Một loại RAT mới sử dụng Python đang nhắm mục tiêu tấn công vào các công ty tài chính

904
23-09-2020
Một loại RAT mới sử dụng Python đang nhắm mục tiêu tấn công vào các công ty tài chính

Evilnum – nhóm tin tặc nổi tiếng chủ yếu nhắm mục tiêu vào các tổ chức trong lĩnh vực Fintech đã thay đổi chiến thuật của mình và phát triển một trojan truy cập từ xa (RAT) viết bằng Python, nhằm đánh cắp mật khẩu, tài liệu, cookie của trình duyệt, thông tin đăng nhập email và nhiều thông tin nhạy cảm khác.

Trong một phân tích được công bố bởi các nhà nghiên cứu Cybereason, Evilnum không chỉ chỉnh sửa chuỗi lây nhiễm của nó mà còn triển khai một Python RAT có tên là "PyVil RAT". Bizfly Cloud cho biết Python RAT này có khả năng thu thập thông tin, chụp ảnh màn hình, thu thập dữ liệu tổ hợp phím, mở một SSH shell và triển khai các công cụ mới.

"Kể từ khi bị phát hiện lần đầu vào năm 2018, TTP của Evilnum đã phát triển thêm nhiều công cụ khác nhau, nhưng nhóm tin tặc này vẫn luôn trung thành với một mục tiêu duy nhất là các tổ chức hoạt động trong lĩnh vực Fintech" - Công ty an ninh mạng này cho biết.

"Những biến thể này bao gồm một số thay đổi trong chuỗi lây nhiễm và cách thức duy trì tấn công, một cơ sở hạ tầng mới được phát triển theo thời gian, và một trojan truy cập từ xa (RAT) được viết dựa trên Python", với mục đích theo dõi các máy bị nhiễm độc.

Trong suốt hai năm qua, Evilnum đã bị phát hiện có liên quan tới một loạt chiến dịch lây nhiễm mã độc trên khắp nước Anh và EU, qua việc sử dụng các backdoor được viết bằng JavaScript C#, cũng như các công cụ mua từ nhà cung cấp mã độc Golden Chickens.

mot-loai-rat-moi-su-dung-python-tan-cong-cac-cong-ty-tai-chinh 2

Cũng mới tháng 7 vừa qua, nhóm APT này bị phát hiện đang nhắm mục tiêu vào các công ty thông qua các email lừa đảo spear-phishing. Email này có chứa đường link tới một file ZIP được lưu trữ trên Google Drive, có khả năng đánh cắp giấy phép phần mềm, thông tin thẻ tín dụng của khách hàng cùng nhiều tài liệu đầu tư và giao dịch khác.

Mặc dù, cách thức hoạt động ở bước đầu xâm nhập vào hệ thống mục tiêu không có gì khác biệt, tuy nhiên, quy trình lây nhiễm lại cho thấy một thay đổi lớn.

Ngoài việc sử dụng các email lừa đảo phishing cùng các tài liệu KYC giả mạo (Know your customer – tài liệu xác minh danh tính khách hàng) để lừa các nhân viên trong ngành tài chính kích hoạt mã độc, cuộc tấn công này còn chuyển từ việc sử dụng các trojan JavaScript có chứa backdoor sang một JavaScript dropper được tối ưu hóa, nhằm phát tán các payload độc hại. Các payload này sẽ được giấu trong phiên bản sửa đổi của các tệp thực thi hợp pháp để tránh bị phát hiện.

"JavaScript này là giai đoạn đầu tiên trong chuỗi lây nhiễm mới, kết thúc với việc phân phối payload – một mã độc RAT viết bằng Python, được biên dịch với py2exe và được các nhà nghiên cứu của Nocturnus đặt tên là PyVil RAT" - Các chuyên gia bảo mật cho biết.

mot-loai-rat-moi-su-dung-python-tan-cong-cac-cong-ty-tai-chinh 3

Ngay sau khi được thực thi, quy trình phân phối đa quy trình này ("ddpp.exe") sẽ giải nén shellcode để thiết lập giao tiếp với một máy chủ do kẻ tấn công kiểm soát và nhận một tệp thực thi được mã hóa thứ hai ("fplayer.exe"), đóng vai trò như một downloader giai đoạn tiếp để tìm nạp Python RAT.

"Trong các chiến dịch trước đây, các công cụ của Evilnum đã tránh sử dụng các tên miền trong giao tiếp với máy chủ C2 và chỉ sử dụng địa chỉ IP" - Các nhà nghiên cứu nhận định. "Trong khi địa chỉ IP của C2 chỉ thay đổi vài tuần một lần, danh sách các tên miền liên kết với địa chỉ IP này vẫn tiếp tục gia tăng nhanh chóng."

mot-loai-rat-moi-su-dung-python-tan-cong-cac-cong-ty-tai-chinh 4

Mặc dù cho tới hiện tại, các nhà nghiên cứu vẫn chưa biết rõ nguồn gốc chính xác của Evilnum, nhưng rõ ràng là khả năng tùy chỉnh liên tục TTP đã giúp nhóm tin tặc này tránh khỏi radar truy quét của các cơ quan chức năng.

Vậy nên, với việc phát triển không ngừng của các kỹ thuật của APT như hiện nay, các doanh nghiệp cần luôn hết sức cảnh giác và nên nhắc nhở nhân viên của mình luôn cẩn trọng với các email có dấu hiệu đáng ngờ, đồng thời chú ý khi mở các email và file đính kèm có nguồn gốc không rõ ràng.

Tham khảo Thehackernews.com

>> Có thể bạn quan tâm:  Data exfiltration là gì? Làm thế nào để ngăn chặn hành vi nguy hiểm này?

BizFly Cloud là nhà cung cấp dịch vụ điện toán đám mây với chi phí thấp, được vận hành bởi VCCorp.

BizFly Cloud là một trong 4 doanh nghiệp nòng cốt trong "Chiến dịch thúc đẩy chuyển đổi số bằng công nghệ điện toán đám mây Việt Nam" của Bộ TT&TT; đáp ứng đầy đủ toàn bộ tiêu chí, chỉ tiêu kỹ thuật của nền tảng điện toán đám mây phục vụ Chính phủ điện tử/chính quyền điện tử.

Độc giả quan tâm đến các giải pháp của BizFly Cloud có thể truy cập tại đây.

DÙNG THỬ MIỄN PHÍ và NHẬN ƯU ĐÃI 3 THÁNG tại: Manage.bizflycloud

TAGS: PythonRAT
SHARE