Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại Phần mềm độc hại MixShell

Phần mềm độc hại MixShell

Đến năm Mezo năm Phần mềm độc hại
Dịch sang:

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một hoạt động tấn công mạng xã hội tinh vi, có tên mã là ZipLine, đang lợi dụng phần mềm độc hại ẩn trong bộ nhớ MixShell. Chiến dịch này chủ yếu nhắm vào các công ty sản xuất quan trọng trong chuỗi cung ứng và cho thấy xu hướng ngày càng gia tăng của những kẻ tấn công khai thác các quy trình kinh doanh đáng tin cậy thay vì các phương pháp lừa đảo truyền thống.

Từ biểu mẫu liên hệ đến thỏa hiệp

Không giống như các cuộc tấn công lừa đảo thông thường được gửi qua email không mong muốn, kẻ điều hành ZipLine bắt đầu xâm nhập thông qua biểu mẫu "Liên hệ với chúng tôi" của công ty. Cách tiếp cận tinh vi này tạo dựng uy tín ngay từ đầu. Tiếp theo là một cuộc trao đổi thông tin chuyên nghiệp và thuyết phục kéo dài nhiều tuần, thường được củng cố bằng các thỏa thuận bảo mật (NDA) giả mạo, trước khi kẻ tấn công gửi một tệp ZIP độc hại chứa MixShell.

Chiến thuật xây dựng lòng tin của bệnh nhân này giúp ZipLine khác biệt so với các chiến dịch gây hoang mang. Trong một số trường hợp, kẻ tấn công thậm chí còn xây dựng cách tiếp cận của mình xung quanh các sáng kiến do AI thúc đẩy, tự giới thiệu mình là đối tác có thể giúp giảm chi phí và tăng hiệu quả.

Ai đang trong tầm ngắm?

Mục tiêu của ZipLine rất rộng, nhưng tập trung vào các tổ chức có trụ sở tại Hoa Kỳ trong các ngành công nghiệp then chốt của chuỗi cung ứng. Các khu vực bị ảnh hưởng khác bao gồm Singapore, Nhật Bản và Thụy Sĩ.

Các lĩnh vực mục tiêu chính bao gồm:

  • Sản xuất công nghiệp (máy móc, kim loại, linh kiện, hệ thống kỹ thuật)
  • Phần cứng và chất bán dẫn
  • Công nghệ sinh học và dược phẩm
  • Sản xuất hàng tiêu dùng

Những kẻ tấn công cũng sử dụng các tên miền giả mạo các công ty trách nhiệm hữu hạn (LLC) đã đăng ký tại Hoa Kỳ, đôi khi sử dụng lại tên miền của các doanh nghiệp hợp pháp nhưng không hoạt động. Những trang web giả mạo này cho thấy một hoạt động có quy mô lớn, được tổ chức chặt chẽ.

Giải phẫu của chuỗi tấn công

Thành công của ZipLine nằm ở quy trình lây nhiễm nhiều giai đoạn được thiết kế để vừa ẩn mình vừa dai dẳng. Các tệp ZIP được vũ khí hóa thường được lưu trữ trên Herokuapp.com, một dịch vụ đám mây hợp pháp, giúp phần mềm độc hại hòa nhập vào hoạt động mạng thông thường.

Quá trình lây nhiễm bao gồm:

  • Phím tắt Windows (LNK) bên trong ZIP sẽ kích hoạt trình tải PowerShell.
  • Bộ tải triển khai MixShell, một chương trình cấy ghép tùy chỉnh được thực hiện hoàn toàn trong bộ nhớ.
  • MixShell giao tiếp thông qua đường hầm DNS (có HTTP dự phòng), cho phép thực thi lệnh từ xa, thao tác tệp, proxy ngược, duy trì và xâm nhập mạng.
  • Một số phiên bản bao gồm các kỹ thuật chống gỡ lỗi và tránh hộp cát, cùng với các tác vụ theo lịch trình để duy trì tính bền bỉ.
  • Đáng chú ý, tệp LNK cũng khởi chạy một tài liệu giả, nhằm che giấu thêm hành vi độc hại.

Liên kết đến Hoạt động đe dọa trước đó

Các nhà nghiên cứu đã xác định được sự trùng lặp giữa các chứng chỉ số được sử dụng trong cơ sở hạ tầng của ZipLine và các chứng chỉ liên quan đến các cuộc tấn công TransferLoader được cho là do nhóm tin tặc có tên UNK_GreenSec thực hiện. Mặc dù việc xác định thủ phạm vẫn chưa rõ ràng, nhưng mối liên hệ này cho thấy đây là một nhóm tin tặc có tổ chức tốt, tháo vát và có kinh nghiệm trong các chiến dịch quy mô lớn.

Những rủi ro của chiến dịch ZipLine

Hậu quả của việc lây nhiễm MixShell thành công có thể rất nghiêm trọng, từ việc đánh cắp sở hữu trí tuệ và xâm nhập email doanh nghiệp đến các sự cố ransomware và gián đoạn chuỗi cung ứng. Do tính chất của các ngành công nghiệp bị nhắm mục tiêu, tác động có thể lan rộng từ các công ty riêng lẻ sang toàn bộ hệ sinh thái sản xuất.

Các biện pháp phòng thủ: Đi trước các mối đe dọa được thiết kế xã hội

Chiến dịch ZipLine nêu bật cách tội phạm mạng đang đổi mới, tận dụng tâm lý con người, các kênh truyền thông đáng tin cậy và các chủ đề liên quan đến AI để lợi dụng lòng tin.

Để chống lại những mối đe dọa như vậy, các tổ chức phải:

  • Áp dụng biện pháp phòng ngừa trước tiên, có khả năng phát hiện các hành vi bất thường.
  • Đào tạo nhân viên cách tiếp cận mọi yêu cầu gửi đến bằng thái độ hoài nghi, bất kể sử dụng kênh nào.
  • Áp dụng chính sách xử lý tệp nghiêm ngặt, đặc biệt là đối với tệp ZIP và tệp lối tắt.
  • Tăng cường giám sát các bất thường về giao tiếp dựa trên DNS có thể chỉ ra đường hầm.

Việc xây dựng văn hóa cảnh giác là vô cùng quan trọng. Niềm tin, một khi được sử dụng như vũ khí, sẽ trở thành một trong những công cụ hiệu quả nhất trong kho vũ khí của kẻ tấn công.

xu hướng

Lô hàng đã được tạo bằng email lừa đảo của DHL Express

Lừa đảo, Thư rác
Các chiến dịch lừa đảo tiếp tục lợi dụng lòng tin của người dùng vào các công ty nổi tiếng. Một trong những chiêu trò lừa đảo phổ biến hiện nay là email lừa đảo "Lô hàng đã được tạo bằng DHL Express". Mặc dù những email này giả vờ đến từ nhà cung cấp dịch vụ hậu cần toàn cầu DHL, nhưng chúng hoàn toàn không liên quan đến công ty hợp pháp. Thay vào đó, chúng là những mồi nhử được thiết kế cẩn...

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
35,976
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...