Hacker tiếp tục tấn công Piriform CCleaner lần thứ 2

Một báo cáo mới của Cisco’sTalos Group cho thấy nhóm Hacker đã tấn công CCleaner trong thời gian qua là phức tạp và tinh vi hơn so với nhận định ban đầu.

Các nhà nghiên cứu tìm thấy bằng chứng của một Payload giai đoạn 2 trong phân tích của họ về phần mềm độc hại nhắm vào nhóm mục tiêu dựa trên các lĩnh vực domain rất cụ thể.

Vào ngày 18 tháng 9 năm 2017 Piriform báo cáo rằng cơ sở hạ tầng của công ty đã bị xâm nhập tuần qua kiểm soát máy chủ và chèn một backdoor vào gói cài đặt thực thi chương trình gốc của phiên bản CCleaner v5.33.6162 phân phối đến người dùng một phiên bản độc hại của CCleaner – phần mềm dọn dẹp tập tin và tối ưu hệ thống – trong khoảng một tháng. Kết quả ước tính khoảng 2,27 triệu thiết bị nhiễm mã độc.

Tuy nhiên, trong việc phân tích các Hacker command-and-control (điều khiển và kiểm soát) máy chủ để các phiên bản CCleaner bị kết nối chèn mã độc, các nhà nghiên cứu bảo mật Cisco’s Talos Group tìm thấy bằng chứng của payload giai đoạn 2 (GeeSetup_x86.dll, một mô-đun backdoor rất nhẹ) đã gửi thông tin về một máy chủ ẩn danh một danh sách cụ thể các máy tính dựa trên tên miền địa phương.

Hacker tiếp tục tấn công Piriform CCleaner lần thứ 2

Các công ty truyền thông & công nghệ cao bị ảnh hưởng 

Theo một danh sách được xác định trước được lập trình trong cấu hình của máy chủ C2 (command-and-control), cuộc tấn công được thiết kế để tìm các máy tính bên trong mạng của các công ty công nghệ lớn và mang tải trọng thứ phát (secondary payload). Các công ty mục tiêu bao gồm:

  • Google
  • Microsoft
  • Cisco
  • Intel
  • Samsung
  • Sony
  • HTC
  • Linksys
  • D-Link
  • Akamai
  • VMware

Trong cơ sở dữ liệu, các nhà nghiên cứu tìm thấy một danh sách của gần 700.000 máy bị nhiễm backdoor với phiên bản độc hại của CCleaner, ví dụ payload của giai đoạn tiên phát và một danh sách ít nhất 20 máy đó bị nhiễm payload thứ phát để xâm nhập được một chỗ đứng sâu hơn trong những hệ thống này.
Các Hacker đặc biệt lựa chọn khoảng 20 máy chủ dựa trên Domain name, IP address và Hostname của họ. Các nhà nghiên cứu tin rằng các phần mềm độc hại thứ cấp có khả năng dành cho các hoạt động gián điệp công nghiệp.

Mã độc của CCleaner liên kết với Chinese Hacking Group

Theo các nhà nghiên cứu từ Kaspersky, mã độc từ CCleaner đã “shares” một số mã (code) với các công cụ hack được sử dụng bởi một nhóm hacker Axiom của Trung Quốc, còn được gọi là APT17, Group 72, DeputyDog, Tailgater Team, Hidden Lynx hoặc AuroraPanda.

“The malware injected into #CCleaner has shared code with several tools used by one of the APT groups from the #Axiom APT ‘umbrella’,” – Trích đăng từ Twitter của Giám đốc Global Research and Analysis Team tại Kaspersky Lab.

Các nhà nghiên cứu của Cisco cũng lưu ý rằng một tập tin cấu hình trên máy chủ của kẻ tấn công đã được thiết lập cho múi giờ của Trung Quốc, điều này cho thấy Trung Quốc có thể là nguồn gốc của cuộc tấn công CCleaner. Tuy nhiên, chỉ với bằng chứng này thì không đủ cơ sở pháp lý.
Nhà nghiên cứu Talos của Cisco cũng cho biết rằng họ đã thông báo sự vi phạm này cho các công ty công nghệ cao có thể bị ảnh hưởng.

Loại bỏ phiên bản CCleaner vẫn chưa đủ

Nếu chỉ gỡ bỏ phần mềm ứng dụng của Công ty mẹ Avast này từ máy tính bị nhiễm sẽ không đủ để thoát khỏi CCleaner payload thứ phát giai đoạn phần mềm độc hại xâm nhập từ mạng của những kẻ tấn công vẫn còn hoạt động máy chủ C2 (Command-and-control).

