Mã độc SPECTRALVIPER đe dọa 1,5 triệu máy tính Việt Nam

07/07/2023

Mã độc SPECTRALVIPER đe dọa 1,5 triệu máy tính Việt Nam

SPECTRALVIPER, một mã độc tấn công, đã lây nhiễm thông qua lỗ hổng bảo mật SMB, ảnh hưởng tới khoảng 10% máy tính tại Việt Nam.

Nội dung bài viết

Thông tin về mã độc SPECTRALVIPER

Theo Elastic Security Labs, chiến dịch tấn công SPECTRALVIPER đang nhắm vào hàng triệu máy tính hoạt động tại Việt Nam.

Các dữ liệu cho thấy rằng mã độc này (REF2754) có liên quan đến nhóm tin tặc Việt Nam được gọi là APT32, hay còn biết đến với các tên gọi khác như Canvas Cyclone, Cobalt Kitty và OceanLotus.

SPECTRALVIPER là một cửa hậu (backdoor) chưa từng được tiết lộ trên kiến trúc x64 và sử dụng kỹ thuật xáo trộn mã (obfuscation) để giấu dấu và đưa dữ liệu độc hại vào hệ thống.

Trong quá trình phát hiện lây nhiễm, Elastic đã phát hiện rằng công cụ ProcDump đã bị tận dụng để đưa file DLL chứa DONUTLOADER vào hệ thống, từ đó chèn SPECTRALVIPER và các mã độc khác như P8LOADER, POWERSEAL.

SPECTRALVIPER duy trì kết nối với máy chủ được điều khiển bởi tin tặc. Khi nhận được lệnh kích hoạt, mã độc này có khả năng tiếp cận và chèn dữ liệu độc hại, truy cập vào tài nguyên nhạy cảm, và chỉnh sửa các tệp tin và thư mục trên hệ thống.

P8LOADER được viết bằng ngôn ngữ C++ và có khả năng kích hoạt gói dữ liệu độc hại từ file hoặc bộ nhớ. Trong khi đó, POWERSEAL có thể chạy lệnh trong PowerShell mà không cần sự cho phép của người dùng.

Khuyến nghị từ chuyên gia

SPECTRALVIPER lây nhiễm vào máy tính thông qua lỗ hổng SMB. Theo thống kê từ Bkav, có khoảng 1/10 máy tính tại Việt Nam tồn tại lỗ hổng SMB, gây tăng nguy cơ bị nhiễm SPECTRALVIPER.

Sơ đồ thực thi mã độc SPECTRALVIPER của tin tặc. Nguồn: Elastic Security Labs.

Lỗ hổng SMB, đã từng bị virus WannaCry khai thác và lây nhiễm hơn 300.000 máy tính trên toàn cầu chỉ trong vài giờ. Năm 2018, tại Việt Nam, đã có 735.000 máy tính bị tấn công bởi mã độc đào tiền mã hóa W32.CoinMiner thông qua khai thác SMB.

Mặc dù đã có nhiều cảnh báo, vẫn còn khoảng 10% máy tính tại Việt Nam mắc phải lỗ hổng này.

— Nguyễn Tiến Đạt, Tổng giám đốc Trung tâm nghiên cứu mã độc của Bkav.

Người dùng được khuyến nghị nhanh chóng cập nhật các bản vá bảo mật cho máy tính, sao lưu dữ liệu quan trọng để tránh thiệt hại.

Trong khi đó, tổ chức và doanh nghiệp cần triển khai các giải pháp an ninh mạng như tường lửa, trung tâm giám sát (SOC) để phát hiện bất thường và xử lý kịp thời.

Hơn nữa, cần liên hệ với các đơn vị chuyên về an ninh mạng để được hỗ trợ trong việc rà soát toàn bộ hệ thống, bao gồm máy chủ, máy trạm và nền tảng đám mây, nhằm loại bỏ triệt để mã độc.

Theo ZingNews.

Đình Long

Xin chào, tôi là Đình Long, founder của Net Center. Tôi yêu công nghệ, thích lập trình web và đam mê về SEO. Ngoài ra, tôi có blog nhỏ về Digital Marketing là dinhlongplus.com, bạn có thể ghé xem.