Sau phát hiện của TeamT5, các nhà nghiên cứu của Kaspersky đã phát hiện ra một phương pháp phân phối mới được các nhà khai thác triển khai để phát tán phần mềm độc hại WinDealer. Phương pháp này sử dụng một kỹ thuật đặc biệt trong đó họ có thể thêm tin nhắn mới bằng cách đọc lưu lượng mạng. Khái niệm chung của cuộc tấn công này, được gọi là man-on-the-side, dựa trên thực tế là khi kẻ tấn công nhìn thấy yêu cầu về một tài nguyên cụ thể trên mạng, nó sẽ can thiệp và gửi phản hồi đến nạn nhân nhanh hơn máy chủ hợp pháp. và chuyển tiếp nội dung họ muốn. Nếu kẻ tấn công thắng ‘cuộc đua’, máy mục tiêu đang sử dụng dữ liệu do kẻ tấn công cung cấp thay vì dữ liệu thông thường. Ngay cả khi những kẻ tấn công thất bại trong hầu hết các lần thử, chúng vẫn thử lại cho đến khi thành công và cuối cùng thành công trong việc lây nhiễm vào hầu hết các thiết bị.
WinDealer là gì và cách bảo vệ nó?
Sau cuộc tấn công, một ứng dụng phần mềm gián điệp được gửi đến thiết bị mục tiêu và có thể thu thập một lượng thông tin ấn tượng. Bằng cách này, kẻ tấn công có thể xem và tải xuống các tập tin được lưu trữ trên thiết bị và tìm kiếm từ khóa trong tất cả các tài liệu. LuoYu thường nhắm mục tiêu vào các tổ chức ngoại giao nước ngoài, thành viên của cộng đồng học thuật, các công ty quốc phòng, hậu cần và viễn thông được thành lập tại Trung Quốc. những kẻ tấn công Windows sử dụng WinDealer để xâm nhập vào thiết bị của họ.
Thông thường, phần mềm độc hại chứa máy chủ Lệnh và Kiểm soát được mã hóa cứng, nơi kẻ điều hành phần mềm độc hại kiểm soát toàn bộ hệ thống. Sau khi phát hiện thông tin về máy chủ này, có thể vô hiệu hóa mối đe dọa bằng cách chặn địa chỉ IP của các máy mà phần mềm độc hại tương tác. Tuy nhiên, WinDealer dựa vào thuật toán IP phức tạp để xác định máy nào sẽ kết nối. Điều này bao gồm khoảng 48.000 địa chỉ IP, khiến nhà điều hành gần như không thể kiểm soát ngay cả một phần nhỏ địa chỉ. Cách duy nhất để giải thích hành vi mạng dường như không thể xảy ra này là giả định rằng kẻ tấn công có khả năng chặn đáng kể trong dải IP được đề cập và có thể đọc ngay cả các gói mạng không đến được bất kỳ đích nào.
Lý do khiến những kiểu tấn công này có sức tàn phá đặc biệt là vì chúng không yêu cầu bất kỳ tương tác nào với mục tiêu để có thể lây nhiễm thành công. Chỉ cần có máy kết nối internet là đủ. Ngoài ra, người dùng không thể làm gì để bảo vệ mình khỏi cuộc tấn công này ngoài việc định tuyến lưu lượng truy cập qua mạng khác. Mặc dù VPN có thể cung cấp biện pháp bảo vệ này, nhưng tùy thuộc vào khu vực, VPN có thể không phải là một lựa chọn và có thể không khả dụng cho phần lớn công dân Trung Quốc.
Phần lớn nạn nhân của LuoYu đều ở Trung Quốc. Đó là lý do tại sao các chuyên gia của Kaspersky tin rằng LuoYu tập trung chủ yếu vào các nạn nhân nói tiếng Trung Quốc và các tổ chức liên quan đến Trung Quốc. Tuy nhiên, các nhà nghiên cứu của Kaspersky cũng phát hiện ra các cuộc tấn công nhằm vào các quốc gia khác như Đức, Áo, Hoa Kỳ, Cộng hòa Séc, Nga và Ấn Độ.
Suguru Ishimaru, Nhà nghiên cứu bảo mật cấp cao tại Nhóm phân tích và nghiên cứu toàn cầu của Kaspersky (GReAT), cho biết: “LuoYu nổi bật như một mối đe dọa tập trung có độ phức tạp cao, có thể tận dụng loại chức năng mà chỉ những kẻ tấn công hàng đầu mới có thể sử dụng. Chúng ta chỉ có thể suy đoán làm thế nào họ có thể phát triển những khả năng như vậy. Yêu cầu duy nhất để tấn công một thiết bị là thiết bị đó phải được kết nối Internet và các cuộc tấn công từ phía người dùng có sức tàn phá cực kỳ lớn. Ngay cả khi cuộc tấn công thất bại lần đầu tiên, kẻ tấn công có thể lặp lại quá trình này cho đến khi thành công. Bằng cách này, chúng có thể thực hiện các cuộc tấn công gián điệp cực kỳ nguy hiểm và thành công nhằm vào nạn nhân của chúng, thường là các nhà ngoại giao, nhà khoa học và nhân viên trong các ngành công nghiệp quan trọng khác. Cho dù cuộc tấn công được thực hiện như thế nào, cách duy nhất mà các nạn nhân tiềm năng có thể tự bảo vệ mình là phải hết sức cảnh giác và áp dụng các quy trình bảo mật mạnh mẽ, chẳng hạn như quét vi-rút thường xuyên, phân tích lưu lượng truy cập mạng đi và ghi nhật ký rộng rãi để phát hiện các điểm bất thường.”
Báo cáo đầy đủ về WinDealer danh sách bảo mậtNó có thể được đọc ở định dạng .
Để bảo vệ bạn khỏi những mối đe dọa nâng cao như vậy, Kaspersky khuyến nghị:
- Cần thiết lập các quy trình bảo mật mạnh mẽ, bao gồm quét vi-rút thường xuyên, phân tích lưu lượng truy cập mạng đi và ghi nhật ký rộng rãi để phát hiện các điểm bất thường.
- Việc kiểm tra an ninh mạng của các mạng phải được thực hiện và mọi lỗ hổng được phát hiện trong hoặc xung quanh mạng phải được loại bỏ.
- Nên sử dụng các giải pháp chống APT và EDR. Nhóm SOC phải có quyền truy cập vào thông tin tình báo mới nhất về mối đe dọa và được nâng cấp thường xuyên thông qua đào tạo chuyên nghiệp. tất cả những điều trên Kaspersky Expert Security có sẵn trong khuôn khổ.
- Cùng với khả năng bảo vệ điểm cuối thích hợp, các dịch vụ chuyên dụng cũng có thể giúp bảo vệ khỏi các cuộc tấn công cấp cao. Phát hiện và phản hồi được quản lý của Kaspersky dịch vụ giúp xác định và ngăn chặn các cuộc tấn công ở giai đoạn đầu trước khi kẻ tấn công tiếp cận mục tiêu của chúng.
- Để cung cấp cho doanh nghiệp mức độ bảo mật cao, các mối đe dọa mới phải được nhận thức. Trung tâm tài nguyên thông tin về mối đe dọacung cấp quyền truy cập miễn phí vào thông tin toàn cầu, độc lập, được cập nhật liên tục về các mối đe dọa và tấn công mạng đang diễn ra.
