Chiến dịch Adwind mới nhắm vào Linux, Windows và MacOS

25/09/2018 15:30

Ngày 24/09, hãng bảo mật Talos Cisco (Mỹ) cảnh báo phát hiện các mẫu mã độc Adwind trong một chiến dịch gần đây được cấu hình để duy trì hoạt động bền bỉ trên các hệ thống Linux, Windows và MacOS. 

Các cuộc tấn công này sử dụng mã độc truy cập từ xa Adwind 3.0 và triển khai một biến thể tấn công khai thác tính năng Dynamic Data Exchange (DDE) trong Microsoft Excel.

hackerbotnetandromedaarrestado640

Những kẻ tấn công sử dụng ít nhất hai dropper dưới dạng tập tin CSV và XLT khác nhau để tải về payload độc. Tuy nhiên, cả hai đều triển khai biến thể tấn công DDE mới, phương thức đến giờ chưa bị phát hiện.

Trong báo cáo, các nhà nghiên cứu Talos giải thích rằng dropper thực ra có thể nằm trong 30 kiểu dịnh dạng tập tin. Vì không phải tất cả chúng đều được mở trong Microsoft Excel theo mặc định, nên sẽ có các lệnh mở Excel cho các tập tin không được mặc định, giúp kích hoạt cuộc tấn công này.

Excel cũng hiển thị cảnh báo cho người dùng về việc mã thực thi. Một thông báo sẽ cảnh báo về tập tin, vốn không phải là văn bản XLT thật, sẽ hỏi người dùng có chắc chắn rằng họ muốn mở nó hay không. Hai cảnh báo khác cho người dùng biết tài liệu này sẽ thực thi các ứng dụng hệ thống.

Nếu người dùng chấp nhận cả ba cảnh báo, ứng dụng sẽ được thực hiện trên hệ thống. Tuy nhiên, mục đích của chiến dịch là tiêm mã để tạo và thực thi Visual Basic Script để dùng bitasdmin tải xuống hoặc tải lên các job và theo dõi tiến trình của chúng, và sau đó tải về payload cuối cùng.

Payoad này là một phiên bản của Adwind RAT v3.0, được cấu hình để đạt được sự bền bỉ trên cả ba nền tảng máy tính để bàn: Windows, Linux và macOS. Tuy nhiên, cơ chế kiên trì cho mỗi nền tảng khác nhau.

Adwind thường được một số tin tặc sử dụng để phục vụ nhiều mục đích bất chính của họ, vì nó cho phép thực thi mọi lệnh trên máy nạn nhân, ghi lại thao tác bàn phím, chụp ảnh màn hình, chụp hình và truyền tập tin.

Hồng Anh (Lược dịch từ Security Week)

Xem nhiều

Tin liên quan

Cùng sự kiện

BẠN CÓ THỂ QUAN TÂM

Video