EvilGnome: Gián điệp cấy backdoor mới tấn công người dùng máy tính để bàn Linux

Các nhà nghiên cứu bảo mật gần đây đã phát hiện ra một phần mềm gián điệp Linux mới mang tên EvilGnome, thuộc nhóm ít ỏi các mã độc hiện...

Các nhà nghiên cứu bảo mật gần đây đã phát hiện ra một phần mềm gián điệp Linux mới mang tên EvilGnome, thuộc nhóm ít ỏi các mã độc hiện vẫn chưa bị nhận dạng bởi bất kỳ sản phẩm phần mềm bảo mật chống vi-rút nào. Bộ cấy backdoor này còn bao gồm một số tính năng cực kỳ hiếm thấy trong hầu hết các malware nhắm mục tiêu vào hệ thống Linux.

Có một thực tế được công nhận là so với các vi-rút Windows thì số lượng malware nhắm mục tiêu vào Linux ít hơn hẳn. Điều này xuất phát từ kết cấu cốt lõi của Linux, cũng như lượng thị phần ít hơn hẳn so với Windows.

Thậm chí, ngay cả khi các lỗ hổng nghiêm trọng bị tiết lộ trong các phần mềm và hệ điều hành Linux khác nhau, thì các hacker cũng chẳng thể nào khai thác tối đa lợi thế để thực hiện được các cuộc tấn công.  

Thay vào đó, các hacker sẽ tập trung phân tán các malware nhằm thực hiện các cuộc tấn công khai thác tiền điện tử trên máy tính Linux để kiếm lợi nhuận và tạo ra các botnet DDoS bằng cách chiếm quyền điều khiển các máy chủ tồn tại lỗ hổng.

Tuy nhiên, gần đây các nhà nghiên cứu tại công ty bảo mật Intezer Labs đã phát hiện ra một bộ cấy backdoor Linux mới, có vẻ như đang trong giai đoạn phát triển và thử nghiệm nhưng đã bao gồm một số mô-đun độc hại có thể theo dõi người dùng máy tính để bàn Linux.

EvilGnome: Phần mềm gián điệp Linux mới
Được đặt tên là EvilGnome, phần mềm độc hại này được thiết kế
để chụp ảnh màn hình máy tính để bàn, đánh cắp các tập tin, ghi lại âm thanh từ
micrô của người dùng cũng như tải xuống và thực hiện các mô-đun độc hại giai đoạn
hai (second-stage malicious modules).

Theo một báo cáo mới, Intezer Labs cho biết trước khi chính thức phát hành, mẫu EvilGnome được phát hiện trên VirusTotal vẫn chứa chức năng keylogger chưa hoàn thành. Điều này chứng tỏ phần mềm đã bị nhà phát triển tải nhầm lên hệ thống.

Phần mềm EvilGnome (1)
Phần mềm EvilGnome (2)
Phần mềm độc hại EvilGnome giả mạo được thiết kế giống như phần
mở rộng hợp pháp của GNOME - một chương trình cho phép người dùng Linux mở rộng
chức năng của thiết bị máy tính để bàn.

Theo các nhà nghiên cứu, bộ cấy được phân phối dưới dạng một
tập lệnh shell lưu trữ tự giải nén được tạo bằng 'makeelf' - một tập lệnh shell
nhỏ tạo ra một kho lưu trữ tar tự giải nén từ một thư mục.

Ngoài ra, EvilGnome cũng sẽ thêm một tập lệnh shell
gnome-shell-ext.sh vào crontab của máy tính Linux bị lây nhiễm, tập lệnh được
thiết kế để kiểm tra xem các tác nhân phần mềm gián điệp có đang chạy hay không
(kiểm tra theo từng phút).

Tập lệnh gnome-shell-ext.sh sẽ được thực thi trong giai đoạn
cuối của quy trình lây nhiễm, tạo điều kiện cho việc khởi chạy các tác nhân phần
mềm gián điệp gnome-shell-ext.

