Phát hiện backdoor xâm nhập hệ thống Linux trong 3 năm mà không ai biết

VNZ-NEWS
Vn-Z.vn Ngày 14 tháng 09 năm 2023, Theo securelist các chuyên gia an ninh mạng vừa phát hiện một trang web đã âm thầm cài cắm backdoor tấn công công vào hệ sinh thái Linux. Mã độc này có thể lấy cắp mật khẩu và thông tin nhạy cảm khác trong hơn ba năm cho đến khi bị phát hiện. Theo dữ liệu theo dõi của securelist , trong nửa đầu năm 2023, đã xuất hiện 260.000 mẫu mã độc tấn công vào hệ thống Linux .

backdoor.jpg

Trang web freedownloadmanager[.]org đã cung cấp một phiên bản ứng dụng Free- Download -Manager tưởng chừng như vô hại cho hệ điều hành Linux. Ngay cả trên Wikiperdia cũng đưa ra thông tin FreeDownloadManager là trình quản lý tải xuống dành cho Windows, macOS, Linux và Android .

FDM_story_01.png

Ảnh securelist
Tuy nhiên bắt đầu từ năm 2020, tên miền freedownloadmanager[.]org cùng lúc thực hiện chuyển hướng người dùng đến tên miền deb.fdmpkg[.]org, đây là nơi cung cấp phiên bản chứa mã độc dưới dạng ứng dụng FFree Download Manager.

FDM-malware-story-02.png

Ảnh Securelist
Phiên bản chứa mã độc có các đoạn mã ra lệnh tải xuống hai tệp thực thi vào đường dẫn /var/tmp/crond và /var/tmp/bs. Sau đó, đoạn mã này tự lên lịch trình 10 phút chạy cron một lần trong đường dẫn tại /var/tmp/crond . Hành động này khiến các thiết bị nào từng cài đặt phiên bản FreeDownloadManager độc hại đều bị cắm backdoor ( cửa sau) vĩnh viễn.

Các chuyên gia từ Kaspersky đã tiến hành phân tích thử nghiệm và quan sát cách backdoor này hoạt động. Sau khi truy cập vào địa chỉ IP của tên miền độc hại, backdoor sẽ khởi chạy một reverse shell cho phép hacker thực hiện các cuộc tấn công từ xa và điều khiển các hệ thống bị nhiễm mã độc.

FDM_story_03.png

Trong một báo cáo được chia sẻ từ Securelist : "Steale này thu thập dữ liệu như thông tin hệ thống, lịch sử duyệt web, mật khẩu đã lưu, thông tin ví tiền điện tử, thông tin đăng nhập cho các dịch vụ đám mây (AWS, Google Cloud, Oracle Cloud Infrastructure, Azure). Sau khi thu thập thông tin từ hệ thống bị nhiễm, stealer sẽ tải xuống một tệp binary uploader từ máy chủ C2 và lưu nó vào /var/tmp/atd. Sau đó, nó sử dụng binary này để tải lên kết quả thực thi của stealer lên hạ tầng của kẻ tấn công".


FDM-malware-scheme-01.png


Sau khi tìm kiếm các bài đăng trên mạng xã hội nói về FreeDownloadManager, các chuyên gia an ninh phiện hiện ra một số người truy cập vào freedownloadmanager[.]org nhận được phiên bản vô hại của ứng dụng, trong khi một số người khác được chuyển hướng đến một trong các tên miền độc hại dưới đây để phát tán phiên bản đã bị gài backdoor.

  • 2c9bf1811ff428ef9ec999cc7544b43950947b0f.u.fdmpkg[.]org
  • c6d76b1748b67fbc21ab493281dd1c7a558e3047.u.fdmpkg[.]org
  • 0727bedf5c1f85f58337798a63812aa986448473.u.fdmpkg[.]org
  • c3a05f0dac05669765800471abc1fdaba15e3360.u.fdmpkg[.]org
Hiện chưa rõ tại sao một số người khi vào Freedownloadmanager[.]org lại nhận được phiên bản phần mềm không có mã độc, trong khi những người khác bị chuyển hướng đến một tên miền độc hại. Hành động chuyển hướng cài cắm mã độc này được các chuyên gia cho biết rằng đã kết thúc vào năm 2022 nhưng không rõ lý do.

FDM_story_09.png

Backdoor được cài cắm là phiên bản mã độc chuyên theo dõi có tên là Bew, mã độc này được công bố vào năm 2014. Bew là một trong những mã độc từng được sử dụng trong cuộc tấn công vào năm 2017 và chiến dịch năm 2019 nhằm khai thác lỗ hổng trong Exim Mail Server.

Các chuyên gia cho biết Chiến dịch hiện tại của mã độc FDM vẫn đang "nằm chờ" âm thầm và cho thấy rằng chiến dịch Free Download Manager backdoor khá khó để phát hiện các cuộc tấn công mạng đang diễn ra trên các máy Linux bằng mắt thường

Securelist cho biết thêm lý do tại sao mã độc này không được phát hiện sớm.

