“Hành trình đấu trí giữa nhóm bảo mật và nhóm phần mềm độc hại”

#SựKiệnNgàyHômNay: eSentire tiết lộ phương pháp chống phần mềm độc hại Gootloader

Một nhóm bảo mật đang đấu tranh chống lại những chiêu thức của nhóm phần mềm độc hại Gootloader, một trong những phần mềm độc hại hàng đầu năm 2021. Những tên tội phạm mạng, bao gồm băng đảng tống tiền, kẻ điều hành mạng botnet và kẻ lừa đảo gian lận tài chính, đã nhận được sự quan tâm đặc biệt về các cuộc tấn công và hoạt động của họ.

Tuy nhiên, hệ sinh thái lớn hơn của tội phạm kỹ thuật số cung cấp các dịch vụ hỗ trợ cho những khách hàng tội phạm này. Trong điều tra mới nhất, các nhà nghiên cứu của công ty bảo mật eSentire đã tiết lộ phương pháp của họ để ngăn chặn hoạt động của một doanh nghiệp tội phạm lâu đời gây tổn hại cho các doanh nghiệp và tổ chức khác.

Phần mềm độc hại Gootloader đã phát triển từ trojan ngân hàng Gootkit và lây nhiễm các mục tiêu chủ yếu ở châu Âu kể từ năm 2010. Tuy nhiên, từ năm 2020, phần mềm độc hại Gootloader đã được sử dụng để phân phối một loạt phần mềm tội phạm, bao gồm cả phần mềm gián điệp và phần mềm tống tiền.

Toán tử Gootloader sử dụng chiến thuật đầu độc tối ưu hóa công cụ tìm kiếm để các mục tiêu vô tình lây nhiễm phần mềm độc hại cho chính mình. Tuy nhiên, các nhà nghiên cứu của eSentire đã tiết lộ những cách Gootloader che dấu vết và cố gắng tránh bị phát hiện.

Bằng cách theo dõi hoạt động của Gootloader theo thời gian, eSentire đã xác định được khoảng 178.000 trang web Gootloader đang hoạt động và hơn 100.000 trang web trước đây đã bị nhiễm Gootloader.

Theo Joe Stewart – nhà nghiên cứu bảo mật chính của eSentire, tìm hiểu sâu hơn về cách Gootloader và phần mềm độc hại hoạt động có thể giúp ngăn chặn các hoạt động của chúng.

“Các nhà nghiên cứu hoàn toàn đi sâu vào hoạt động của bạn khi bạn thu hút sự chú ý của tôi, đó là điều bạn không muốn,” ông nói.

Các cơ quan an ninh và bảo mật cơ sở hạ tầng đã cảnh báo về Gootloader là một trong những chủng phần mềm độc hại hàng đầu năm 2021. Với khả năng theo dõi và ngăn chặn các hoạt động của tội phạm mạng, hy vọng rằng các nhà nghiên cứu và chuyên gia bảo mật sẽ tiếp tục đánh bại những kẻ tội phạm này.

Nguồn: https://www.wired.com/story/gootloader-malware-ip-block/

Một số nhóm tội phạm mạng như băng đảng tống tiền, kẻ điều hành mạng botnet và kẻ lừa đảo gian lận tài chính nhận được sự chú ý đặc biệt đối với các cuộc tấn công và hoạt động của chúng. Nhưng hệ sinh thái lớn hơn làm nền tảng cho tội phạm kỹ thuật số bao gồm một loạt các tác nhân và tổ chức độc hại về cơ bản bán dịch vụ hỗ trợ cho những khách hàng tội phạm này. Ngày nay, các nhà nghiên cứu từ công ty bảo mật eSentire đang để lộ phương pháp của họ để làm gián đoạn hoạt động của một doanh nghiệp tội phạm lâu năm làm tổn hại đến các doanh nghiệp và tổ chức khác, sau đó bán quyền truy cập kỹ thuật số đó cho những kẻ tấn công khác.

