Close Menu
Trend Micro phát hiện mã độc nguy hiểm PowerGhost tấn công vào hệ thống doanh nghiệp
Trend Micro phát hiện mã độc nguy hiểm PowerGhost tấn công vào hệ thống doanh nghiệp

Mã độc nguy hiểm PowerGhost tấn công vào hệ thống doanh nghiệp

3 phút để đọc

Vừa qua, các nhà nghiên cứu bảo mật từ Trend Micro đã báo cáo về một phần mềm độc hại mã hóa tiền điện tử có chứa loại mã độc không cần tệp tin PowerGhost, đang nhắm mục tiêu đến máy chủ và máy trạm của các doanh nghiệp.

Loại mã độc này được gọi là PowerGhost (được phát hiện với tên là TROJ_BLUTEAL.D, DDOS_NITOL.SMCCoinminer_CryptoNight.SM-WIN64), được sử dụng kết hợp với PowershellEternalBlue để nhúng mã lệnh độc hại và tự phát tán mà không bị hệ thống bảo mật phát hiện khi tấn công vào máy tính cũng như máy chủ trong doanh nghiệp. Tin tặc cũng có thể sử dụng nó để thực hiện các cuộc tấn công DDoS.

HOT
⚡ Tin công nghệ nóng mỗi ngày tại TechWire.vn
Xem ngay →
Phần mềm độc hại đang dần tiến hóa để trở nên nguy hiểm hơn, khó bị phát hiện hơn và gây ra thiệt hại lớn hơn.
Phần mềm độc hại đang dần tiến hóa để trở nên nguy hiểm hơn, khó bị phát hiện hơn và gây ra thiệt hại lớn hơn.

PowerGhost đã bị phát hiện khi đang sử dụng phần mềm hệ thống Windows Management Instrumentation (WMI), lây nhiễm trong hệ thống bằng cách sử dụng mã lệnh PowerShell bị xáo trộn chứa mã lỗi và mô đun khai thác tiền điện tử. Thông qua đó, phần mềm độc hại sẽ tải xuống thiết bị trình khai thác tiền điện tử mimikatz, các thư mục msvcp120.dllmsvcr120.dll để khởi chạy trình khai thác EternalBlue và mô đun PE đối xứng.

Phần mềm bảo mật thông thường gần như không thể phát hiện ra PowerGhost.
Phần mềm bảo mật thông thường gần như không thể phát hiện ra PowerGhost.

Không cần phải tải xuống ổ cứng, mã lệnh PowerShell sẽ hoạt động để giao tiếp với máy chủ C&C và cập nhật phiên bản mới nhất, lấy chi tiết tài khoản người dùng từ thiết bị bằng cách sử dụng mimikatz. Nó sẽ tìm kiếm và lây lan thông qua mạng cục bộ với WMIEternalBlue, đánh cắp đặc quyền người dùng trên máy chủ bị xâm nhập thông qua khai thác lỗ hổng 32 và 64 bit (MS16-032, MS15-051CVE-2018-8120). PowerGhost lưu tất cả mô đun như một lớp WMI đặc biệt, kích hoạt dòng lệnh PowerShell mỗi 90 phút để đủ điều kiện khởi động trình khai thác tiền điện tử bằng cách sử dụng PE đối xứng. Một biến thể của phần mềm độc hại này đã được phát hiện, bao gồm cả công cụ cho DDoS khi nó tấn công vào môi trường ảo tương tự sandbox. Các nhà nghiên cứu từ Trend Micro đang nghiên cứu thêm về hành vi tấn công này, như một dấu hiệu cho thấy việc kẻ tấn công muốn tiến hóa mã độc với phương thức tấn công mới hơn.

Các tổ chức có thể chủ động bảo mật hệ thống với các khuyến nghị từ Trend Micro sau:

  • Cập nhật thường xuyên bản vá lỗi bảo mật mới nhất từ nhà phát triển chính thức. Các bản vá ảo tạm thời cũng đã được hỗ trợ đối với các doanh nghiệp đang sử dụng hệ thống cũ.
  • Hạn chế hoặc vô hiệu hóa quyền truy cập WMI nếu cần, hạn chế quyền truy cập vào hệ thống ngoại trừ quản trị viên công nghệ, vì không phải tất cả các thiết bị đều yêu cầu dịch vụ WMI.

Chia sẻ.

Bài viết liên quan