Mã độc được phát hiện trong chiến dịch này đã được biết đến từ năm 2013. Các phần cài đặt cuối cùng khá ồn ào và được chứng minh bởi nhiều bài đăng trên mạng xã hội. Theo dữ liệu theo dõi của chúng tôi, các nạn nhân của chiến dịch này được phân bố trên khắp thế giới, bao gồm Brazil, Trung Quốc, Ả Rập Saudi và Nga. Sự thật này, có thể có vẻ mâu thuẫn khi gói FreeDownloadManager độc hại vẫn không bị phát hiện trong hơn ba năm.
  • Không giống như Windows, mã độc Linux hiếm khi được quan sát.
  • Nhiễm mã độc với gói Debian độc hại xảy ra tuỳ theo từng mức độ xác suất: một số người dùng nhận được gói bị nhiễm, trong khi những người khác tải xuống phiên bản không gây hại.
  • Người dùng mạng xã hội đang thảo luận các vấn đề liên quan đến Free Download Manager và họ không nghi ngờ rằng chúng được gây ra bởi mã độc.
Các chuyên gia từ Securelist cũng cung cấp các thông tin như tệp băm , tên miền và địa chỉ IP , ngay bây giờ các bạn kiểm tra xem liệu mình có bị nhắm mục tiêu hoặc bị lây nhiễm trong chiến dịch cài cắm backdoor âm thầm này hay không. Securelist nghi ngờ đây là một cuộc tấn công nhằm vào chuỗi cung ứng liên quan đến phiên bản lành tính của ứng dụng Freedownloadmanager miễn phí. Hiện nhóm điều hành trang web freedownloadmanager[.]org chưa đưa ra thông tin phản hồi về chiến dịch cài cắm mã độc này.

Cập nhật phản hồi chính thức từ FDM team

FDM Team nói:
Greetings from the Miễn phí tải về Manager team. We acknowledge the reports regarding the security concerns and assure you that we're actively investigating their history. As of now, all links on the FDM website are secure and functional. For a comprehensive overview of the situation, we've made an official announcement on our website. We encourage everyone to get more insights here: https://www.freedownloadmanager.org/blog/?p=664
Nhấn để mở rộng...
Tôi có thể đọc và tóm tắt các ý chính cho các thành viên của chúng tôi hiểu rằng. Hệ thống của FDM đã bị nhóm hacker lạ xâm nhập và phát tán phần mềm độc hại. Số người bị nhiễm chiếm khoảng 0,1% người dùng của FDM. LL hổng này đã vô tình được giải quyết trong quá trình cập nhật trang web định kỳ vào năm 2022.Hiện tại FDM team đã khắc phục, FDM vẫn hoạt động bình thường, sạch .

Cập nhật mới ngày 22/09/2023 từ FDM Team

Update 2: We have prepared a bash script that you can use to check the presence of malware in your system.

Launch Instructions:

  1. Download the linux_malware_check.sh script and give it execute permissions. You can do this by running:
    chmod +x linux_malware_check.sh.
    Mã: 
    https://files2.freedownloadmanager.org/linux_malware_check.sh
  2. Execute the script by running: ./linux_malware_check.sh.
Please note that this script only identifies whether the mentioned potential threats are present on your computer, it does not remove them. If malware is detected, it is highly recommended to reinstall the system.

We once again sincerely apologize for any inconvenience that might have been caused.

Theo Wiki : Free Download Manager, viết tắt là FDM, là trình quản lý tải xuống dành cho Windows, macOS, Linux và Android. FDM là phần mềm độc quyền, nhưng đã trở thành phần mềm mã nguồn mở và miễn phí giữa các phiên bản 2.5 và 3.9.7 FDM là phần mềm độc quyền, nhưng đã trở thành phần mềm mã nguồn mở và miễn phí giữa các phiên bản 2.5 và 3.9.7. Bắt đầu với phiên bản 3.0.852 (ngày 15 tháng 4 năm 2010), mã nguồn đã có sẵn trong kho lưu trữ Subversion của dự án thay vì được bao gồm trong gói nhị phân. Thay đổi này tiếp tục được áp dụng cho đến các phiên bản 3.9.7. Mã nguồn cho phiên bản 5.0 trở lên không có sẵn và thỏa thuận về Giấy phép Công cộng GNU đã bị xóa khỏi ứng dụng.
Nhấn để mở rộng...

Thông tin bạn đọc có thể tham khảo tại securelist
 
  • Like
 naroto, newguy999, meebo and 7 others Reactions: naroto, newguy999, meebo and 7 others
Teamgroup ra mắt MicroSDXC và SDXC chống nước, chống bụi,chống tia X, chống sốc, tốc độ 160 MB/s dung lượng 1 TB
Trả lời
VNZ-NEWS

VNZ-NEWS

Administrator
Thành viên BQT
Update 2: We have prepared a bash script that you can use to check the presence of malware in your system.


Launch Instructions:


  1. Download the linux_malware_check.sh script and give it execute permissions. You can do this by running:
    chmod +x linux_malware_check.sh.
    Mã: 
    https://files2.freedownloadmanager.org/linux_malware_check.sh
  2. Execute the script by running: ./linux_malware_check.sh.

Please note that this script only identifies whether the mentioned potential threats are present on your computer, it does not remove them. If malware is detected, it is highly recommended to reinstall the system.


We once again sincerely apologize for any inconvenience that might have been caused.
 
You must log in or register to reply here.
BÀI MỚI ĐANG THẢO LUẬN
Cổ phiếu HAH, CTD, GVR, TCB - Có nên mua? VNINDEX giảm tiếp? Tại sao...
18/11/24
Cách tạo phụ đề cho video bằng Capcut mà không cần mua bản Pro
17/11/24
cách fix lỗi win 10-11 không thể scan to folder trên máy ricoh
17/11/24
Điện thoại liền khối, làm sao biết pin bị phồng?
17/11/24
Cổ phiếu VHM có nên mua? Định giá Vinhomes 2024 và 2025
17/11/24
Soạn thảo văn bản với Text Edit Plus 14.8
17/11/24