Các nhà nghiên cứu tại Kaspersky Lab vừa tìm thấy một backdoor (cửa sau) ẩn trên phần mềm quản lý máy chủ của NetSang. Có tên Shadowpad, nó nằm ẩn trên thư viện nssock2.dll trong phần mềm Xmanager và Xshell của NetSarang. Cứ 8 giờ nó sẽ ping một lần tới máy chủ C&C cùng với danh tính của chiếc máy tính đã bị tấn công, thông tin chi tiết mạng và tên người dùng.
Backdoor này được kích hoạt như sau: .DLL tạo tên domain dựa trên tháng và năm, thực hiện tìm kiếm DNS trên đó. Một bản ghi DNS TXT được tạo riêng cho domain sẽ mở ra kênh tới máy chủ kiểm soát, key giải mã sẽ được tải về bằng phần mềm và giai đoạn tiếp theo sẽ là giải mã. Phần này sẽ mở rộng cửa sau cho kẻ tấn công chạy đoạn mã và dữ liệu sẽ bị rò rỉ.
Nếu bạn có thể thiết lập tên domain cho tháng và năm nhất định và bắt chước máy chủ kiểm soát, bạn cũng có thể điều khiển các tổ chức đã bị nhiễm bằng công cụ của NetSarang.
Các gói phần mềm bị nhiễm gồm có:
- Xmanager Enterprise 5.0 Build 1232
- Xmanager 5.0 Build 1045
- Xshell 5.0 Build 1322
- Xftp 5.0 Build 1218
- Xlpd 5.0 Build 1220
Được cho là ai đó đã hack hệ thống của NetSarang và âm thầm chèn cửa sau vào nên đoạn code backdoor âm thầm được cấy vào để thử nghiệm thông qua các cập nhật phần mềm với mật mã hợp pháp.
Cửa sau âm thầm được chèn vào phần mềm của NetSarang
“ShadowPad là ví dụ cho thấy tấn công bằng chuỗi cung ứng thành công có thể nguy hiểm và có quy mô rộng thế nào”, Igor Soumenkow đến từ nhóm nghiên cứu và phân tích toàn cầu cho hay hôm thứ Ba. “Với cơ hội tiếp cận lượng dữ liệu của kẻ tấn công, nhiều khả năng nó sẽ được sản xuất lại nhiều lần với các component phần mềm được dùng rộng rãi hơn”.
Kaspersky đã phát hiện ra malware khi điều tra yêu cầu DNS đáng nghi từ mạng của một khách hàng tài chính ở Hồng Kông - về cơ bản chính là những đợt ping 8 tiếng một lần. Nhóm đã phát hiện ra rằng khi được kích hoạt, Shadowpad sẽ tải nhiều đoạn mã từ máy chủ C&C và giấu nó trên một hệ thống tập tin ảo bên trong registry.
NetSarang đã đưa ra cập nhật để ngăn chặn và tiến hành kiểm tra xem đoạn mã đã chui vào phần mềm bằng cách nào. Nó xuất hiện lần đầu vào hôm 13/7 và được đưa tới khách hàng 5 ngày sau đó vào hôm 18/7. Nếu đang dùng phiên bản nguy hiểm thì bạn nên vá ngay. Các công cụ chống virus cũng cần được cập nhật để tìm ra file .DLL bị hack.
Kaspersky nói rằng malware có nét giống với code tấn công của Winnti và PlugX được nhóm hacker Trung Quốc sử dụng.
“Rất tiếc là bản Build phát hành cho bộ suite sản phẩm của chúng tôi hôm 18/7 lại có backdoor giúp kẻ tấn công khai thác mà chúng tôi không hề hay biết”, NetSarang nói. “Bảo mật cho khách hàng và cơ sở người dùng là ưu tiên cao nhất của chúng tôi và sau cùng đó cũng là trách nhiệm của chúng tôi. Việc các nhóm lợi dụng phần mềm hợp pháp để kiếm lợi bất chính đang ngày càng đáng quan ngại mà NetSarang cũng như nhiều công ty khác trong ngành công nghiệp phần mềm máy tính đều nghiêm túc nhìn nhận”.