Theo thông tin từ Trend Micro, người dùng vừa trải qua cuộc tấn công sử dụng một Trojan truy cập từ xa (RAT) được gọi là Lost Door – công cụ hiện đang được cung cấp trên các trang web truyền thông xã hội có khả năng trộm cắp thông tin.
RAT là cách lạm dụng tính năng Port Forward trong các router. Sử dụng tính năng này sẽ cho phép các hệ thống từ xa kết nối với một máy tính hoặc dịch vụ cụ thể trong một mạng nội bộ khu vực tư nhân (LAN). Tuy nhiên, khi được sử dụng với mục đích độc hại, tính năng này cho phép kẻ tấn công từ xa che giấu hoạt động trong mạng và tránh bị phát hiện. Bởi RAT rất dễ dàng tùy chỉnh, do đó, khá khó khăn trong việc phát hiện và chống lại Lost Door.
Không giống như hầu hết các công cụ tấn công mà người ta chỉ có thể tìm thấy tại các thị trường tội phạm ảo ngầm, Lost Door rất dễ dàng để có được. Nó được quảng cáo trên các trang web truyền thông xã hội như YouTube và Facebook. Có cả một blog chuyên dụng hxxp://lost-door[.]blogspot[.]com/ - nơi video hướng dẫn về cách sử dụng RAT được đăng tải do OussamiO lập ra. Bất kỳ tội phạm ảo hoặc mối đe dọa nào đều có thể mua và sử dụng RAT để khởi động các cuộc tấn công.
Bên cạnh việc bán mã nguồn của công cụ, OussamiO cũng cung cấp cho khách hàng những lựa chọn để tải về mẫu miễn phí. Đây là cách để lôi kéo người dùng mua phiên bản đầy đủ của RAT cho các nhu cầu tấn công.
Chúng ta có thể nói rằng người tạo ra Lost Door RAT rất hiên ngang quảng cáo trên web. Trend Micro nghiên cứu và phát hiện rằng Lost Door được cung cấp tại nhiều thị trường ngầm khác nhau như Nga, Trung Quốc và Brazil từ năm 2009.
Dễ dàng tùy biến
Xuất hiện từ 2007, tác giả của Lost Door đã phát hành nhiều phiên bản khác nhau, mới nhất là Lost®Door E-Lite v9, giống như PlugX và Poison Ivy, Lost Door dễ dàng tùy chỉnh. Người ta có thể chọn từ máy chủ và các tùy chọn khác để tuyên truyền, chống phân tích, tàng hình,... Tội phạm mạng cũng có thể bao gồm khả năng backdoor và thậm chí keylogging để tùy chỉnh. Cả các trang Facebook và Blogspot nơi RAT được cung cấp cũng có các bước hướng dẫn để kẻ tấn công tùy chọn phiên bản.
Lost Door thúc đẩy tính năng Port Forward, một chiến thuật được sử dụng bởi DarkComet. Bằng cách lợi dụng tính năng này, một kẻ tấn công từ xa có thể truy cập vào máy chủ của mạng riêng dù ở nhà hay ở văn phòng và che giấu địa chỉ C & C từ phía máy chủ không kết nối trực tiếp. Thay vào đó, hacker chỉ cần địa chỉ IP của router và truy cập vào các cổng mở. Sử dụng tính năng Port Forward cũng trốn tránh giám sát mạng vì nó chỉ kết nối đến một địa chỉ IP / router nội bộ. Phân tích của Trend Micro cũng cho thấy rằng RAT kết nối đến một địa chỉ IP nội bộ, 192 [.] 168 [.] 1 [.] 101 qua cổng 9481. Cả hai địa chỉ IP và cổng đều có thể được tùy chỉnh.
Các tính năng khác của Lost Door mới nhất bao gồm in ấn các tập tin thông qua máy in từ xa, thực hiện các ứng dụng và thu thập thông tin từ bộ nhớ Clipboard. RAT cũng hỗ trợ ngôn ngữ khác nhau: tiếng Anh, tiếng Ả Rập, tiếng Pháp, tiếng Tây Ban Nha, Ba Lan, Ý và Thụy Điển. Trong trang Blogspot, OussamiO đề cập rằng nếu ai muốn thêm một ngôn ngữ khác, họ có thể dịch các phiên bản tiếng Anh và chia sẻ liên kết đến các trang Facebook của Lost Door.
Phát hiện sớm Lost Door
Bởi vì mối đe dọa này là tùy chỉnh, quản trị viên IT có thể gặp khó khăn trong việc phát hiện do các chỉ số thỏa hiệp (IOC) thay đổi. Trend Micro liệt kê các dãy thu thập sau đây có thể giúp người dùng phát hiện Lost Door:
- Welcome to Lost Door E-Lite v9.1
- We Control Your Digital Worlds
- E-Lite v9.1
- \ \Nouveau dossier\OussamiO\Coding\My Softs\Max Security KiT By UniQue OussamiO\2\SLostDoor\Kner.vbp
Phát hiện Lost Door RAT sớm có thể giúp cá nhân và doanh nghiệp ngăn chặn những hậu quả thảm khốc như trộm cắp thông tin.
Theo Trend Micro
