Hacker giả mạo, phân phối thư viện "requests" độc hại tấn công các thiết bị Apple Mac, ăn cắp quyền truy cập mạng của doanh nghiệp
Vn-Z.vn Ngày 14 tháng 05 năm 2024, Gần đây các hacker đã thực hiện kỹ thuật giả mạo phát hành một thư viện phần mềm mới, giả danh thư viện "requests" phổ biến trên Python Package Index (PyPI), sử dụng khung Sliver C2 để cài đặt trên nhiều hệ điều hành, nhắm mục tiêu vào các thiết bị macOS của Apple, đặc biệt là để ăn cắp quyền truy cập mạng của các doanh nghiệp.
Theo chuyên gia an ninh Phylum cho biết, phương thức tấn công này khá phức tạp, bao gồm nhiều bước và các lớp làm mờ (obfuscation layers), sử dụng kỹ thuật steganography trong tập tin hình ảnh PNG để lén cài đặt khung Sliver trên mục tiêu.
Sliver là một bộ công cụ thử nghiệm chống lại đa nền tảng (Windows, macOS, Linux), được thiết kế để sử dụng trong các hoạt động "đội đỏ" nhằm mô phỏng hành động của kẻ thù trong quá trình kiểm tra phòng thủ mạng.
Các chức năng chính của nó bao gồm tùy chỉnh chức năng cấy và điều khiển (C2), công cụ / script sau phát triển và nhiều tùy chọn mô phỏng cuộc tấn công phong phú.
Phylum đầu tiên phát hiện ra gói phần mềm độc hại có tên "requests-darwin-lite", một phiên bản biến thể của thư viện Python "requests" phổ biến.
Gói phần mềm này được lưu trữ trên PyPI và chứa tập tin nhị phân của Sliver trong một tập tin hình ảnh PNG có dung lượng 17MB, kèm theo biểu tượng Requests.
Trong đó
1. Lớp làm mờ (obfuscation layers): Đây là các lớp hay cơ chế làm mờ hoặc che đậy code hay tập tin để làm khó khăn cho các chương trình phân tích phát hiện mã độc.
2. Steganography trong tập tin PNG : Steganography là kỹ thuật giấu tin, ở đây được áp dụng trong tập tin hình ảnh PNG để ẩn đi tập tin thực thi của Sliver, một framework có chức năng xâm nhập.
3. Khung Sliver: Đây là một công cụ mở và đa nền tảng (có thể chạy trên Windows, macOS, Linux) được thiết kế để kiểm tra mạng máy tính. Nó được sử dụng cho các hành động tấn công mô phỏng bởi các nhóm đỏ trong các tình huống thử thách.
4. Các chức năng của Sliver: Bao gồm tùy chỉnh cải thiện chức năng và kiểm soát (C2), các công cụ/phần mềm sau phát triển và các tùy chọn mô phỏng cuộc tấn công.
5. Gói phần mềm "requests-darwin-lite": Đây là một phiên bản biến thể của thư viện Python "requests", một thư viện phổ biến được sử dụng cho việc gửi yêu cầu HTTP. Trong trường hợp này, gói phần mềm này đã bị làm giả mạo để chứa mã độc.
6.Tập tin hình ảnh PNG: Được sử dụng để chứa tập tin thực thi của Sliver, nhưng với kích thước lớn và dường như không liên quan đến tập tin thực sự, điều này có thể khiến việc phát hiện mã độc trở nên khó khăn.
Trong quá trình cài đặt trên hệ điều hành macOS, lớp PyInstall sẽ thực hiện các lệnh giải mã chuỗi mã hóa base64 (ioreg) để truy xuất UUID (thông tin nhận dạng duy nhất phổ biến) của hệ thống.
Khi có sự khớp, nó sẽ đọc tệp PNG chứa tệp nhị phân Go và trích xuất nó từ một phần cụ thể của vị trí tệp. Tệp nhị phân của Sliver được ghi vào tệp cục bộ và được sửa đổi quyền truy cập để có thể thực thi, cuối cùng được khởi động trong nền.
