Chủ đề

(Không gian mạng) - Các nhà nghiên cứu bảo mật vừa phát hiện ra một loại mã độc mới đang được triển khai rộng khắp trên toàn thế giới. Được đặt tên là RubyMiner, mã độc này là một phần mềm khai thác tiền ảo chỉ tập trung vào các máy chủ web đã lỗi thời.

721x406xLinux_Encode.jpg.pagespeed.ic.iqfBn78elg

Cụ thể, theo nghiên cứu của các hãng bảo mật gồm Check Point (Israel) và Certego (Thụy Điển), và thông tin mà trang Bleeping Computer nhận được từ hãng Ixia (Mỹ), các cuộc tấn công bắt đầu vào ngày 9-10/01.

RubyMiner được phát hiện đã ảnh hưởng đến 700 máy chủ, với các nước bị nhắm mục tiêu nhiều nhất là Mỹ, Đức, Anh, Na Uy và Thụy Điển.

Tin tặc nhắm mục tiêu máy chủ Linux và Windows

Stefan Tanase, nhà nghiên cứu bảo mật của hãng Ixia, nói với Bleeping Computer rằng nhóm RubyMiner đã sử dụng p0f, một công cụ Fingerprinting (thu thập thông tin về hệ điều hành) dành cho các máy chủ web, để quét và xác định các máy chủ Linux và Windows đang chạy phần mềm lỗi thời.

Một khi tìm được các máy chủ chưa được vá lỗ hổng, tin tặc sẽ triển khai khai thác lỗ hổng để xâm nhập vào bên trong các máy chủ này và phát tán mã độc RubyMiner.

Hai hãng Check Point và Ixia cho biết đã nhìn quan sát thấy tin tặc trong đợt tấn công gần đây đã nhắm vào 06 lỗ hổng sau: CVE-2013-0156, VE-2012-1823, CVE-2012-2311, CVE-2012-2335; CVE-2012-2336, CVE-2013-4878, CVE-2005-2678.

Kẻ tấn công ẩn mã độc hại trong tập tin robots.txt

Trong báo cáo được công bố, Check Point đã phá vỡ hoạt động lây nhiễm của RubyMiner trên các hệ thống Linux, dựa theo các dữ liệu thu thập được từ các máy chủ honeypot của hãng này.

Trao đổi cới Blepping Computer, nhà nghiên cứu bảo mật của Check Point, Lotem Finkelstein, cho biết hãng đã thấy những kẻ tấn công nhắm vào các máy chủ Windows IIS, nhưng họ vẫn chưa có được bản sao mã độc dành cho phiên bản Windows.

Cuộc tấn công này cũng được nhận diện thông qua một trong những tên miền được tin tặc sử dụng để ẩn các lệnh độc hại trong tập tin robots.txt (lochjol[.]com) cũng từng được sử dụng trong một chiến dịch mã độc trước đó vào năm 2013.

Chiến dịch mã độc này cũng sử dụng lỗ hổng Ruby on Rails từng được triển khai trong các cuộc tấn công RubyMiner, cho thấy cùng một nhóm đứng đằng sau những cuộc tấn công này có thể đang tìm cách phát tán RubyMiner.

Lâm Quang Dũng (Lược dịch từ: Bleeping Computer)

Thích và chia sẻ bài này trên:
Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@trandaiquang.net