Sửa tận nhà có Đổi Pin, Màn Hình, đổi main, SSD giữ nguyên Data
  • 7:30 - 20:30
    Cả CN & Lễ
  • Lịch hẹn
  • 500 Cửa hàng

02838442008

0948 70 1133

Tin tặc Clasiopa sử dụng phần mềm độc hại Atharvan mới trong các cuộc tấn công có chủ đích

Tin tặc Clasiopa sử dụng phần mềm độc hại Atharvan mới trong các cuộc tấn công có chủ đích

554,000₫
Gói trọn bộ linh kiện zin hãng Sửa chữa từ xa miễn phí: 1800 1080
Tìm cửa hàng quanh đây

Có chổ đậu ô tô (Có thể mất phí)

Cửa hàng bạn đã chọn

Alo Mr Viện, hư gì cứ điện 1800.1080 (24/7)

Các nhà nghiên cu bo mt đã quan sát thy mt nhóm tn công nhm vào các công ty trong lĩnh vc nghiên cu vt liu bng b công c đc đáo bao gm mt trojan truy cp t xa (RAT) tùy chnh có tên là Atharvan.

Tác nhân đe da đang được theo dõi dưới tên Clasiopa bi Symantec, mt công ty ca Broadcom, công ty mà các nhà phân tích đã tìm thy manh mi ch ra mt tác nhân đe da n Đ. Tuy nhiên, s quy kết vn chưa rõ ràng vì có rt ít bng chng ng h bt k lý thuyết nào.

Chi tiết cuc tn công Clasiopa

Mc dù không có d liu chc chn đ ch ra mt véc tơ lây nhim ban đu c th, nhưng các nhà nghiên cu ca Symantec đã tìm thy nhng gi ý cho thy rng Clasiopa s dng vũ lc đ giành quyn truy cp vào các máy ch công khai.

Symantec báo cáo rng nhng k tn công thc hin nhiu hành đng khác nhau sau khi tha hip, bao gm:

  • kiểm tra địa chỉ IP của hệ thống bị vi phạm
  • vô hiệu hóa các sản phẩm bảo vệ điểm cuối bằng cách dừng dịch vụ của họ
  • triển khai phần mềm độc hại có thể quét các tệp cụ thể và lọc chúng dưới dạng tệp lưu trữ ZIP
  • xóa nhật ký Sysmon và nhật ký sự kiện để xóa dấu vết của hoạt động độc hại
  • tạo một tác vụ theo lịch trình ("dịch vụ mạng") để liệt kê tên tệp

Cuc điu tra ca Symantec tiết l rng cùng vi ca hu ca mình, Clasiopa cũng s dng phn mm hp pháp như Agile DGS và Agile FD, được ký bng các chng ch cũ.

Các tin tc đã da vào hai ca hu đ tn công: Atharvan tùy chnh và Lilith RAT mã ngun m. Cái sau có th được s dng đ thc thi các lnh, chy các tp lnh PowerShell và đ thao tác các quy trình trên h thng b vi phm.

Clasiopa cũng đã s dng mt công c proxy tùy chnh và "Thumbsender", mt tin ích lit kê các tp trên máy ch và lưu chúng cc b trong cơ s d liu có th được trích xut sau đó ti mt đa ch IP được ch đnh.

Kh năng ca Atharvan

Atharvan là công c thú v nht được Clasiopa s dng vì nó là mt ca hu tùy chnh không thy trong bt k cuc tn công nào khác ngoài t nhiên.

Khi thc thi, nó to ra mt mutex đ ngăn nhiu quá trình t chy và sau đó liên h vi mt đa ch lnh và kim soát (C2) được mã hóa cng mt v trí bt thường, cơ s h tng Dch v web ca Amazon Seoul, Hàn Quc.

Dưới đây là mu giao tiếp ca ca hu vi máy ch C2, được đnh dng là các yêu cu HTTP POST ti mt máy ch được cho là hp pháp, máy ch cp nht ca Microsoft.

Mẫu yêu cầu HTTP POST của phần mềm độc hại 

Mt tính năng bt thường khác là nó có th được đnh cu hình đ liên lc theo lch trình vi C2 và thm chí có th được đt đ th kết ni trong nhng ngày c th trong tun hoc trong tháng.

V kh năng ca nó, Atharvan ti xung các tp trên máy tính b xâm nhp, chy các tp thc thi, thc thi các lnh và gi li đu ra ca chúng.

Các lệnh được hỗ trợ bởi Atharvan 

Các nhà nghiên cu lưu ý rng thông tin liên lc ca Atharvan vi C2 được bo v bng cách s dng mt thut toán đơn gin đ XOR tng byte ca bn rõ vi giá tr "2" đ to ra bn mã. Điu này không đt được kết qu mã hóa mnh nhưng vn có th giúp phn mm đc hi trn tránh mt s công c giám sát lưu lượng mng.

Sơ đồ mã hóa đơn giản được sử dụng cho truyền thông C2 

Gi ý ch ra mt tác nhân đe da n Đ là mt mutex bng tiếng Hindi mà các nhà nghiên cu đã phát hin ra trong ca hu tùy chnh: "SAPTARISHI-ATHARVAN-101", Atharvan đ cp đến mt linh mc huyn thoi trong thn thoi V Đà, con trai ca Brahmā, Đng To Hóa. Mt gi ý khác là mt khu mà k tn công đã s dng cho kho lưu tr ZIP, đó là iloveindea1998^_^.

Tuy nhiên, c hai manh mi rt có th là mt lá c gi được dng lên đ ghi nhn sai lm.

Atharvan backdoor phn ln không b phát hin ti thi đim này. Ch có mt mu có sn trên nn tng quét VirusTotal và nó được đánh du là mi đe da ch bi hai công c chng vi-rút.

Đầu đề

Các mc tiêu ca Clasiopa hin vn chưa rõ ràng nhưng gián đip mng dường như là đng lc đng sau các cuc tn công. Các nhà nghiên cu nói rng tác nhân đe da đã nhm mc tiêu nn nhân châu Á.

Báo cáo ca Symantec cung cp mt tp hp các giá tr băm cho phn mm đc hi được phát hin trong các chiến dch đc hi do Clasiopa.

Các du hiu ca s xâm phm bao gm các hàm băm cho hai ca hu (Atharvan và Lilith) cũng như các công c mà k đe da đã s dng trong các cuc tn công.

Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.

Xem thêm ↓

Quý đối tác sẽ được thử tiếp nhận và sửa ngay tại đây

Mẫu HSXV.Doc

HỎI KỸ THUẬT - GỌI NGAY 24/7
© 2024. Trungtambaohanh.com Sửa tận nhà có Đổi Pin, Màn Hình, đổi main, SSD giữ nguyên Data
Công Ty Cổ Phần Máy Tính VIỆN GPĐKKD: 0305916372 do sở KHĐT TP.HCM cấp ngày 18/07/2008 ĐT: 028.3844.2011