Mã độc TrickBot khai thác lỗ hổng tấn công RDP Brute Force

Gần đây người ta đã phát hiện một mô-đun mới của TrickBot (một loại chiến dịch phân phối malware) giúp những kẻ tấn công lợi dụng các hệ thống gặp lỗi để làm việc xấu. Chúng khởi động các cuộc tấn công phá mật khẩu Brute Force vào các hệ thống Windows chạy RDP (Remote Desktop Protocol) có kết nối với Internet.

Mã độc Trickbot ngày càng được cải tiến

Công ty an ninh mạng Bitdefender cho biết mô-đun này được gọi là “rdpScanDll“, được phát hiện vào ngày 30/1 và được cho là vẫn đang trong quá trình phát triển.

Theo các nhà nghiên cứu, cho đến nay ndpScanDll đã cố gắng tấn công 6.013 máy chủ RDP thuộc các doanh nghiệp trong lĩnh vực viễn thông, giáo dục và tài chính ở Hoa Kỳ và Hồng Kông.

Kẻ viết ra phần mềm độc hại đằng sau TrickBot chuyên phát hành các mô-đun và phiên bản mới, cố gắng mở rộng và cải tiến các khả năng tấn công.

Image result for TrickBot RDP Brute Force

Các nhà nghiên cứu cho biết “Tính linh hoạt của TrickBot đến từ kiến trúc mô-đun, biến nó thành một malware phức tạp và tinh vi. Chỉ cần có 1 trình cắm (plugin) là nó có thể tham gia vào một loạt các hoạt động tấn công”.

“TrickBot có thể thực hiện từ các tiện ích bổ sung để đánh cắp dữ liệu nhạy cảm của OpenSSH và OpenVPN đến các mô đun thực hiện các cuộc tấn công SIM-swapping để kiểm soát số điện thoại của người dùng hay thậm chí vô hiệu hóa các cơ chế bảo mật tích hợp của Windows trước khi tải xuống các mô-đun chính. Đây thật sự là một kẻ tấn công đa năng.”

Mô-đun RDP Brute-Force của TrickBot hoạt động như thế nào?

Khi bắt đầu chạy, TrickBot sẽ tạo một thư mục chứa các payload độc hại được mã hóa và các tệp cấu hình liên quan bao gồm danh sách các máy chủ C2 (command-and-control – chỉ huy và kiểm soát) mà plugin cần liên kết để truy xuất các lệnh được thực thi.

Theo Bitdefender, plugin của rdpScanDll sẽ chia sẻ tệp cấu hình của nó với một mô-đun khác tên là “vncDll”. Cùng lúc nó cũng sẽ sử dụng định dạng URL tiêu chuẩn để kết nối với các máy chủ C2 mới – https://C&C/tag/computerID/controlEndpoint.

“C&C” là máy chủ C2, “tag” là thẻ nhóm được sử dụng bởi mẫu của TrickBot, “computerID” là ID máy tính mà nó đang chạy và “controlEndpoint” là danh sách các chế độ tấn công (check, trybrute và brute). Danh sách các địa chỉ IP sẽ bị lấy làm mục tiêu thông qua một cuộc tấn RDP brute-force.

Trong khi chế độ “check” kiểm tra kết nối RDP từ danh sách mục tiêu, chế độ “trybrute” sẽ thử một loạt tên người dùng và mật khẩu được xác định trước có chứa “/rdp/names” và “/rdp/dict” tương ứng trên các mục tiêu đã chọn.

Theo các nhà nghiên cứuc chế độ “brute” vẫn đang được phát triển. Không chỉ có một bộ các chức năng thực thi không được gọi (invoked), chế độ này còn “không nạp danh sách tên người dùng, khiến cho plugin sử dụng mật khẩu và tên người dùng dạng null để xác thực trong danh sách mục tiêu”.

Khi danh sách ban đầu của các IPđược thu thập thông qua “/rdp/domain” đã hết, plugin sẽ lấy một bộ IP mới khác bằng cách sử dụng “/rdp/over” thứ hai.