Các mô-đun phần mềm gián điệp của EvilGnome
Spy Agent của EvilGnome chứa năm mô-đun độc hại gọi là
"Shooters", như được giải thích dưới đây:

ShooterSound - mô-đun này sử dụng PulseAudio để thu âm thanh từ micrô của người dùng và tải dữ liệu lên máy chủ command-and-control của nhà điều hành.
ShooterImage - mô-đun này sử dụng thư viện nguồn mở Cairo để chụp ảnh màn hình và tải chúng lên máy chủ C&C. Thao tác này được thực hiện bằng cách mở một kết nối đến XOrg Display Server – một phần phụ trợ cho máy tính để bàn Gnome.
ShooterFile - mô-đun này sử dụng danh sách bộ lọc để quét hệ thống tệp cho các tệp mới được tạo và tải chúng lên máy chủ C&C.
ShooterPing - mô-đun nhận các lệnh mới từ máy chủ C&C chẳng hạn như tải xuống và thực thi các tệp mới, đặt các bộ lọc mới để quét tệp, tải xuống và đặt cấu hình runtime mới, lọc đầu ra (output) được lưu trữ cho máy chủ C&C và ngăn mọi mô-đun shooter khỏi việc khởi chạy.
ShooterKey - mô-đun này không được thực hiện và không được sử dụng, rất có thể là mô-đun keylogging chưa hoàn thành.
Đáng
chú ý, tất cả các mô-đun trên đều mã hóa dữ liệu đầu ra và giải mã các lệnh nhận
được từ máy chủ C&C bằng khóa RC5 "sdg62_AS.sa $ die3", sử dụng
phiên bản sửa đổi của thư viện nguồn mở của Nga.

Có khả năng có kết nối giữa EvilGnome và nhóm hacker Gamaerdon
Các nhà nghiên cứu cũng tìm thấy mối liên hệ giữa EvilGnome và nhóm Gamaredon, một nhóm hacker có nguồn gốc từ Nga bắt đầu hoạt động kể từ 2013 và thường nhắm mục tiêu vào các cá nhân làm việc với chính phủ Ukraine.

Dưới
đây đã tóm tắt một số điểm tương đồng giữa EvilGnome và nhóm Gamaredon:

EvilGnome sử dụng nhà cung cấp dịch vụ lưu trữ đã được nhóm Gamaredon sử dụng trong nhiều năm.
EvilGnome cũng được tìm thấy đang hoạt động trên một địa chỉ IP được kiểm soát bởi nhóm Gamaredon hai tháng trước.
Những kẻ tấn công EvilGnome cũng đang sử dụng TTLD '.space' cho các miền của họ, tương tự như nhóm Gamaredon.
EvilGnome sử dụng các kỹ thuật và mô-đun, giống như việc sử dụng SFX, tính toàn vẹn với trình lập lịch tác vụ (task scheduler) và triển khai các công cụ đánh cắp thông tin mà gợi nhớ về các công cụ Windows được sử dụng bởi nhóm Gamaredon.
Làm thế nào để phát hiện phần mềm độc hại EvilGnome?
Để kiểm tra xem hệ thống Linux của bạn có bị nhiễm phần mềm gián điệp EvilGnome hay không, bạn có thể tìm tệp thực thi "gnome-shell-ext" trong thư mục "~ / .cache / gnome-software / gnome-shell-extend".

Do các sản phẩm chống vi-rút và bảo mật hiện không phát hiện được phần mềm độc hại EvilGnome, các nhà nghiên cứu khuyến nghị các quản trị viên Linux có liên quan nên chặn các địa chỉ IP Command & Control được liệt kê trong phần IOC của bài đăng trên blog của Intezer.

