Các nhà nghiên cứu bảo mật Trend Micro vừa phát hiện một cửa hậu (backdoor) macOS mới được nhóm tin tặc Việt Nam APT32 sử dụng trong một số cuộc tấn công gần đây.
APT32 còn được biết đến với tên OceanLotus hoặc APT-C-00, nhóm hacker này chủ yếu tấn công vào các tổ chức chính phủ và doanh nghiệp ở Đông Nam Á. Đầu năm nay, nhóm hacker này được cho là đã thực hiện cuộc tấn công gián điệp nhắm vào chính phủ Trung Quốc ngay thời điểm dịch COVID-19 bùng phát.
Khác với những biến thể phần mềm độc hại trước đây, lần này nhóm tin tặc Việt Nam APT32 sử dụng một loại mã độc mới có nhiều điểm tương đồng về cách thức hoạt động và mã nguồn. Vì vậy các chuyên gia bảo mật tin rằng APT32 chính là nhóm tin tặc đứng sau loại phần mềm độc hại mới này. Đáng chú ý hơn, một tài liệu có tên tiếng Việt cũng được sử dụng trong chiến dịch tấn công.
Phiên bản mã độc này giả danh tài liệu Word, nhưng thực tế là ứng dụng được nén trong định dạng ZIP, với một số ký tự đặc biệt trong tên nhằm tránh bị phát hiện. Theo các chuyên gia Trend Micro, gói ứng dụng nén thành định dạng ZIP trên được hệ điều hành xem như loại thư mục không hỗ trợ, nghĩa là chỉ cần dùng lệnh open để mở và thực thi. Trong đó, các nhà nghiên cứu phát hiện hai tập tin gồm tập lệnh shell chuyên thực hiện những quy trình độc hại và tập tin Word hiển thị trong quá trình thực thi.
Cụ thể, tập lệnh shell chịu trách nhiệm xóa thuộc tính của File Quarantine – một công cụ chuyên dụng trên macOS, được dùng để phát cảnh báo khi người dùng mở ứng dụng, tập tin bị nhiễm hoặc nghi nhiễm. Tiếp theo, tập lệnh này sẽ sao chép tài liệu Word vào thư mục tạm thời, mở chúng rồi tiếp tục giải nén tập tin nhị phân giai đoạn hai, thay đổi quyền truy cập rồi xóa gói ứng dụng phần mềm độc hại và tài liệu Word khỏi hệ thống.
Với mã khai thác (payload) giai đoạn hai, tệp lệnh shell sẽ hạn chế mã thực thi giai đoạn ba, tạo độ bền, thay đổi dấu thời gian (timestamp) của mẫu bằng cách dùng lệnh và tự xóa.
Với các chuỗi được mã hóa (encrypted strings), payload giai đoạn ba có hai chức năng chính. Một là thu thập và gửi thông tin hệ điều hành đến máy chủ C&C. Hai là nhận thông tin liên lạc bổ sung và thực hiện các hoạt động của backdoor.
Tương tự các phiên bản mã độc cũ APT32 từng sử dụng, backdoor có thể thực hiện nhiều hoạt động khác nhau dựa trên các lệnh nhận từ máy chủ điều khiển như lấy kích thước tập tin; tải và chạy tập tin; xóa, tải xuống hoặc tải file lên; thoát; chạy các lệnh trong thiết bị đầu cuối và nhận thông tin cấu hình.
Trend Micro cũng đã phân tích một số tên miền C&C được sử dụng trong những phiên bản mã độc mới. Các chuyên gia khuyến cáo người dùng không nên nhấp vào liên kết hoặc tải xuống tập tin đính kèm từ những nguồn không đáng tin cậy, đồng thời nên thường xuyên cập nhật hệ điều hành và ứng dụng, sử dụng các giải pháp bảo mật để tăng cường an ninh hệ thống./.
Mời bạn để lại ý kiến của mình nhé!