Nội dung bài viết
Người dùng Daemon Tools: Đã đến lúc kiểm tra máy của bạn xem có bị lây nhiễm lén lút hay không, stat.
Các nhà nghiên cứu cho biết hôm thứ Ba rằng Daemon Tools, một ứng dụng được sử dụng rộng rãi để gắn ảnh đĩa, đã bị tấn công cửa sau trong một cuộc tấn công kéo dài hàng tháng, khiến các bản cập nhật độc hại bị đẩy ra khỏi máy chủ của nhà phát triển ứng dụng này.
Kaspersky, công ty bảo mật báo cáo về cuộc tấn công chuỗi cung ứng, cho biết cuộc tấn công bắt đầu vào ngày 8 tháng 4 và vẫn hoạt động cho đến thời điểm bài đăng của nó được đăng trực tuyến.
Các trình cài đặt được ký bởi chứng chỉ kỹ thuật số chính thức của nhà phát triển và được tải xuống từ trang web của họ sẽ lây nhiễm các tệp thực thi của Daemon Tools, khiến phần mềm độc hại chạy khi khởi động.
Kaspersky không nói rõ ràng như vậy, nhưng dựa trên chi tiết kỹ thuật, các phiên bản bị nhiễm dường như chỉ là những phiên bản chạy trên Windows. Các phiên bản 12.5.0.2421 đến 12.5.0.2434 bị ảnh hưởng.
Cả Kaspersky và nhà phát triển AVB đều không thể liên hệ ngay lập tức để biết thêm chi tiết. Các phiên bản bị lây nhiễm chứa trọng tải ban đầu thu thập địa chỉ MAC, tên máy chủ, tên miền DNS, quy trình đang chạy, phần mềm đã cài đặt và ngôn ngữ hệ thống.
Phần mềm độc hại gửi chúng đến máy chủ do kẻ tấn công kiểm soát. Hàng nghìn máy ở hơn 100 quốc gia đã trở thành mục tiêu.
Trong số rất nhiều máy inf Bị ảnh hưởng, khoảng 12 người trong số họ, thuộc các tổ chức bán lẻ, khoa học, chính phủ và sản xuất, đã nhận được trọng tải tiếp theo—một dấu hiệu cho thấy cuộc tấn công chuỗi cung ứng nhắm vào các nhóm được chọn. Vụ việc chỉ là vụ tấn công chuỗi cung ứng mới nhất.
Các cuộc tấn công khác như vậy bao gồm việc đầu độc tiện ích CCleaner Windows vào năm 2017, phần mềm quản lý ứng dụng Solar Winds dành cho doanh nghiệp vào năm 2020 và ứng dụng khách 3CX VoIP vào năm 2023.
Các cuộc tấn công như vậy rất khó chống lại vì người dùng bị lây nhiễm khi họ không làm gì khác ngoài cài đặt các bản cập nhật được ký điện tử có sẵn thông qua các kênh chính thức.
Trong cả ba trường hợp, phải mất vài tuần hoặc vài tháng trước khi các kênh phân phối bản cập nhật bị xâm nhập bị phát hiện.
Các nhà nghiên cứu của Kaspersky viết: “Dựa trên kinh nghiệm lâu năm về phân tích các cuộc tấn công chuỗi cung ứng, chúng tôi có thể kết luận rằng những kẻ tấn công đã dàn dựng sự xâm phạm DAEMON Tools theo cách rất tinh vi”.
“Ví dụ: thời gian để phát hiện cuộc tấn công này, hóa ra là khoảng một tháng, có thể so sánh với cuộc tấn công chuỗi cung ứng 3CX mà chúng tôi đã nghiên cứu cùng cộng đồng an ninh mạng vào năm 2023. Do tính phức tạp cao của cuộc tấn công, đây là điều tối quan trọng đối với tổ chức.
ns để kiểm tra cẩn thận các máy đã cài đặt DAEMON Tools để phát hiện các hoạt động bất thường liên quan đến an ninh mạng xảy ra vào hoặc sau ngày 8 tháng 4.” Một trong những trọng tải tiếp theo được đẩy tới khoảng chục tổ chức là thứ mà Kaspersky mô tả là “cửa sau tối giản”.