Vì vậy, các công ty bị ảnh hưởng mà máy tính của họ đã bị nhiễm với các phiên bản độc hại của CCleaner được khuyến khích mạnh mẽ để khôi phục hoàn toàn hệ thống của họ từ phiên bản sao lưu trước khi cài đặt của chương trình bảo mật nhiễm độc.

“Những phát hiện này cũng hỗ trợ và củng cố kiến ​​nghị trước đó của chúng tôi rằng những người bị ảnh hưởng bởi cuộc tấn công chuỗi cung ứng này không nên chỉ loại bỏ các phiên bản bị nhiễm của CCleaner hoặc đã cập nhật lên phiên bản mới nhất và nên khôi phục lại từ bản sao lưu hoặc reimage system để đảm bảo rằng bạn hoàn toàn loại bỏ không chỉ có phiên bản back doored của CCleaner mà còn bất kỳ phần mềm độc hại khác có thể “nằm vùng” lưu trú trên hệ thống”- các nhà nghiên cứu bảo mật nói.

Chân dung của Backdoor payload thứ phát (giai đoạn 2)

Cisco’sTalos Group chỉ rõ các phương pháp để xác định nếu một phiên bản bị nhiễm được cài đặt trên hệ thống. Có lẽ là chỉ số tốt nhất, ngoài việc kiểm tra phiên bản CCleaner, nhằm để kiểm tra sự tồn tại của các khóa Registry ở HKLM \\ SOFTWARE \\ Piriform \\ Agomo.

Talos Group tìm thấy bằng chứng cho thấy vụ tấn công là phức tạp và tinh vi hơn nhiều, vì nó nhắm mục tiêu một chuỗi danh sách cụ thể các lĩnh vực thuộc công nghệ cao với một payload thứ cấp.

  • singtel.corp.root
  • htcgroup.corp
  • Samsung-breda
  • samsung
  • samsung.sepm
  • samsung.sk
  • jp.sony.com
  • am.sony.com
  • gg.gauselmann.com
  • vmware.com
  • ger.corp.intel.com
  • amr.corp.intel.com
  • ntdev.corp.microsoft.com
  • cisco.com
  • uk.pri.o2.com
  • vf-es.internal.vodafone.com
  • linksys
  • apo.epson.net
  • msi.com.tw
  • infoview2u.dvrdns.org
  • dfw01.corp.akamai.com
  • hq.gmail.com
  • dlink.com
  • test.com

Cách kiểm tra hệ thống thủ công

Trình cài đặt giai đoạn 2 là GeeSetup_x86.dll. Nó kiểm tra các phiên bản của hệ điều hành và “cấy” một phiên bản 32-bit hoặc 64-bit của trojan trên hệ thống dựa trên biểu mẩu. Trojan 32-bit là TSMSISrv.dll, Trojan 64-bit là EFACli64.dll.

Xác định giai đoạn 2:

Thông tin sau đây sẽ giúp xác định nếu một payload giai đoạn 2 đã được gieo cấy trên hệ thống.

Registry Keys: 

  • HKLM \\ Software \\ Microsoft \\ Windows NT \\ CurrentVersion \\ WbemPerf \\ 001
  • HKLM \\ Software \\ Microsoft \\ Windows NT \\ CurrentVersion \\ WbemPerf \\ 002
  • HKLM \\ Software \\ Microsoft \\ Windows NT \\ CurrentVersion \\ WbemPerf \\ 003
  • HKLM \\ Software \\ Microsoft \\ Windows NT \\ CurrentVersion \\ WbemPerf \\ 004
  • HKLM \\ Software \\ Microsoft \\ Windows NT \\ CurrentVersion \\ WbemPerf \\ HBP

Các tập tin: 

  • GeeSetup_x86.dll : (Hash: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e3190 74db1aaccfdc83)
  • EFACli64.dll : (Hash: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da4 60055733bb6f4f)
  • TSMSISrv.dll : (Hash: 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5e acf3f55cf34902)
  • DLL trong Registry : f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8c a811f763e1292a
  • Payload giai đoạn 2 : dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e3190 74db1aaccfdc83

Video tham khảo

Tham khảo Cisco’s Talos GroupGhacks Technology

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *