Phát hiện mã độc ẩn trong phần mềm quản lý máy chủ của NetSarang

Phát hiện mã độc ẩn trong phần mềm quản lý máy chủ của NetSarang

Chuyên gia Kaspersky Lab khuyên người dùng phải cập nhật ngay phiên bản mới nhất của phần mềm NetSarang, từ đó mô-đun độc hại sẽ được gỡ bỏ (Ảnh minh họa)


Trong thông tin phát ra tối qua, 16/8/2017, Kaspersky cho biết, tháng 7/2017, một tổ chức tài chính là đối tác của hãng đã tiếp cận với nhóm nghiên cứu và phân tích toàn cầu Kaspersky Lab. Các chuyên gia bảo mật của tổ chức tài chính này lo lắng về các yêu cầu DNS (tên miền máy chủ) đáng ngờ bắt nguồn từ một hệ thống liên quan đến việc xử lý các giao dịch tài chính.


Các cuộc điều tra tiếp theo cho thấy nguồn gốc của những yêu cầu là phần mềm quản lý máy chủ được sản xuất bởi một công ty hợp pháp và được hàng trăm doanh nghiệp lớn trên thế giới  trong các ngành tài chính, giáo dục, viễn thông, sản xuất, năng lượng và vận tải sử dụng. Đáng lo ngại là nhà cung cấp không hề thiết lập phần mềm thực hiện những yêu cầu này.


Các phân tích sâu hơn của Kaspersky Lab cho thấy, những yêu cầu đáng ngờ thực sự là kết quả hoạt động của một mô-đun độc hại ẩn bên trong một phiên bản gần đây của phần mềm hợp pháp này. Sau khi cài đặt bản cập nhật phần mềm bị lây nhiễm, mô-đun độc hại sẽ bắt đầu gửi truy vấn DNS tới các tên miền cụ thể (máy chủ lệnh và điều khiển) với tần suất 8 giờ/lần.


Yêu cầu sẽ chứa thông tin cơ bản về hệ thống nạn nhân (tên người dùng, tên miền, tên máy chủ lưu trữ). Nếu kẻ tấn công xem hệ thống này là “thú vị”, máy chủ lệnh sẽ trả lời và kích hoạt một nền tảng backdoor đầy đủ chính thức âm thầm triển khai bên trong máy tính bị tấn công. Sau đó, theo lệnh từ những kẻ tấn công, nền tảng backdoor sẽ có thể tải về và thực thi mã độc hại hơn.


Sau khi phát hiện, Kaspersky Lab đã thông báo cho NetSarang - nhà cung cấp phần mềm bị lây nhiễm và nhà cung cấp này đã kịp thời gỡ bỏ mã độc và phát hành bản cập nhật cho khách hàng.


Đến nay, theo nghiên cứu của Kaspersky Lab, mô-đun độc hại đã được kích hoạt ở Hồng Kông. Nhưng nó có thể đang nằm yên trên nhiều hệ thống khác trên toàn thế giới, đặc biệt nếu người dùng chưa cài đặt phiên bản cập nhật của phần mềm bị ảnh hưởng.


Ông Igor Soumenkov, thành viên Nhóm nghiên cứu và phân tích toàn cầu của Kaspersky Lab cho biết, việc NetSarang nhanh chóng phản ứng sau thông báo của hãng và đưa ra bản cập nhật phần mềm gần như đã ngăn chặn hàng trăm dữ liệu bị đánh cắp quay lại tấn công khách hàng của họ.


“Tuy nhiên, trường hợp này cho thấy các công ty lớn nên dựa vào các giải pháp tiên tiến có khả năng theo dõi hoạt động của mạng và phát hiện các bất thường. Những giải pháp này giúp bạn có thể phát hiện ra hoạt động độc hại ngay cả khi kẻ tấn công đủ tinh vi để ẩn phần mềm độc hại bên trong phần mềm hợp pháp”, ông Igor Soumenkov nói.