Nó có khả năng thực thi các lệnh, tải xuống tệp và chạy tải trọng shellcode trong bộ nhớ — khiến việc lây nhiễm trở nên khó phát hiện hơn. Kaspersky cho biết họ đã quan sát thấy một cửa hậu phức tạp hơn có tên QUIC RAT, được cài đặt trên một máy duy nhất thuộc một tổ chức giáo dục ở Nga.
Phân tích ban đầu cho thấy nó có thể đưa tải trọng vào các quy trình notepad.exe và conhost.exe, đồng thời hỗ trợ nhiều giao thức truyền thông C2, bao gồm HTTP, UDP, TCP, WSS, QUIC, DNS và HTTP/3. 100 tổ chức bị nhiễm chủ yếu ở Nga, Brazil, Thổ Nhĩ Kỳ, Tây Ban Nha, Đức, Pháp, Ý và Trung Quốc.
Tầm nhìn của Kaspersky về cuộc tấn công bị hạn chế vì nó chỉ dựa vào dữ liệu đo từ xa do chính sản phẩm của họ cung cấp. Phân tích cho thấy 10% hệ thống bị ảnh hưởng thuộc về các doanh nghiệp và tổ chức.
Những kẻ tấn công đã cố gắng lây nhiễm hầu hết các máy bị ảnh hưởng chỉ bằng tập hợp thông tin. tải trọng ctor.
Tuy nhiên, tải trọng cửa sau khác phức tạp hơn mới chỉ được quan sát thấy trên hàng chục máy của các tổ chức chính phủ, khoa học, sản xuất và bán lẻ đặt tại Nga, Belarus và Thái Lan.
Cách triển khai cửa sau cho một tập hợp nhỏ các máy bị nhiễm này cho thấy rõ ràng rằng kẻ tấn công có ý định tiến hành lây nhiễm theo cách có chủ đích. Tuy nhiên, mục đích của họ – dù đó là gián điệp mạng hay “săn lùng trò chơi lớn” – hiện vẫn chưa rõ ràng.
Các cuộc tấn công chuỗi cung ứng gần đây hơn đã tấn công Trivy, Checkmarx và Bitwarden cùng hơn 150 gói có sẵn thông qua các kho lưu trữ nguồn mở. Năm ngoái, có ít nhất sáu vụ tấn công đáng chú ý như vậy.
Bất kỳ ai sử dụng Daemon Tools nên dành thời gian để quét toàn bộ máy của mình bằng phần mềm chống vi-rút có uy tín. Người dùng Windows nên kiểm tra thêm các dấu hiệu xâm phạm được liệt kê trong bài đăng của Kaspersky.
Đối với những người dùng có trình độ kỹ thuật cao hơn, Kaspersky khuyến nghị giám sát “việc tiêm mã đáng ngờ vào các quy trình hệ thống hợp pháp, đặc biệt khi nguồn là các tệp thực thi được khởi chạy từ các thư mục có thể truy cập công khai như Temp, AppData hoặc Public”.
Ars Technica đã tách biệt đánh giá tín hiệu từ tiếng ồn trong hơn 25 năm. Với sự kết hợp độc đáo giữa hiểu biết về kỹ thuật và mối quan tâm sâu rộng đến nghệ thuật và khoa học công nghệ, Ars là nguồn đáng tin cậy trong biển thông tin.
Suy cho cùng, bạn không cần phải biết mọi thứ, chỉ cần biết những gì quan trọng.
Gợi ý thực hành:
1. Theo dõi thông báo từ cơ quan địa phương tại California.
2. Kiểm tra nguồn chính thức trước khi chia sẻ lại thông tin.