kết quả từ 1 tới 12 trên 12

Hacker tiếp tục tấn công Piriform CCleaner lần thứ 2 và đặc biệt nguy hiểm hơn

  1. #1
    Ðến Từ
    TP. Hồ Chí Minh
    Thành Viên Thứ: 302146
    Giới tính: Nam
    Bài gửi
    1.706

    Hacker tiếp tục tấn công Piriform CCleaner lần thứ 2 và đặc biệt nguy hiểm hơn




    Một báo cáo mới của Cisco's Talos Group cho thấy nhóm Hacker đã tấn công CCleaner trong thời gian qua là phức tạp và tinh vi hơn so với nhận định ban đầu. Các nhà nghiên cứu tìm thấy bằng chứng của một Payload giai đoạn 2 trong phân tích của họ về phần mềm độc hại nhắm vào nhóm mục tiêu dựa trên các lĩnh vực domain rất cụ thể.

    Vào ngày 18 tháng 9 năm 2017 Piriform báo cáo rằng cơ sở hạ tầng của công ty đã bị xâm nhập vài tuần qua kiểm soát máy chủ và chèn một backdoor vào gói cài đặt thực thi chương trình gốc của phiên bản CCleaner v5.33.6162 phân phối đến người dùng một phiên bản độc hại của CCleaner - phần mềm dọn dẹp tập tin và tối ưu hệ thống - trong khoảng một tháng. Kết quả ước tính khoảng 2,27 triệu thiết bị nhiễm mã độc - Các bạn có thể xem tại đây


    Tuy nhiên, trong việc phân tích các Hacker command-and-control (điều khiển và kiểm soát) máy chủ để các phiên bản CCleaner bị kết nối chèn mã độc, các nhà nghiên cứu bảo mật Cisco's Talos Group tìm thấy bằng chứng của payload giai đoạn 2 (GeeSetup_x86.dll, một mô-đun backdoor rất nhẹ) đã gửi thông tin về một máy chủ ẩn danh một danh sách cụ thể các máy tính dựa trên tên miền địa phương.

    Các công ty truyền thông & công nghệ cao bị ảnh hưởng

    Theo một danh sách được xác định trước được lập trình trong cấu hình của máy chủ C2 (command-and-control), cuộc tấn công được thiết kế để tìm các máy tính bên trong mạng của các công ty công nghệ lớn và mang tải trọng thứ phát (secondary payload). Các công ty mục tiêu bao gồm:
    • Google
    • Microsoft
    • Cisco
    • Intel
    • Samsung
    • Sony
    • HTC
    • Linksys
    • D-Link
    • Akamai
    • VMware
    Trong cơ sở dữ liệu, các nhà nghiên cứu tìm thấy một danh sách của gần 700.000 máy bị nhiễm backdoor với phiên bản độc hại của CCleaner, ví dụ payload của giai đoạn tiên phát và một danh sách ít nhất 20 máy đó bị nhiễm payload thứ phát để xâm nhập được một chỗ đứng sâu hơn trong những hệ thống này.
    Các Hacker đặc biệt lựa chọn khoảng 20 máy chủ dựa trên Domain name, IP address và Hostname của họ. Các nhà nghiên cứu tin rằng các phần mềm độc hại thứ cấp có khả năng dành cho các hoạt động gián điệp công nghiệp.

    Mã độc của CCleaner liên kết với Chinese Hacking Group

    Theo các nhà nghiên cứu từ Kaspersky, mã độc từ CCleaner đã "shares" một số mã (code) với các công cụ hack được sử dụng bởi một nhóm hacker Axiom của Trung Quốc, còn được gọi là APT17, Group 72, DeputyDog, Tailgater Team, Hidden Lynx hoặc AuroraPanda.

    "The malware injected into #CCleaner has shared code with several tools used by one of the APT groups from the #Axiom APT 'umbrella'," - Trích đăng từ Twitter của Giám đốc Global Research and Analysis Team tại Kaspersky Lab.

    Các nhà nghiên cứu của Cisco cũng lưu ý rằng một tập tin cấu hình trên máy chủ của kẻ tấn công đã được thiết lập cho múi giờ của Trung Quốc, điều này cho thấy Trung Quốc có thể là nguồn gốc của cuộc tấn công CCleaner. Tuy nhiên, chỉ với bằng chứng này thì không đủ cơ sở pháp lý.
    Nhà nghiên cứu Talos của Cisco cũng cho biết rằng họ đã thông báo sự vi phạm này cho các công ty công nghệ cao có thể bị ảnh hưởng.