Chuyên gia Kaspersky Lab cho biết thêm: “Khi phân tích các kỹ thuật và quá trình của công cụ được sử dụng bởi những kẻ tấn công, các nhà nghiên cứu của hãng đã đi đến kết luận rằng một số điểm tương đồng cho thấy các biến thể của phần mềm độc hại PlugX được sử dụng bởi Winnti APT - một nhóm tội phạm mạng nói tiếng Hoa. Tuy nhiên, thông tin này chưa đủ để kết nối chính xác đến các đối tượng này”.


Kaspersky Lab khẳng định tất cả các sản phẩm của hãng có thể phát hiện và bảo vệ chống lại phần mềm độc hại của ShadowPad như “Backdoor.Win32.ShadowPad.a”.


Hãng bảo mật này cũng khuyên người dùng phải cập nhật ngay phiên bản mới nhất của phần mềm NetSarang, từ đó mô-đun độc hại sẽ được gỡ bỏ.  Đồng thời, người dùng cần kiểm tra các hệ thống của họ để biết dấu hiệu truy vấn DNS tới các tên miền không bình thường. Một danh sách các tên miền máy chủ lệnh được sử dụng bởi mô-đun độc hại có thể được tìm thấy trong Securelist blogpost, cũng bao gồm các thông tin kỹ thuật về backdoor.

TIN LIÊN QUAN

Phát hiện Backdoor ẩn trong phần mềm hàng trăm doanh nghiệp sử dụng

Theo các chuyên gia bảo mật Kaspersky Lab, một khi kích hoạt, backdoor được gọi là ShadowPad sẽ mở đường cho tin tặc tải về các mô-đun ‘kịch độc’ hoặc dễ dàng lấy cắp dữ liệu người dùng doanh nghiệp.

Hàng trăm máy chủ trên thế giới đang gặp nguy hiểm bởi backdoor này

Backdoor này được cài vào một phần mềm quản lý máy chủ mà hiện đang được sử dụng bởi hàng trăm doanh nghiệp lớn trên thế giới.

Kaspersky Lab nêu tên nghi phạm các cuộc tấn công mạng vào quân đội Hàn và các vụ trộm ATM

Sau một phân tích phần mềm độc hại, các nhà nghiên cứu Kaspersky Lab đã kết nối cuộc tấn công vào cơ quan quốc phòng Hàn Quốc năm 2016 với một cuộc tấn công sau đó đã lây nhiễm 60 máy ATM và lấy trộm dữ liệu của hơn 2.000 thẻ tín dụng. Mã độc và kỹ

Kaspersky: Việt Nam là nguồn phát tán thư rác lớn nhất trong quý 2

Báo cáo “Spam và lừa đảo trong quý 2” của hãng bảo mật Kaspersky Lab đưa ra ngày 7/9 cho thấy, Việt Nam là quốc gia có nguồn phát tán thư rác lớn nhất thế giới với 12,37%, vượt qua Mỹ (10,1%) và Trung Quốc (8,96%).

Kaspersky đóng cửa văn phòng tại Washington D.C nhưng chưa từ bỏ thị trường Bắc Mỹ

Chính quyền Hoa Kỳ bắt đầu quan ngại về việc sử dụng các sản phẩm của Kaspersky trên hệ thống máy tính chính phủ từ hồi đầu năm nay.

Thượng viện Mỹ bỏ phiếu để nói "Không" với Kaspersky Lab

Sáng 19/9 (theo giờ Việt Nam), Thượng viện Mỹ đã bỏ phiếu cấm sử dụng các sản phẩm của công ty an ninh mạng Kaspersky Lab có trụ sở tại Nga trong hệ thống máy vi tính liên bang Mỹ, với lý do lo ngại công ty này tiềm ẩn các nguy cơ đối với an ninh