Được biết đến như một hoạt động truy cập ban đầu dưới dạng dịch vụ, phần mềm độc hại Gootloader và những tên tội phạm đằng sau nó đã thỏa hiệp và lừa đảo trong nhiều năm. Nhóm Gootloader lây nhiễm cho các tổ chức nạn nhân và sau đó bán quyền truy cập để phân phối phần mềm độc hại ưa thích của khách hàng vào mạng mục tiêu bị xâm nhập, cho dù đó là phần mềm tống tiền, cơ chế đánh cắp dữ liệu hay các công cụ khác để xâm phạm mục tiêu sâu hơn. Ví dụ: từ việc theo dõi dữ liệu trang Gootloader, các nhà nghiên cứu của eSentire đã thu thập bằng chứng cho thấy băng đảng ransomware khét tiếng REvil có trụ sở tại Nga thường xuyên làm việc với Gootloader từ năm 2019 đến 2022 để có được quyền truy cập ban đầu vào nạn nhân—một mối quan hệ mà các nhà nghiên cứu khácnhận thấy cũng.

Joe Stewart, nhà nghiên cứu bảo mật chính của eSentire và nhà nghiên cứu mối đe dọa cấp cao Keegan Keplinger đã thiết kế một trình thu thập dữ liệu web để theo dõi các trang web Gootloader đang hoạt động và các trang web bị nhiễm trước đây. Hiện tại, cả hai đã thấy khoảng 178.000 trang web Gootloader đang hoạt động và hơn 100.000 trang trước đây dường như đã bị nhiễm Gootloader. trong một tư vấn hồi cứu năm ngoái, Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ đã cảnh báo rằng Gootloader là một trong những chủng phần mềm độc hại hàng đầu năm 2021 cùng với 10 chủng khác.

Bằng cách theo dõi hoạt động và các hoạt động của Gootloader theo thời gian, Stewart và Keplinger đã xác định các đặc điểm về cách Gootloader che dấu vết và cố gắng tránh bị phát hiện mà những người bảo vệ có thể khai thác để bảo vệ mạng khỏi bị lây nhiễm.

“Tìm hiểu sâu hơn về cách hệ thống Gootloader và phần mềm độc hại hoạt động, bạn có thể tìm thấy tất cả những cơ hội nhỏ này để tác động đến hoạt động của chúng,” Stewart nói. “Khi bạn thu hút sự chú ý của tôi, tôi bị ám ảnh bởi mọi thứ và đó là điều bạn không muốn với tư cách là tác giả phần mềm độc hại là các nhà nghiên cứu hoàn toàn đi sâu vào hoạt động của bạn.”

Xa mặt cách lòng

Gootloader phát triển từ trojan ngân hàng được gọi là Gootkit đã lây nhiễm các mục tiêu chủ yếu ở châu Âu kể từ đầu năm 2010. Gootkit thường được phát tán qua email lừa đảo hoặc trang web bị nhiễm độc và được thiết kế để đánh cắp thông tin tài chính như dữ liệu thẻ tín dụng và thông tin đăng nhập tài khoản ngân hàng. Tuy nhiên, do hoạt động bắt đầu vào năm 2020, các nhà nghiên cứu đã theo dõi Gootloader một cách riêng biệt vì cơ chế phân phối phần mềm độc hại ngày càng được sử dụng để phân phối một loạt phần mềm tội phạm, bao gồm cả phần mềm gián điệp và phần mềm tống tiền.

Toán tử Gootloader được biết đến với việc phân phối các liên kết đến các tài liệu bị xâm nhập, đặc biệt là các mẫu và các biểu mẫu chung khác. Khi các mục tiêu nhấp vào liên kết để tải xuống các tài liệu này, họ đã vô tình lây nhiễm phần mềm độc hại Gootloader cho chính mình. Để có được các mục tiêu bắt đầu tải xuống, những kẻ tấn công sử dụng một chiến thuật được gọi là đầu độc tối ưu hóa công cụ tìm kiếm để xâm phạm các blog hợp pháp, đặc biệt là các blog WordPress, sau đó lặng lẽ thêm nội dung vào chúng có chứa các liên kết tài liệu độc hại.

Gootloader được thiết kế để sàng lọc các kết nối đến các bài đăng trên blog bị nhiễm độc đối với một số đặc điểm. Ví dụ: nếu ai đó đăng nhập vào một blog WordPress bị xâm phạm, cho dù họ có quyền quản trị viên hay không, họ sẽ bị chặn xem các bài đăng trên blog có chứa các liên kết độc hại. Và Gootloader thậm chí còn chặn vĩnh viễn các địa chỉ IP gần bằng số với địa chỉ đã đăng nhập vào tài khoản WordPress có liên quan. Ý tưởng là để ngăn những người khác trong cùng một tổ chức nhìn thấy các bài đăng độc hại.


Leave a Reply

Your email address will not be published. Required fields are marked *