Phát hiện Backdoor ẩn trong phần mềm hàng trăm doanh nghiệp sử dụng


Trong lần tiếp cận một trong những đối tác là một tổ chức tài chính hồi tháng 7/2017, nhóm nghiên cứu và phân tích toàn cầu của Kaspersky Lab (GReAT) đã lo lắng về các yêu cầu DNS (tên miền máy chủ) đáng ngờ bắt nguồn từ một hệ thống liên quan đến việc xử lý các giao dịch tài chính. Các cuộc điều tra tiếp theo cho thấy nguồn gốc của những yêu cầu này là phần mềm quản lý máy chủ được sản xuất bởi NetSarang, một công ty hợp pháp và có hàng trăm khách hàng trong các ngành như dịch vụ tài chính, giáo dục, viễn thông, sản xuất, năng lượng và vận tải tin dùng. Phát hiện đáng lo ngại nhất là thực tế nhà cung cấp không hề thiết lập phần mềm thực hiện những yêu cầu này.



Các phân tích sâu hơn của Kaspersky Lab cho thấy rằng những yêu cầu đáng ngờ thực sự là kết quả hoạt động của mô-đun độc hại được gọi là Backdoor.Win32.ShadowPad.a “núp” bên trong một phiên bản gần đây của phần mềm quản lý máy chủ do NetSarang phát triển. Sau khi cài đặt bản cập nhật phần mềm bị lây nhiễm, mô-đun độc hại sẽ bắt đầu gửi truy vấn DNS tới các tên miền cụ thể (máy chủ lệnh và điều khiển) với tần suất 8 giờ/lần. Yêu cầu sẽ chứa thông tin cơ bản về hệ thống nạn nhân (tên người dùng, tên miền, tên máy chủ lưu trữ). Nếu kẻ tấn công xem hệ thống này là “thú vị”, máy chủ lệnh sẽ trả lời và kích hoạt một nền tảng backdoor vốn sẽ âm thầm triển khai bên trong máy tính bị tấn công. Sau đó, theo lệnh từ những kẻ tấn công từ xa, backdoor sẽ có thể tải về và thực thi mã độc hại hơn.


Phát hiện Backdoor ẩn trong phần mềm hàng trăm doanh nghiệp sử dụng

Người dùng nên cập nhật phần mềm quản lý máy chủ của NetSarang lên phiên bản mới nhất.


Sau khi phát hiện, các nhà nghiên cứu Kaspersky Lab đã liên lạc ngay với NetSarang. Công ty này đã phản ứng nhanh và phát hành phiên bản cập nhật của phần mềm mà không có chứa mã độc hại. Đại diện NetSarang cho biết rất lấy làm tiếc khi bản phát hành Build của dòng sản phẩm đầy đủ của hãng vào ngày 18/7/2017 vô tình đã được “vận chuyển” với một backdoor có khả năng bị khai thác bởi người tạo ra nó.


Cho đến nay, theo nghiên cứu của Kaspersky Lab, mô-đun độc hại đã được kích hoạt ở Hồng Kông, nhưng nó có thể đang âm thầm tồn tại trên nhiều hệ thống khác khắp thế giới, đặc biệt nếu người dùng chưa cài đặt phiên bản cập nhật của phần mềm bị ảnh hưởng.


Khi phân tích các kỹ thuật và quá trình của công cụ được sử dụng bởi những kẻ tấn công, các nhà nghiên cứu của Kaspersky Lab đã đi đến kết luận rằng một số điểm tương đồng đã cho thấy các biến thể của phần mềm độc hại PlugX được sử dụng bởi Winnti APT, một nhóm tội phạm mạng sử dụng tiếng Hoa. Tuy nhiên, thông tin này chưa đủ để kết nối chính xác đến các đối tượng này.


May mắn là NetSarang đã nhanh chóng phản ứng sau thông báo của Kaspersky Lab và đưa ra bản cập nhật phần mềm giúp ngăn chặn dữ liệu bị đánh cắp quay lại tấn công hàng trăm khách hàng của họ. Tuy nhiên, trường hợp này cho thấy các công ty lớn nên dựa vào các giải pháp tiên tiến có khả năng theo dõi hoạt động của mạng và phát hiện các bất thường. Những giải pháp này giúp người dùng doanh nghiệp có thể phát hiện ra hoạt động độc hại ngay cả khi kẻ tấn công đủ tinh vi để ẩn phần mềm độc hại bên trong phần mềm hợp pháp.



Kaspersky Lab khuyên người dùng nên cập nhật ngay phiên bản mới nhất của phần mềm NetSarang, từ đó mô-đun độc hại sẽ được gỡ bỏ và kiểm tra các hệ thống của họ để biết dấu hiệu truy vấn DNS tới các tên miền không bình thường. Người dùng cũng có thể chọn tăng cường bảo mật bằng cách sử dụng các giải pháp của Kaspersky Lab vốn được bảo đảm có khả năng phát hiện và bảo vệ chống lại phần mềm độc hại của ShadowPad.

BÌNH LUẬN

THỦ THUẬT HAY

Thay đổi điện thoại Android theo ý bạn một cách đơn giản

Bạn nên cầm sẵn cái điện thoại Android của mình, mở bài này ra, đọc tới đâu cài liền app tới đó để vọc ngay cho nóng nhé.

Get link tải max speed Fshare, 4share, Mp3.zing, phim HD không kèm quảng cáo

Fshare.vn, 4share.vn, rapidgator, nitroflare, filenext, mediafire, mp3.zing.vn, nhaccuatui.com, hdo.tv, phimmoi.net, fcine.net, hdviet.com, phimnhanh.com, play.google, youtube.com, bilutv.net, soundcloud.com, mega.nz, openload, tv.zing.vn.

Thủ thuật iOS 10: 3 cách giúp bạn nghe nhạc không bị gián đoạn bởi nontifications

Bạn đang nghe nhạc và khó chịu khi bị những tiếng thông báo làm gián đoạn? 3 thủ thuật iOS 10 nhỏ sau đây sẽ giúp bạn.

Hai cách cập nhật dòng tweet 280 kí tự trên Twitter

Như bạn đã biết, Twitter vốn chỉ cho phép viết một dòng tweet dài tối đa 140 kí tự. Nhưng họ đang thử nghiệm với con số kí tự gấp đôi để bạn có thể bày tỏ nhiều hơn.

ĐÁNH GIÁ NHANH

Đánh giá OPPO F1s: Vua selfie trong tầm giá dưới 6 triệu

Vừa qua, OPPO đã chính thức giới thiệu F1s tới người dùng Việt Nam, mẫu di động được xem là người kế nhiệm của 'chuyên gia selfie' F1 với camera...

Đánh giá Gionee S6s: Phá đảo phân khúc dưới 3,5 triệu đồng

Đánh giá chi tiết những điểm đáng đồng tiền bát gạo trên Gionee S6s. Sau khi giảm giá chính hãng đến cả triệu đồng, S6s liệu còn đáng mua ở phân...

Đánh giá iPhone 12 mini sau 1 năm ra mắt: Có đáng mua trong năm 2021?

Sau một năm ra mắt, iPhone 12 mini vẫn tự tin đánh bại mọi đối thủ với hiệu suất mạnh mẽ vượt trội và đặc biệt là mức giá bán phải chăng.

BẠN ĐÃ XEM