Một trang web quản lý tải xuống đã phục vụ người dùng Linux phần mềm độc hại lén lút đánh cắp mật khẩu và thông tin nhạy cảm khác trong hơn ba năm như một phần của cuộc tấn công chuỗi cung ứng.
Phương thức hoạt động đòi hỏi phải thiết lập một vỏ ngược cho một máy chủ do diễn viên điều khiển và cài đặt một kẻ đánh cắp Bash trên hệ thống bị xâm nhập. Chiến dịch diễn ra từ năm 2020 đến năm 2022, không còn hoạt động.
"Kẻ đánh cắp này thu thập dữ liệu như thông tin hệ thống, lịch sử duyệt web, mật khẩu đã lưu, tệp ví tiền điện tử, cũng như thông tin đăng nhập cho các dịch vụ đám mây (AWS, Google Cloud, Oracle Cloud Infrastructure, Azure)", các nhà nghiên cứu Georgy Kucherin và Leonid Bezvershenko của Kaspersky cho biết.
Trang web được đề cập là freedownloadmanager [.] org, theo công ty an ninh mạng Nga, cung cấp một phần mềm Linux hợp pháp có tên là "Trình quản lý tải xuống miễn phí", nhưng bắt đầu từ tháng 2020 năm <>, bắt đầu chuyển hướng một số người dùng đã cố gắng tải nó xuống một tên miền khác deb.fdmpkg. tổ chức đã phục vụ một gói Debian bị mắc kẹt.
Người ta nghi ngờ rằng các tác giả phần mềm độc hại đã thiết kế cuộc tấn công dựa trên một số tiêu chí lọc được xác định trước (giả sử, dấu vân tay kỹ thuật số của hệ thống) để dẫn dắt nạn nhân tiềm năng đến phiên bản độc hại một cách có chọn lọc. Các chuyển hướng giả mạo đã kết thúc vào năm 2022 vì những lý do không thể giải thích được.
Gói Debian chứa một tập lệnh sau cài đặt được thực thi khi cài đặt để thả hai tệp ELF, /var/tmp/bs và một backdoor dựa trên DNS (/var/tmp/crond) khởi chạy trình bao ngược đến máy chủ lệnh và kiểm soát (C2), được nhận để đáp ứng yêu cầu DNS đến một trong bốn miền -
- 2c9bf1811ff428ef9ec999cc7544b43950947b0f.u.fdmpkg[.] Org
- c6d76b1748b67fbc21ab493281dd1c7a558e3047.u.fdmpkg[.] Org
- 0727bedf5c1f85f58337798a63812aa986448473.u.fdmpkg[.] Org
- c3a05f0dac05669765800471abc1fdaba15e3360.u.fdmpkg[.] Org
"Giao thức truyền thông, tùy thuộc vào loại kết nối, SSL hoặc TCP", các nhà nghiên cứu cho biết. "Trong trường hợp SSL, backdoor crond khởi chạy tệp thực thi /var/tmp/bs và ủy quyền tất cả các thông tin liên lạc tiếp theo cho nó. Nếu không, vỏ ngược được tạo ra bởi chính backdoor crond."
Mục tiêu cuối cùng của cuộc tấn công là triển khai phần mềm độc hại đánh cắp và thu thập dữ liệu nhạy cảm từ hệ thống. Thông tin thu thập sau đó được tải lên máy chủ của kẻ tấn công bằng cách sử dụng tệp nhị phân tải lên được tải xuống từ máy chủ C2.
crond, Kaspersky cho biết, là một biến thể của backdoor có tên Bew đã được lưu hành từ năm 2013, trong khi phiên bản đầu tiên của phần mềm độc hại đánh cắp Bash đã được Yoroi ghi lại trước đó vào tháng 6 năm 2019.
Hiện chưa rõ thỏa hiệp thực sự diễn ra như thế nào và mục tiêu cuối cùng của chiến dịch là gì. Điều hiển nhiên là không phải tất cả những người tải xuống phần mềm đều nhận được gói giả mạo, cho phép nó tránh bị phát hiện trong nhiều năm.
"Trong khi chiến dịch hiện không hoạt động, trường hợp này của Free Download Manager chứng minh rằng có thể khá khó khăn để phát hiện các cuộc tấn công mạng đang diễn ra trên các máy Linux bằng mắt thường", các nhà nghiên cứu cho biết.
"Vì vậy, điều cần thiết là các máy Linux, cả máy tính để bàn và máy chủ, đều được trang bị các giải pháp bảo mật đáng tin cậy và hiệu quả."