Hai danh sách có lần lượt 49 và 5.964 địa chỉ IP. Chúng bao gồm các mục tiêu đặt tại Hoa Kỳ và Hồng Kông trải dài theo lĩnh vực viễn thông, giáo dục, tài chính và nghiên cứu khoa học.

Các plugin chuyển động bên được cập nhật nhiều nhất

Báo cáo của công ty an ninh mạng Bitdefender đã nêu chi tiết cơ chế phân phối cập nhật của TrickBot. Họ phát hiện trong sáu tháng qua, các plugin chuyển động bên (lateral movement) trên mạng (WormDll, TabDll, ShareDll) có nhiều nhiều cập nhật nhất. Tiếp sau đó là các mô-đun giúp thực hiện trinh sát ‘hệ thống và mạng’ (SystemInfo , NetworkDll) và cuối cùng là các mô-đun thu thập dữ liệu (ImportDll, Pwgrab, aDll).

Các nhà nghiên cứu cho biết “Trong khi theo dõi các bản cập nhật của các plugin độc hại, chúng tôi thấy rằng các plugin được cập nhật thường xuyên nhất là những plugin lateral movement. Trong đó 32,07% là wormDll, 31,44% là shareDll và 16,35% là tabDll. Các plugin khác thường có ít hơn 5%.”

Các nhà nghiên cứu có thể xác định ít nhất 3,460 địa chỉ IP hoạt động như các máy chủ C2 trên toàn thế giới, có 556 máy chủ chỉ dành riêng để tải xuống các plugin mới và 22 IP làm được cả hai vai trò.

Lịch sử phát triển khả năng của TrickBot

Phổ biến thông qua các chiến dịch lừa đảo qua email, TrickBot bắt đầu được biết đến như một Trojan ngân hàng vào năm 2016, dùng cho hành vi trộm cắp tài chính. Sau đó, nó đã phát triển để cung cấp các loại phần mềm độc hại khác, bao gồm cả ransomware khét tiếng Ryuk. Ryuk đã hoạt động như một malware đánh cắp thông tin, cướp ví Bitcoin và thu thập email và thông tin đăng nhập.

Các chiến dịch malspamc (thư rác độc hại) có chứa TrickBot sử dụng vỏ bọc của một bên thứ ba quen thuộc với người nhận. Chúng có thể là hóa đơn từ các công ty tài chính và kế toán hay bất kỳ địa chỉ mail uy tín nào.

Các email thường bao gồm tệp đính kèm như tệp Word hay tệp Excel. Khi được mở, nó sẽ thông báo người dùng kích hoạt macro, từ đó thực thi VBScript, chạy tập lệnh PowerShell và tải xuống phần mềm độc hại.

TrickBot cũng có thể bị tải xuống như một payload thứ cấp bởi các phần mềm độc hại khác, nổi bật nhất là chiến dịch spam do Emotet điều khiển. Để có duy trì và tránh bị phát hiện, malware có thể tạo một dịch vụ hay một lịch trình cho các công việc, thậm chí vô hiệu hóa và xóa phần mềm chống vi-rút Windows Defender.

Vì lý do trên, Microsoft đã bổ sung tính năng Tamper Protection để bảo vệ hệ thống trước các thay đổi độc hại và trái phép trong hệ bảo mật năm ngoái.

Các nhà nghiên cứu kết luận “rdpScanDll có thể là mô-đun mới nhất trong một chuỗi dài các mô-đun đã được sử dụng bởi TrickBot. Dù là tân binh nhưng nó nổi trội hơn các mô-đun cũ vì sử dụng danh sách địa chỉ IP có độ riêng biệt cao”.

“Sử dụng cơ sở hạ tầng hiện có của nạn nhân TrickBot, mô-đun mới cho thấy những kẻ tấn công cũng có thể tập trung vào các ngành khác ngoài tài chính, như dịch vụ viễn thông và giáo dục & nghiên cứu.”

Thêm bình luận

Plain text

  • Không được dùng mã HTML.
  • Các địa chỉ web và email sẽ tự động được chuyển sang dạng liên kết.
  • Tự động ngắt dòng và đoạn văn.