Sau khi Phylum báo cáo về requests-darwin-lite cho nhóm PyPI, họ đã loại bỏ gói phần mềm này từ trang web chính thức.
Theo chuyên gia an ninh Phylum cho biết, phương thức tấn công này khá phức tạp, bao gồm nhiều bước và các lớp làm mờ (obfuscation layers), sử dụng kỹ thuật steganography trong tập tin hình ảnh PNG để lén cài đặt khung Sliver trên mục tiêu.
Sliver là một bộ công cụ thử nghiệm chống lại đa nền tảng (Windows, macOS, Linux), được thiết kế để sử dụng trong các hoạt động "đội đỏ" nhằm mô phỏng hành động của kẻ thù trong quá trình kiểm tra phòng thủ mạng.
Các chức năng chính của nó bao gồm tùy chỉnh chức năng cấy và điều khiển (C2), công cụ / script sau phát triển và nhiều tùy chọn mô phỏng cuộc tấn công phong phú.
Phylum đầu tiên phát hiện ra gói phần mềm độc hại có tên "requests-darwin-lite", một phiên bản biến thể của thư viện Python "requests" phổ biến.
Gói phần mềm này được lưu trữ trên PyPI và chứa tập tin nhị phân của Sliver trong một tập tin hình ảnh PNG có dung lượng 17MB, kèm theo biểu tượng Requests.
Trong đó
1. Lớp làm mờ (obfuscation layers): Đây là các lớp hay cơ chế làm mờ hoặc che đậy code hay tập tin để làm khó khăn cho các chương trình phân tích phát hiện mã độc.
2. Steganography trong tập tin PNG : Steganography là kỹ thuật giấu tin, ở đây được áp dụng trong tập tin hình ảnh PNG để ẩn đi tập tin thực thi của Sliver, một framework có chức năng xâm nhập.
3. Khung Sliver: Đây là một công cụ mở và đa nền tảng (có thể chạy trên Windows, macOS, Linux) được thiết kế để kiểm tra mạng máy tính. Nó được sử dụng cho các hành động tấn công mô phỏng bởi các nhóm đỏ trong các tình huống thử thách.
4. Các chức năng của Sliver: Bao gồm tùy chỉnh cải thiện chức năng và kiểm soát (C2), các công cụ/phần mềm sau phát triển và các tùy chọn mô phỏng cuộc tấn công.
5. Gói phần mềm "requests-darwin-lite": Đây là một phiên bản biến thể của thư viện Python "requests", một thư viện phổ biến được sử dụng cho việc gửi yêu cầu HTTP. Trong trường hợp này, gói phần mềm này đã bị làm giả mạo để chứa mã độc.
6.Tập tin hình ảnh PNG: Được sử dụng để chứa tập tin thực thi của Sliver, nhưng với kích thước lớn và dường như không liên quan đến tập tin thực sự, điều này có thể khiến việc phát hiện mã độc trở nên khó khăn.
Trong quá trình cài đặt trên hệ điều hành macOS, lớp PyInstall sẽ thực hiện các lệnh giải mã chuỗi mã hóa base64 (ioreg) để truy xuất UUID (thông tin nhận dạng duy nhất phổ biến) của hệ thống.
Khi có sự khớp, nó sẽ đọc tệp PNG chứa tệp nhị phân Go và trích xuất nó từ một phần cụ thể của vị trí tệp. Tệp nhị phân của Sliver được ghi vào tệp cục bộ và được sửa đổi quyền truy cập để có thể thực thi, cuối cùng được khởi động trong nền.
Sau khi Phylum báo cáo về requests-darwin-lite cho nhóm PyPI, họ đã loại bỏ gói phần mềm này từ trang web chính thức.
BÀI MỚI ĐANG THẢO LUẬN