Một nhóm gián điệp mạng chuyên nhắm mục tiêu vào khu vực Đông Nam Á đã lạm dụng các lỗ hổng trong Microsoft Exchange Server được công bố vào đầu tháng 3 để triển khai biến thể mới của một trojan (RAT) trên các hệ thống bị xâm nhập.
Cuộc xâm nhập do một tác nhân đe dọa có tên là PKPLUG (hay còn gọi là Mustang Panda và HoneyMyte). Nhóm Palo Alto Networks' Unit 42 cho biết họ đã xác định được một phiên bản mới của phần mềm độc hại PlugX, được gọi là Thor được cài cắm trên các máy chủ của nạn nhân sau khi đã khai thác lỗ hổng trên.
Xuất hiện từ đầu năm 2008, PlugX là một trojan (RAT) với đầy đủ tính năng tải lên, tải xuống và sửa đổi tệp, ghi nhật ký tổ hợp phím, điều khiển webcam và truy cập command shell từ xa.
Trong một bài viết được chia sẻ vào Thứ 3, Các nhà nghiên cứu của Unit 42 - Mike Harbison và Alex Hinchliffe cho biết: “Mẫu THOR đầu tiên được phát hiện từ tháng 8 năm 2019 và có sự thay đổi so với mã nguồn ban đầu, nó thay thế nhãn đánh dấu “PLUG” thành “THOR”. Một số tính năng mới đã được tìm thấy trong biến thể này, như cơ chế enhanced payload-delivery và lạm dụng trusted binaries."
Vào ngày 2/3, sau khi Microsoft tiết lộ rằng tin tặc có trụ sở tại Trung Quốc - có tên Hafnium - đang khai thác lỗi zero-day trong máy chủ Exchange (còn được gọi là ProxyLogon) để đánh cắp dữ liệu nhạy cảm từ các mục tiêu được chọn. Nhiều tác nhân đe dọa như các nhóm ransomware (DearCry và Black Kingdom) và các nhóm khai thác tiền điện tử (LemonDuck) cũng đang khai thác các lỗ hổng để chiếm quyền điều khiển máy chủ Exchange và cài đặt web shell cho phép thực thi mã với đặc quyền cao nhất.
Theo Unit 42, những kẻ tấn công đã vượt qua cơ chế phát hiện của antivirus để tấn công vào các máy chủ Microsoft Exchange bằng cách lợi dụng các tệp thực thi hợp pháp như BITSAdmin để liên kết đến tệp Aro.dat (trông như vô hại) có sẵn miễn phí trên GitHub. Tệp này có chứa mã độc PlugX đã được mã hóa và nén.
Các nhà nghiên cứu cho biết, mẫu PlugX mới nhất được trang bị nhiều plugin "giúp tăng khả năng theo dõi, cập nhật và tương tác với hệ thống bị xâm phạm để thực hiện các mục tiêu của kẻ tấn công".
Thông tin bổ sung liên quan đến cuộc tấn công ở đây. Unit 42 cũng cung cấp một tập lệnh Python giúp giải mã và giải nén các PlugX payloads đã mã hóa mà không cần liên kết với PlugX loaders.
Nguồn: thehackernews.com