    Loại bỏ phiên bản CCleaner vẫn chưa đủ

    Nếu chỉ gỡ bỏ phần mềm ứng dụng của Công ty mẹ Avast này từ máy tính bị nhiễm sẽ không đủ để thoát khỏi CCleaner payload thứ phát giai đoạn phần mềm độc hại xâm nhập từ mạng của những kẻ tấn công vẫn còn hoạt động máy chủ C2 (Command-and-control).

    Vì vậy, các công ty bị ảnh hưởng mà máy tính của họ đã bị nhiễm với các phiên bản độc hại của CCleaner được khuyến khích mạnh mẽ để khôi phục hoàn toàn hệ thống của họ từ phiên bản sao lưu trước khi cài đặt của chương trình bảo mật nhiễm độc.

    "Những phát hiện này cũng hỗ trợ và củng cố kiến ​​nghị trước đó của chúng tôi rằng những người bị ảnh hưởng bởi cuộc tấn công chuỗi cung ứng này không nên chỉ loại bỏ các phiên bản bị nhiễm của CCleaner hoặc đã cập nhật lên phiên bản mới nhất và nên khôi phục lại từ bản sao lưu hoặc reimage system để đảm bảo rằng bạn hoàn toàn loại bỏ không chỉ có phiên bản backdoored của CCleaner mà còn bất kỳ phần mềm độc hại khác có thể "nằm vùng" lưu trú trên hệ thống"- các nhà nghiên cứu bảo mật nói.

    Chân dung của Backdoor payload thứ phát (giai đoạn 2)

    Cisco's Talos Group chỉ rõ các phương pháp để xác định nếu một phiên bản bị nhiễm được cài đặt trên hệ thống. Có lẽ là chỉ số tốt nhất, ngoài việc kiểm tra phiên bản CCleaner, nhằm để kiểm tra sự tồn tại của các khóa Registry ở HKLM \\ SOFTWARE \\ Piriform \\ Agomo.


    Talos Group tìm thấy bằng chứng cho thấy vụ tấn công là phức tạp và tinh vi hơn nhiều, vì nó nhắm mục tiêu một chuỗi danh sách cụ thể các lĩnh vực thuộc công nghệ cao với một payload thứ cấp.
    • singtel.corp.root
    • htcgroup.corp
    • Samsung-breda
    • samsung
    • samsung.sepm
    • samsung.sk
    • jp.sony.com
    • am.sony.com
    • gg.gauselmann.com
    • vmware.com
    • ger.corp.intel.com
    • amr.corp.intel.com
    • ntdev.corp.microsoft.com
    • cisco.com
    • uk.pri.o2.com
    • vf-es.internal.vodafone.com
    • linksys
    • apo.epson.net
    • msi.com.tw
    • infoview2u.dvrdns.org
    • dfw01.corp.akamai.com
    • hq.gmail.com
    • dlink.com
    • test.com
    Cách kiểm tra hệ thống thủ công

    Trình cài đặt giai đoạn 2 là GeeSetup_x86.dll. Nó kiểm tra các phiên bản của hệ điều hành và "cấy" một phiên bản 32-bit hoặc 64-bit của trojan trên hệ thống dựa trên biểu mẩu. Trojan 32-bit là TSMSISrv.dll, Trojan 64-bit là EFACli64.dll.

    Xác định giai đoạn 2:

    Thông tin sau đây sẽ giúp xác định nếu một payload giai đoạn 2 đã được gieo cấy trên hệ thống.

    Registry Keys:
    • HKLM \\ Software \\ Microsoft \\ Windows NT \\ CurrentVersion \\ WbemPerf \\ 001
    • HKLM \\ Software \\ Microsoft \\ Windows NT \\ CurrentVersion \\ WbemPerf \\ 002
    • HKLM \\ Software \\ Microsoft \\ Windows NT \\ CurrentVersion \\ WbemPerf \\ 003
    • HKLM \\ Software \\ Microsoft \\ Windows NT \\ CurrentVersion \\ WbemPerf \\ 004
    • HKLM \\ Software \\ Microsoft \\ Windows NT \\ CurrentVersion \\ WbemPerf \\ HBP
    Các tập tin:
    • GeeSetup_x86.dll : (Hash: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e3190 74db1aaccfdc83)
    • EFACli64.dll : (Hash: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da4 60055733bb6f4f)
    • TSMSISrv.dll : (Hash: 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5e acf3f55cf34902)
    • DLL trong Registry : f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8c a811f763e1292a
    • Payload giai đoạn 2 : dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e3190 74db1aaccfdc83
    Video tham khảo


    # Nếu bạn có CCleaner được cài đặt trên hệ thống thì bạn biết mình nên sử lý thế nào rồi !

    Tham khảo Cisco's Talos Group và Ghacks Technology

    Don't hate what you don't understand !