THN

COMMENTS

Tên

.:: Connect Trojan ::.,111,.htaccess,2,0-day,3,2017,2,Add-on,16,Anotador,1,AutoIT,17,Ấn Độ,1,BackDoor,1,Bán Sách,13,banhangonline,1,Bảo Mật,108,Bất Động Sản Tại Tiền Giang,4,Bestsellers,13,Binder,1,blog,31,Blogger,4,Blogger Template,1,Botnet,3,Brute,1,Bug Bounty,1,Bypass,10,ceh,1,Châu Tinh Trì,2,Checked,6,Chiến tranh,2,Chrome,21,Code,5,coin hive,1,Coin-Hive,2,CoinHive,1,Connect Trojan,342,Connect Trojan ::.,1,Cổ Tích,2,Cổ Trang,11,Crack,3,Crypto,5,CSRF,5,CSS,2,Cuộc Sống,1,DDoS,6,Designer,1,Dich vụ,1,DNS,4,Download,2,du-an,2,DVD LUMION Tiếng Việt của anh Dũng Già Pro,1,Đam Mỹ,1,điện,1,Đồ Họa,215,Đô Thị,16,e11.me,1,ebook,13,ebook free,286,eBook Phệ Hồn Nghịch Thiên,1,eBook Thịnh Thế Địch Phi,1,Encrypt,1,Encryption,1,epub,77,epub [Tiên hiệp],1,ET-Logger,1,exploit,23,Exploitation,1,Extractor,2,facebook,69,FireFox,15,Flood,2,Forensic,7,full prc,2,game,177,Gerador,3,Gerenciador,1,Get Root,3,GHDB,3,Giả Tưởng,1,giaitri,1,Google,15,H&Y Shop,2,Hacker,3,Hacking,10,Hacking and Security,6,Hacking Tools,36,Hài hước,8,Hành Động,9,He Thong Site Phim,25,Hijacking,6,Hình Sự,5,hivecoin.hive coin,1,Hỏi Xoáy Đáp Xoay Trên VTV3,1,Hồng Kông,3,HTML,1,Huyền Ảo,92,Hướng dẫn Internet cơ bản,1,IFTTT,703,Imgur,2,Infographic,1,Information Disclosure,1,Internet Explorer,3,IT News,39,J2TeaM,29,J2TeaM Tools,9,JavaScript,6,Javascript Injection,3,Juno_okyo's Blog,23,Khóa Học,27,khoá học miễn phí,16,Khóa học Photoshop,19,Khóa học sử dụng mã độc và phòng chống mã độc,1,Khoa Huyễn,6,khuyến mãi,5,kiemhiep,9,Kiếm Hiệp,20,Kiếm Tiền MMO,32,kiếm tiền rút gọn link,1,KilerRat,1,Kinh Dị,25,Kinh Dị - Ma,6,Kinh Doanh,73,kinhdi,1,kinhdoanh,5,KRACK Attacks,1,Lãng mạn,1,lazada,1,Lập trình,2,Lịch Sử,5,Linux,1,Local Attack,2,Logins/Cadastro,1,Lỗi Web,1,Lồng Tiếng,6,Lược Sử Hacker,2,Mã Giảm Giá,2,Mã Hóa,48,Malware,3,Master-Code,31,Máy Tính,1,Metasploit,2,Microsoft,4,mobile hacking,2,monero,1,Movie,25,MySQL,1,NEW PRODUCTS,19,NGHỆ THUẬT ẨN MÌNH,13,ngontinh,10,Ngôn Tình,151,nhà đất,1,Nhà Đất Gò Công,1,Nhân Vật Lịch Sử,2,Nhật Bản,1,Nhựt Trường Group,1,NjRat,5,Nước,1,open redirect,1,Oracle,1,Path Disclosure,2,pdf,77,Pen-Test,6,Pentest Box,9,phanmem,22,phanmemdienthoai,3,phanmemmaytinh,10,phần mềm,11,Phim 18,2,Phim 2012,1,Phim 3D,1,Phim Âm Nhạc,2,Phim Bộ,58,Phim Chiến Tranh,5,Phim Dã Sử - Cổ Trang,6,Phim Đài Loan,6,Phim Đang Cập Nhập,5,Phim Đề Cử,4,Phim Hài Hước,26,Phim Hàn Quốc,33,Phim HD Chất Lượng Cao,5,Phim Hoàn Thành,7,Phim Hoạt Hình,2,Phim Hot,2,Phim Hồng Kông,20,Phim HQ,15,Phim Kinh Dị,8,Phim lẻ,7,Phim Mới 2007,1,Phim Mới 2010,1,Phim Mới 2011,4,Phim Mới 2012,2,Phim Mới 