Tin tặc lợi dụng lỗ hổng SambaCry để phát tán tán mã độc SHELLBIND

Hãng bảo mật Trend Micro cảnh báo phát hiện tin tặc đang tiếp tục lợi dụng lỗ hổng SambaCry (hoặc EternalRed) để cài đặt một trojan mới có tên SHELLBIND vào các thiết bị Linux chạy các phiên bản cũ của máy chủ chia sẻ tệp Samba.

Trend Micro cho biết phần lớn các cuộc tấn công đều nhằm tới các thiết bị lưu trữ mạng (NAS), với một số được đưa ra cùng với máy chủ Samba để cung cấp khả năng tương tác chia sẻ file giữa các hệ điều hành khác nhau.

Về SambaCry, CVE-2017-7494, đây là lỗ hổng vừa được tiết lộ công khai vào cuối tháng 5/2017, ảnh hưởng đến tất cả các phiên bản của phần mềm Samba được phát hành trong 7 năm qua, từ phiên bản 3.5.0 trở đi.

Tin tặc đang tiếp tục lợi dụng lỗ hổng SambaCry (hoặc EternalRed) để cài đặt một trojan mới có tên SHELLBIND vào các thiết bị Linux

Hai tuần sau khi đội ngũ bảo mật của Samba vá phần mềm và thông tin về lỗ hỗng bị công khai, có kẻ đã sử dụng SambaCry để lây nhiễm các máy chủ Linux và cài đặt một phần mềm đào tiền ảo có tên EternalMiner.

SHELLBIND mở một backdoor trên cổng 61422

Các cuộc tấn công phát tán EternalMiner vẫn tiếp tục trong tháng vừa qua, nhưng gần đây, Trend Micro đã phát hiện thêm mã độc SHELLBIND cũng được phát tán trong payload cuối cùng trong các cuộc tấn công lợi dụng SambaCry.

Theo các nhà nghiên cứu, SHELLBIND là một mã độc dạng cửa hậu (backdoor) đơn giản cho phép kẻ tấn công mở cửa sổ điều khiển từ xa trên các thiết bị bị nhiễm.

Trojan này được cấu hình để thay đổi các quy tắc tường lửa nội bộ và mở cổng TCP 61422, do đó tin tặc có thể kết nối với các thiết bị bị xâm nhập.

SHELLBIND có thể được sử dụng để trộm cắp dữ liệu

So với EternalMiner, chủ yếu nhắm vào các máy chủ Linux, SHELLBIND chủ yếu được phát hiện trên các thiết bị NAS, bên cạnh với các thiết bị IoT khác đang chạy các phiên bản Samba cũ.

Dựa trên các tính năng và bản chất của các cuộc tấn công mục tiêu của SHELLBIND cho thấy tin tặc đứng sau đang tìm kiếm dữ liệu để đánh cắp và có thể bán trên các diễn đàn tội phạm ngầm đất hoặc sử dụng để đòi tiền chuộc từ các công ty.

Theo Bleeping Computer

Khối Giáo dục FPT – fpt.edu.vn

Học Viện Mạng và Phần Cứng – jetking.fpt.edu.vn