    Quick reply to this message Trả lời       

  2. 2 thành viên đã cảm ơn KiM__:



  3. #2
    Ðến Từ
    TP. Hồ Chí Minh
    Thành Viên Thứ: 302146
    Giới tính: Nam
    Bài gửi
    1.706

    Reply: Hacker tiếp tục tấn công Piriform CCleaner lần thứ 2 và đặc biệt nguy hiểm hơn


  4. #3
    Ðến Từ
    Hà Nội
    Thành Viên Thứ: 247344
    Giới tính: Nữ
    Bài gửi
    9.994

    Reply: Hacker tiếp tục tấn công Piriform CCleaner lần thứ 2 và đặc biệt nguy hiểm hơn

    Tốt nhất là ko dùng nữa khỏi phải lo lắng lỗ hổng chưa fix được thì còn bị hack nữa, chưa kể nó để lại backdoor
    Thực sự thì mình chưa thấy ai lại hiền lành, dễ thương và tốt bụng như bạn Khách vậy

  5. Đã cảm ơn VSupport:

    KiM__ 

  6. #4
    Ðến Từ
    Hà Nội
    Thành Viên Thứ: 392819
    Bài gửi
    597

    Reply: Hacker tiếp tục tấn công Piriform CCleaner lần thứ 2 và đặc biệt nguy hiểm hơn

    Giờ biết tải bản nào mà xài đây?!!?
    Hãy Thanks đi nếu bài viết có ích nhé các Member !
    SHARE ACC VIP FSHARE 2 BY VFORUM!



  7. #5
    Ðến Từ
    TP. Hồ Chí Minh
    Thành Viên Thứ: 302146
    Giới tính: Nam
    Bài gửi
    1.706

    Reply: Hacker tiếp tục tấn công Piriform CCleaner lần thứ 2 và đặc biệt nguy hiểm hơn

    Trích Nguyên văn bởi Tiy Xem bài viết
    Giờ biết tải bản nào mà xài đây?!!?
    Portable:
    Mã:
    http://www.piriform.com/ccleaner/download/portable

  8. Đã cảm ơn KiM__:

    Tiy 

  9. #6
    Ðến Từ
    Hà Nội
    Thành Viên Thứ: 396534
    Bài gửi
    17

    Reply: Hacker tiếp tục tấn công Piriform CCleaner lần thứ 2 và đặc biệt nguy hiểm hơn

    Cứ vài ngày là lại có bản mới? Biết tải bản nào bây giờ?

  10. #7
    Ðến Từ
    Hà Nội
    Thành Viên Thứ: 392819
    Bài gửi
    597

    Reply: Hacker tiếp tục tấn công Piriform CCleaner lần thứ 2 và đặc biệt nguy hiểm hơn

    v5.35.6210 có bị gì ko bác?

  11. #8
    Ðến Từ
    Hà Nội
    Thành Viên Thứ: 348241
    Giới tính: Nam
    Bài gửi
    1.964

    Reply: Hacker tiếp tục tấn công Piriform CCleaner lần thứ 2 và đặc biệt nguy hiểm hơn

    Baidu vẫn bảo nó sạch
    Khách nhấn THANKS khi thấy một bài viết hữu ích nha

    [Fshare] Tổng hợp link download Windows + Office bản chuẩn cập nhật


  12. #9
    Ðến Từ
    Hà Nội
    Thành Viên Thứ: 390308
    Giới tính: Nam
    Bài gửi
    8

    Reply: Hacker tiếp tục tấn công Piriform CCleaner lần thứ 2 và đặc biệt nguy hiểm hơn

    Tải bản nào bây giờ?

  13. #10
    Ðến Từ
    TP. Hồ Chí Minh
    Thành Viên Thứ: 174671
    Giới tính: Nam
    Bài gửi
    1.018

    Reply: Hacker tiếp tục tấn công Piriform CCleaner lần thứ 2 và đặc biệt nguy hiểm hơn

    tải bả củ xem sao

  14. #11
    Ðến Từ
    Hà Nội
    Thành Viên Thứ: 397456
    Bài gửi
    22

    Reply: Hacker tiếp tục tấn công Piriform CCleaner lần thứ 2 và đặc biệt nguy hiểm hơn

    Em đọc méo hiểu gì luôn

  15. #12
    Ðến Từ
    Hà Nội
    Thành Viên Thứ: 399626
    Bài gửi
    15

    Reply: Hacker tiếp tục tấn công Piriform CCleaner lần thứ 2 và đặc biệt nguy hiểm hơn

    Hacker cứ tấn công mấy cái này để làm gì vậy mấy bác? hack như vậy có kiếm đc tiền ko?

Nhãn