Trạm cuối của Tor phát tán phần mềm độc hại mới OnionDuke

Một máy chủ thuộc trạm cuối trong mạng ẩn danh Tor đã được phát hiện phát tán một họ mới của phần mềm độc hại mà các nhà nghiên cứu gọi là OnionDuke. Sở dĩ có tên gọi này vì mối liên hệ giữa nó với nhóm tin tặc sử dụng công cụ tình báo mạng MiniDuke.

Kiểu tấn công này là loại không phổ biến và đã được phát hiện bởi Josh Pitts, nhà kiểm thử xâm nhập tại Leviathan Security.

DLL độc hại đội lốt file ảnh GIF.

Ông thấy rằng trạm cuối này sẽ sửa đổi những chương trình không nén đi qua nó bằng cách đóng gói chúng và thêm vào một tệp tin thực thi độc hại; phương pháp này sẽ giúp kẻ tấn công vượt qua quá trình kiểm tra sự liên kết với tệp tin gốc.

Các nhà nghiên cứu bảo mật của F-Secure đã nghiên cứu công nghệ phân phối phần mềm độc hại mới và xác nhận các thông tin Pitts  báo cáo, đồng thời đưa ra chi tiết về cách payload được thực hiện, liên kết của nó với máy chủ C&C và chức năng nhúng.

Họ nhận thấy rằng ngay khi tập tin nhị phân tải về thông qua máy chủ Tor độc hại được gọi đến, nó thực thi cả chương trình kích hoạt phần mềm độc hại ban đầu và thứ hai. Hành động này sẽ không khiến nạn nhân nghi ngờ vì một thành phần của phần mềm hợp pháp cũng được thêm vào hệ thống.

Artturi Lehtiö phân tích hoạt động của chương trình và nhận thấy rằng nó chứa một DLL được mã hóa và ẩn dưới một file ảnh GIF. Sau khi giải mã các DLL, chương trình này có thể lưu trữ nó trên đĩa và thực thi nó.

Chuỗi các hoạt động độc hại tiếp tục với việc giải mã tập tin cấu hình và cố gắng kết nối tệp tin này với một máy chủ C&C mã hóa cứng. Máy chủ này sẽ đưa ra chỉ dẫn cho phần mềm độc hại.

Thành phần phần mềm độc hại hé lộ mối liên hệ với nhóm MiniDuke

Một số thành phần OnionDuke đã được xác định trong quá trình phân tích, tiết lộ khả năng của nó. Đánh cắp thông tin là một trong những mục đích của phần mềm độc hại và để duy trì truy cập liên tục trên hệ thống bị ảnh hưởng, tin tặc thêm vào đó lộ trình phát hiện sản phẩm bảo mật (antivirus, tường lửa).

Đó là một trong những mối liên hệ giữa OnionDuke và MiniDuke mà các nhà nghiên cứu tìm thấy. Mối liên hệ này bao gồm một tên miền C&C đã được đăng ký năm 2011 dưới bí danh John Kasai. Tên miền này tiếp tục được sử dụng để đăng ký những tên miền khác hai tuần sau đó.

“Điều này cho thấy rõ ràng là mặc dù OnionDuke và MiniDuke là hai họ phần mềm độc hại riêng biệt, các tin tặc đứng sau chúng có mối liên hệ thông qua việc sử dụng chung các cơ sở hạ tầng”. Theo các nhà nghiên cứu, có bằng chứng cho thấy OnionDuke đã được sử dụng trong các cuộc tấn công nhắm vào các cơ quan chính phủ châu Âu.

Softpedia