|
|
Hình ảnh minh hacker gõ máy tính. Ảnh: iStock. |
Chiến dịch tấn công bằng mã độc có tên SPECTRALVIPER đang nhắm vào hàng triệu máy tính đang hoạt động ở Việt Nam, theo cảnh báo của công ty an ninh mạng Elastic Security Labs.
Dữ liệu mô tả chiến dịch tấn công do REF2754, mã tham chiếu trùng khớp với nhóm tin tặc APT32 của Việt Nam, còn được gọi là Canvas Cyclone, Cobalt Kitty và OceanLotus.
Theo đại diện Elastic, SPECTRALVIPER là cửa hậu (backdoor) chưa từng tiết lộ trên kiến trúc x64, sử dụng kỹ thuật xáo trộn mã (obfuscated) với khả năng đưa dữ liệu độc hại vào hệ thống.
Công cụ ProcDump được sử dụng để đưa file DLL chứa DTLOADER được cài đặt để chèn SPECTRALVIPER và các mã độc khác vào hệ thống như P8LOADER, POWERSEAL trong một đợt lây nhiễm do Elastic phát hiện.
Máy chủ do tin tặc kiểm soát được kết nối với SPECTRALVIPER. Khi nhận lệnh kích hoạt, mã độc này có thể tiếp cận để chèn dữ liệu độc hại, truy cập tài nguyên nhạy cảm, chỉnh sửa tệp và thư mục trên hệ thống.
Ngôn ngữ C++ được sử dụng để viết P8LOADER, có khả năng kích hoạt gói dữ liệu độc hại từ tệp hoặc bộ nhớ. POWERSEAL sau đó có thể chạy lệnh trong PowerShell mà không cần sự cho phép của người dùng.
Thông qua lỗ hổng SMB, SPECTRALVIPER sẽ lây nhiễm vào máy tính. Theo thống kê của Bkav, 1/10 máy tính ở Việt Nam có lỗ hổng SMB và có nguy cơ bị nhiễm SPECTRALVIPER.
 |
| Sơ đồ thực thi mã độc SPECTRALVIPER của tin tặc. Ảnh: Elastic Security Labs. |
"Lỗ hổng SMB từng bị virus WannaCry khai thác để lây nhiễm hơn 300.000 máy tính trên toàn thế giới trong vài giờ. Có tới 735.000 máy tính ở Việt Nam vào năm 2018 có mã độc đào tiền mã hóa W32.CoinMiner tấn công bằng khai thác SMB.
Theo ông Nguyễn Tiến Đạt, tổng giám đốc Trung tâm nghiên cứu mã độc của Bkav, vẫn còn khoảng 10% máy tính ở Việt Nam có lỗ hổng này, mặc dù đã được cảnh báo nhiều lần.
Để ngăn chặn thiệt hại, người dùng được khuyên nên cập nhật các bản vá bảo mật cho máy tính càng sớm càng tốt và sao lưu dữ liệu quan trọng.
Trong khi đó, tổ chức và doanh nghiệp cần triển khai các giải pháp an ninh mạng như tường lửa, trung tâm giám sát (SOC) và cơ sở hạ tầng để ngay lập tức phát hiện bất thường và điều chỉnh và xử lý.
Để được hỗ trợ rà soát toàn bộ hệ thống gồm máy chủ, máy trạm và nền tảng đám mây nhằm loại bỏ triệt để mã độc, cần liên hệ các đơn vị chuyên về an ninh mạng.
Nhóm người săn lùng mã độc nguy hiểm nhất thế giới công nghệ
Trong cuốn sách mới, Renee Dudley và Daniel Golden đưa độc giả đến gần hơn với cuộc chiến thầm lặng của những chuyên gia công nghệ toàn cầu chống lại kẻ đứng sau ransomware.
Cập nhật tin tức công nghệ mới nhất tại fanpage Công nghệ & Cuộc sống