Mã độc nguy hiểm tồn tại trong nhiều doanh nghiệp

06:51, 18/08/2017

Các chuyên gia Kaspersky Lab vừa phát hiện ra một backdoor được cài vào một sản phẩm phần mềm quản lý máy chủ được sử dụng bởi hàng trăm doanh nghiệp lớn trên thế giới với tên gọi là ShadowPad.

Các chuyên gia Kaspersky Lab vừa phát hiện ra một backdoor được cài vào một sản phẩm phần mềm quản lý máy chủ được sử dụng bởi hàng trăm doanh nghiệp lớn trên thế giới với tên gọi là ShadowPad.

Mã độc nguy hiểm tồn tại trong nhiều doanh nghiệp
Mã độc nguy hiểm tồn tại trong nhiều doanh nghiệp

Các phân tích sâu hơn của Kaspersky Lab cho thấy rằng các yêu cầu đáng ngờ thực sự là kết quả hoạt động của một mô-đun độc hại ẩn bên trong một phiên bản gần đây của phần mềm.

Sau khi cài đặt bản cập nhật phần mềm bị lây nhiễm, mô-đun độc hại sẽ bắt đầu gửi truy vấn DNS tới các tên miền cụ thể (máy chủ lệnh và điều khiển) với tần suất tám giờ một lần. Yêu cầu sẽ chứa thông tin cơ bản về hệ thống nạn nhân (tên người dùng, tên miền, tên máy chủ lưu trữ).
 
Nếu kẻ tấn công xem hệ thống này là "thú vị", máy chủ lệnh sẽ trả lời và kích hoạt một nền tảng backdoor đầy đủ chính thức mà sẽ âm thầm triển khai bên trong máy tính bị tấn công. Sau đó theo lệnh từ những kẻ tấn công, nền tảng backdoor sẽ có thể tải về và thực thi mã độc hại hơn.
 
Sau khi phát hiện, các nhà nghiên cứu Kaspersky Lab đã liên lạc ngay với NetSarang. Công ty này đã phản ứng nhanh và phát hành phiên bản cập nhật của phần mềm mà không có chứa mã độc hại. Cho đến nay theo nghiên cứu của Kaspersky Lab, mô-đun độc hại đã được kích hoạt ở Hong Kong nhưng nó có thể đang nằm yên ở nhiều hệ thống khác trên toàn thế giới, đặc biệt nếu người dùng chưa cài đặt phiên bản cập nhật của phần mềm bị ảnh hưởng.
Phát hiện mã độc trong một phần mềm dành cho máy chủ.
Phát hiện mã độc trong một phần mềm dành cho máy chủ.
Khi phân tích các kỹ thuật và quá trình của công cụ được sử dụng bởi những kẻ tấn công, các nhà nghiên cứu của Kaspersky Lab đã đi đến kết luận rằng một số điểm tương đồng đã cho thấy các biến thể của phần mềm độc hại PlugX được sử dụng bởi Winnti APT, một nhóm tội phạm mạng nói tiếng Hoa. Tuy nhiên, thông tin này chưa đủ để kết nối chính xác đến các đối tượng này.
 
Kaspersky Lab khuyên người dùng phải cập nhật ngay phiên bản mới nhất của phần mềm NetSarang, đồng thời cài đặt thêm các phần mềm bảo mật máy tính.
 
Theo kynguyenso.plo.vn

 

.