành ít nhất 30 cuộc tấn công tại 14 quốc gia kể từ năm 2015. Các nghiên cứu đã chỉ ra rằng nhóm này có liên quan tới chính phủ Iran, đặc biệt là Quân đội Cách mạng Hồi giáo Iran (IRGC).

Trước đây, nhóm tấn công này đã sử dụng macro trong các tài liệu Word để lây nhiễm, nhưng hiện đã chuyển sang sử dụng các file LNK. Nhóm này mạo danh là chuyên gia hạt nhân Mỹ và tiếp cận mục tiêu bằng cách mời xem bản nháp chính sách đối ngoại.

 

Tấn công hệ điều hành Windows

Trong cuộc tấn công vào hệ điều hành Windows, sau khi xâm nhập thành công, Charming Kitten gửi cho đối tượng mục tiêu một liên kết độc hại chứa một macro Google Script, đồng thời chuyển hướng đến một địa chỉ Dropbox. Tại đó, một tệp RAR được bảo vệ bằng mật khẩu chứa một dropper mã độc sử dụng mã PowerShell và tệp LNK để triển khai mã độc từ một bên cung cấp dịch vụ lưu trữ đám mây.

Payload cuối cùng là GorjolEcho, một backdoor cơ bản cho phép đối tượng tấn công nhận và thực thi lệnh từ xa. Để tránh bị nghi ngờ, GorjolEcho mở một tệp PDF có nội dung liên quan đến cuộc trò chuyện trước đó giữa nạn nhân và đối tượng tấn công.

Tấn công hệ điều hành macOS

Trong trường hợp nạn nhân sử dụng macOS, nhóm tấn công sẽ nhận ra sau khi lây nhiễm bằng payload Windows không thành công. Nhóm này sẽ gửi một đường dẫn mới tới "library-store[.]camdvr[.]org" để lưu trữ một file ZIP giả dạng ứng dụng RUSI VPN. Khi file  cript Apple trong ZIP được thực thi, lệnh curl sẽ được kích hoạt để tải xuống payload NokNok và triển khai một backdoor trên thiết bị của nạn nhân.

NokNok tạo ra một hệ định danh hệ thống và sử dụng 4 module bash script để duy trì kết nối, thiết lập liên lạc với máy chủ C&C, đồng thời bắt đầu thu thập dữ liệu từ thiết bị bị nhiễm và gửi về máy chủ này.

Mã độc NokNok thu thập các thông tin hệ thống như: phiên bản hệ điều hành, các trình đang chạy và ứng dụng đã cài đặt. Sau đó, NokNok mã hóa toàn bộ dữ liệu thu thập được dưới dạng base64 rồi gửi về cho đối tượng tấn công.

Các chuyên gia bảo mật cho rằng NokNok có thể chứa nhiều chức năng gián điệp khác trên các module chưa được phát hiện. Sự nghi ngờ này xuất phát từ điểm tương đồng trong mã nguồn của NokNok và GhostEcho, một mã độc đã được phân tích trước đó, có khả năng chụp ảnh, thực thi lệnh và xóa dấu vết lây nhiễm mã độc.

Tóm lại, chiến dịch tấn công này cho thấy nhóm APT Charming Kitten có khả năng thích ứng cao và có khả năng tấn công vào hệ điều hành macOS khi cần thiết. Điều này nhấn mạnh mối đe dọa ngày càng gia tăng của các chiến dịch mã độc phức tạp đối với người dùng macOS.

PV


Ý kiến bạn đọc


Lời cảm ơn của gia đình Tổng Bí thư Nguyễn Phú Trọng

Chiều 26/7, ông Nguyễn Trọng Trường, đại diện gia đình Tổng Bí thư Nguyễn Phú Trọng đọc Lời cảm ơn của gia đình Tổng Bí thư tại Lễ Truy điệu.

Bức tâm thư của Phu nhân Tổng Bí thư Lào gửi Phu nhân Tổng Bí thư

(VnMedia) - VnMedia xin đăng tải toàn văn bức tâm thư của Phu nhân Tổng Bí thư Lào Naly Sisoulith gửi Phu nhân Tổng Bí thư Nguyễn Phú Trọng, Ngô Thị Mận.

Nhớ về một người Cộng sản chân chính

(VnMedia)- Mỗi khi nghĩ về Tổng Bí thư Nguyễn Phú Trọng là trong tôi hiện lên hình ảnh một người Cộng sản chân chính. Và, lúc này, tôi lại nhớ đến câu chuyện mẹ tôi vẫn kể trong những năm tháng bà còn sống về cha tôi - một người Cộng sản...

Cảnh báo chiêu trò lừa đảo tuyển người mẫu, cầu thủ nhí trên không gian mạng

(VnMedia) - Bộ Công an vừa phát đi cảnh báo về chiêu trò lừa đảo tuyển mẫu nhí, cầu thủ nhí, người đại diện thương hiệu nhằm chiếm đoạt tài sản qua không gian mạng.

Giá vàng đảo chiều tăng mạnh

(VnMedia) - Chốt phiên giao dịch rạng sáng nay (24/7), giá vàng giao ngay tại thị trường New York đã đảo chiều tăng mạnh hơn 13 USD/ounce. Trong nước, chiều qua, giá vàng miếng SJC vẫn duy trì ở mốc gần 80 triệu đồng/lượng ở chiều bán ra.