Kaspersky lần đầu tiên phát hành báo cáo minh bạch thông tin an ninh mạng

Với mong muốn hỗ trợ công cuộc chống lại tội phạm mạng xuyên quốc gia và đảm bảo người dùng được an toàn, được bảo vệ và có thể tự tin khi trực tuyến, Kaspersky đã hợp tác với các cơ quan hành pháp LEA trên toàn cầu để đảm bảo tính minh bạch thông

Phần mềm của Kaspersky đang bị gỡ khỏi các kệ hàng tại Mỹ vì một vụ việc năm 2015

Vận đen vẫn chưa chấm dứt đối với Kaspersky, sau khi bị chính phủ Mỹ 'tẩy chay' thì hồi tuần qua, phần mềm bảo mật của Kaspersky đã bị cáo buộc được các tin tặc làm việc cho Nga sử dụng để hack vào máy tính của một nhà thầu thuộc Cơ quan an ninh

THỦ THUẬT HAY

Hướng dẫn thiết lập truy cập SSH trong Windows 10

Tuy nhiên, nhờ Windows PowerShell, bạn có thể không cần tới PuTTY nữa. Hãy cùng chúng tôi tìm hiểu cách thiết lập truy cập SSH trong Windows 10 và xem liệu công cụ mới này có thể thay thế PuTTY hay không.

Hướng dẫn xem nhanh thông tin thời tiết ngay trên màn hình khóa với iOS 12

Nếu như trước đây để xem thông tin thời tiết, người dùng cần phải mở khóa điện thoại, sau đó truy cập vào ứng dụng Thời tiết, thì trên hệ điều hành iOS 12 người dùng đã có thể hiển thị thông tin thời tiết ngay trên màn

9 tính năng phải thuộc lòng khi sử dụng iPhone/iPad

iPhone/iPad là những sản phẩm thông minh với nhiều tính năng hấp dẫn đến từ Apple, và hôm nay mình sẽ liệt kê ra 13 tính năng trên iPhone/iPad hấp dẫn nhất phải biết khi sử dụng các thiết bị này. Cùng tìm hiểu xem, lâu

5 cách chặn mã độc “đào” tiền ảo bất hợp pháp

Mã độc đào tiền ảo sử dụng tài nguyên hệ thống của bạn để khai thác tiền ảo BitCoin, sau đó chuyển tiền về ví tiền ảo của tin tặc. Vậy có cách nào để chặn mã độc này không?

Windows 12 hỗ trợ AI sắp ra mắt, nhưng Windows 10 vẫn là vua

Vài năm trước, Windows 10 đã bị mô tả nhầm là 'phiên bản Windows cuối cùng' được tung ra thị trường. Giờ đây, chỉ vài năm sau khi Windows 11 ra mắt ít ỏi, Microsoft dường như đang làm việc trên thế hệ tiếp theo của hệ

ĐÁNH GIÁ NHANH

Đánh giá Moto E4 Plus: Thêm một đối thủ cạnh tranh phân khúc “pin khủng 5000 mAh”

Moto E4 Plus là một trong số bốn sản phẩm vừa được Motorola ra mắt vừa qua tại thị trường Việt Nam cùng với Moto C Plus, Moto C 4G và Moto C. Đây là phiên bản phóng to của Moto E4 với dung lượng pin lớn lên tới 5000

Đánh giá chi tiết chiếc smartphone Zenfone 4 Max “nhỏ nhưng có võ”

Thiết kế bên ngoài rất ấn tượng khi máy có khung và mặt lưng bằng kim loại, tạo nên 1 khối thống nhất và liền lạc mang đến cảm giác cầm nắm thuận tiện mà không kém phần sang trọng.

Đánh giá OPPO Find X: Đối thủ đáng gờm của Apple và Samsung ở phân khúc cao cấp

Nếu như trước đây các mẫu smartphone của OPPO đều có thiết kế và cấu hình “cầm chừng” ở mức đủ dùng thì nay với siêu phẩm Find X, hãng đã đem tới một diện mạo hoàn toàn đột phá với màn hình không viền thật sự, có tỷ lệ