Phát hiện dòng malware sử dụng giao thức UDP trong các giao tiếp C&C

Các nhà nghiên cứu bảo mật đã phát hiện một chiến dịch gián điệp mạng có tính tập trung cao, được cho là có liên quan đến nhóm tấn công đứng sau Trojan KHRAT và đang nhắm đến những tổ chức lớn ở Đông Nam Á.

Theo các nhà nghiên cứu từ Palo Alto, nhóm tin tặc (mà họ gọi là RANCOR) đã được phát hiện đang sử dụng hai dòng malware mới — PLAINTEE và DDKONG — để nhắm tới các đơn vị chính trị, tập trung ở Singapore và Campuchia.

Tuy nhiên, một vài năm trước, các nhóm tin tặc đứng sau KHRAT Trojan đã bị cáo buộc là có liên quan đến một nhóm gián điệp mạng Trung Quốc có tên là DrangonOK.

Khi giám sát các cơ sở hạ tầng C&C có liên quan đến Trojan KHRAT, các nhà nghiên cứu đã xác định được nhiều biến thể của hai dòng malware này, nơi mà PLAINTEE dường như là vũ khí mới nhất trong kho vũ khí sử dụng giao thức UDP để giao tiếp với các máy chủ C&C từ xa.

Để tiêm nhiễm được PLAINTEE VÀ DDKONG, các tin tặc sử dụng những tin nhắn lừa đảo với các hướng lan truyền khác nhau, bao gồm cả những macro độc hại bên trong các tệp Microsoft Excel, HTA Loader và DLL Loader có chứa các tệp mồi nhử.

“Những mồi nhử này có chứa những chi tiết từ tin tức về  các sự kiện chính trị”, các nhà nghiên cứu giải thích, “Thêm vào đó, các tài liệu mồi nhử này được lưu trữ trên các trang web hợp pháp, bao gồm cả các trang web chính phủ của Cam-pu-chia và ít nhất có cả một trường hợp ở trên Facebook.”

Ngoài ra, PLAINTEE tải xuống và cài đặt các plugins từ máy chủ C&C bằng cách sử dụng cùng một giao thức UDP tùy chỉnh, chuyển đổi dữ liệu từ dạng mã hóa.

Các nhà nghiên cứu cho biết: “Các dòng malware này lợi dụng giao tiếp mạng tùy chỉnh để tải và thực thi các plugins khác nhau tạo bởi các tin tặc. Đặc biệt, việc sử dụng các giao thức UDP tùy chỉnh của các phần mềm độc hại PLANTEE là rất hiếm và đáng xem xét khi xây dựng các công cụ tự phát hiện cho các phần mềm độc hại không xác định.”

Bên cạnh đó, DDKONG đang được sử dụng bởi các nhóm tin tặc từ tháng 2 năm 2017 và không có bất cứ giao thức thông tin tùy chỉnh nào như PLAINTEE.

Theo như các nhà nghiên cứu, payload cuối cùng của cả hai dòng malware này đều có mục đích gián điệp mạng đối với các mục tiêu chính trị chứ không phải là để ăn cắp tiền của họ.

Bởi nhóm RANCOR chủ yếu nhắm vào những người dùng không am hiểu công nghệ, cho nên lời khuyên ở đây luôn là đừng bao giờ tò mò với những tài liệu lạ được gửi qua email và ấn vào những đường link được dẫn trong đó, trừ khi nguồn dữ liệu có đủ thông tin bảo mật.

Cuối cùng, điều quan trọng là hãy sử dụng phần mềm chống virus dựa trên hành vi người dùng, để dễ dàng phát hiện và chặn những phần mềm độc hại trước khi chúng có thể làm hại thiết bị của bạn, đồng thời giữ cho mọi ứng dụng được cập nhật bản mới nhất.

THN