Bộ công cụ khai thác Capesand tích cực xuất hiện trong các cuộc tấn công

Một bộ công cụ khai thác mới được phát hiện (EK) đang được sử dụng trong các cuộc tấn công trực tiếp mặc dù thực tế là nó vẫn ở trạng thái chưa hoàn thành, các nhà nghiên cứu bảo mật của Trend Micro tiết lộ.

Được đặt tên là Capesand, bộ công cụ được phát hiện vào tháng 10 năm 2019, khi một chiến dịch quảng cáo độc hại sử dụng RIG EK để thả DarkRAT và njRAT chuyển sang sử dụng nó để giao hàng thay thế.

Mối đe dọa mới cố gắng khai thác các lỗ hổng gần đây trong Adobe Flash và Microsoft Internet Explorer (IE), nhưng cũng nhắm vào lỗ hổng 2015 trong trình duyệt.

Các tác giả của Capesand, các nhà nghiên cứu bảo mật cho biết, dường như đang sử dụng lại mã nguồn từ mã bộ công cụ khai thác được chia sẻ công khai. Trên thực tế, hầu hết tất cả các chức năng của bộ công cụ – bao gồm khai thác, che giấu và kỹ thuật đóng gói – sử dụng lại mã nguồn mở.

Các quảng cáo độc hại đã được gửi từ mạng quảng cáo trực tiếp đến trình duyệt của nạn nhân, đóng vai trò là một blog thảo luận về blockchain. Trang này đã được sao chép bằng công cụ sao chép trang web HTTrack và chứa iframe ẩn để tải bộ công cụ khai thác.

Phân tích của bảng điều khiển Capesand đã tiết lộ rằng nó cho phép các tác nhân đe dọa kiểm tra trạng thái sử dụng bộ công cụ khai thác và tải xuống mã nguồn frontend để triển khai trên máy chủ của họ. Sự giống nhau về mã cho thấy mối đe dọa mới bắt nguồn từ Demon Hunter EK cũ.

Một số lỗ hổng được nhắm mục tiêu bao gồm CVE-2018-4878 (Adobe Flash), cùng với CVE-2018-8174 và CVE-2019-0752 (Internet Explorer).

Khai thác không được bao gồm trong gói mã nguồn EK frontend. Thay vào đó, mỗi lần Capesand muốn phân phối khai thác, nó sẽ gửi yêu cầu tới API máy chủ để nhận.

Yêu cầu API bao gồm tên khai thác được yêu cầu, URL khai thác và địa chỉ IP của nạn nhân, tác nhân người dùng trình duyệt và tham chiếu HTTP. Thông tin được mã hóa AES bằng khóa API được tạo trước bên trong tệp cấu hình.

Máy chủ xác minh nếu khóa API hợp lệ được sử dụng để mã hóa, thu thập thông tin nạn nhân và cũng lấy dữ liệu về việc sử dụng bộ công cụ khai thác.

Các nhà nghiên cứu bảo mật cũng phát hiện ra một phiên bản Capesand sử dụng khai thác lỗ hổng IE được theo dõi là CVE-2015-2419 và được xác định trên các khai thác máy chủ của nhà phát triển cho CVE-2018-4878 và CVE-2018-15982 (Adobe Flash) và một khai thác cho CVE-2018-8174 (IE), nhưng không khai thác cho CVE-2019-0752, được chỉ định trong mã nguồn.

Điều này khiến chúng tôi tin rằng bộ công cụ này vẫn đang được phát triển và vẫn chưa tích hợp đầy đủ các khai thác mà tội phạm mạng đã lên kế hoạch sử dụng, ghi chú của Trend Trend Micro.

Các nhà phát triển của EK, các nhà nghiên cứu bảo mật chỉ ra, đảm bảo rằng các mẫu được triển khai có tỷ lệ phát hiện rất thấp. Mã này cũng kiểm tra các sản phẩm chống phần mềm độc hại được cài đặt trên các hệ thống nạn nhân.

Những kẻ bất lương cũng tập trung vào việc phân phối các trang đích độc hại thông qua các phiên bản được nhân đôi của các trang web hợp pháp và sử dụng các tên miền tương tự như bản gốc để tránh gây nghi ngờ.

Ngoài ra, khai thác của nó được phân phối dưới dạng dịch vụ có thể truy cập thông qua API từ xa – một phương pháp hiệu quả để giữ cho các khai thác ở chế độ riêng tư và có thể sử dụng lại qua các cơ chế triển khai khác nhau, theo Trend Trend Micro.

Share This Post

Post Comment