2013,2,Phim Mới 2014,6,Phim Mới 2015,4,Phim Nhật Bản,4,Phim SD,12,Phim Thái Lan,6,Phim Thần Thoại,4,Phim Tình Cảm,35,Phim Trung Quốc,37,Phim Truyền Hình,32,Phim Viễn Tưởng,1,Phim Võ Thuật,36,Phim Xã Hội Đen,1,Phishing,5,PHP,16,Plugin,1,Port,1,prc,79,Programming,15,Python,1,Quảng Cáo,1,rat,457,Recovery,3,Remote Code Execution,1,Remote Desktop,1,Reverse Engineering,6,rút gọn link,1,sach,47,Sách,33,Sách Nghệ Thuật Sống,12,Sách Tâm Linh,1,Sách Tiếng Anh,2,sachiep,2,Sản Phẩm,1,Sắc Hiệp,16,Scam,1,Scanner,10,Security,66,SEO,5,share,1,Shell,5,Social Engineering,4,Software,22,Source Unity,1,SQL injection,21,Sức Khỏe,1,Symlink,3,Tài Chính,1,Tài Liệu,1,Tản mạn,7,Taudio,2,Tâm lý xã hội,1,tấn công,1,Testador,1,Thái Lan,2,Tham Khảo,3,thamkhao,11,Thành Long,1,them,1,Thiết Kế Web,28,Thời Trang,2,Thủ Thuật Hacking,53,Thuyết Minh,5,tienhiep,5,Tiên Hiệp,123,Tiểu Thuyết,100,tiki,3,TIL,8,Tin Tức,52,Tình Cảm - Tâm Lý,16,Tips,39,tool,1,Tool Hack,14,Tools,9,Tổng Hợp,1,Tricks,26,Trinh thám,1,Trinh Thám - Hình Sự,8,trojan original,48,Trọng sinh,11,Trộm mộ,1,Trung Quốc,9,Truyện,1,Trương Định,110,Tu Chân,2,TUTORIALS,124,TVB,3,Twitter,1,Ung_Dung,4,Upload,1,usb,1,vanhoc,11,văn học,6,vBulletin,7,video,16,Vietsub,3,Việt Nam,14,Virus,4,Võ Thuật,12,Võng Du,5,Vulnerability,19,Web Developer,15,webmau,5,WHMCS,3,WiFi,2,wiki lỗi máy tinh,1,wiki lỗi NTG,3,Windows,12,WordPress,43,Write-up,11,XSS,16,Yahoo,1,yeah1offer,1,youtube,11,
ltr
item
wWw.NhutTruong.Com: EvilGnome: Gián điệp cấy backdoor mới tấn công người dùng máy tính để bàn Linux
EvilGnome: Gián điệp cấy backdoor mới tấn công người dùng máy tính để bàn Linux
https://1.bp.blogspot.com/-9R6IH0vb6QQ/XTzSBhAn9wI/AAAAAAAApoc/f8NPRT4vqXotJfC7ehMDC6SxKJNr0l2bQCLcBGAs/s320/unnamed%2B%25281%2529.jpg
https://1.bp.blogspot.com/-9R6IH0vb6QQ/XTzSBhAn9wI/AAAAAAAApoc/f8NPRT4vqXotJfC7ehMDC6SxKJNr0l2bQCLcBGAs/s72-c/unnamed%2B%25281%2529.jpg
wWw.NhutTruong.Com
https://www.nhuttruong.com/2019/07/evilgnome-gian-iep-cay-backdoor-moi-tan.html
https://www.nhuttruong.com/
https://www.nhuttruong.com/
https://www.nhuttruong.com/2019/07/evilgnome-gian-iep-cay-backdoor-moi-tan.html
true
7607280272436897486
UTF-8
Loaded All Posts Not found any posts VIEW ALL Readmore Reply Cancel reply Delete By Home PAGES POSTS View All RECOMMENDED FOR YOU LABEL ARCHIVE SEARCH ALL POSTS Not found any post match with your request Back Home Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow Đây là nội dung quý hiếm để tránh google quét chết link Vui lòng đăng nhập Facebook hoặt Tweet để like và share để hiện link Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy