Daxin tái xuất tại Đài Loan cùng backdoor Stupig nguy hiểm
Rootkit Daxin, một công cụ gián điệp mạng tinh vi, vừa được phát hiện trở lại trên một hệ thống tại Đài Loan, đi kèm với backdoor Stupig có khả năng chiếm quyền SYSTEM ngay tại màn hình đăng nhập...
Sau hơn 4 năm im hơi lặng tiếng, Daxin – một loại malware gián điệp tinh vi từng được Symantec ghi nhận vào năm 2022 – đã bất ngờ tái xuất tại một doanh nghiệp sản xuất ở Đài Loan. Đáng chú ý, cuộc tấn công này còn đi kèm với một backdoor chưa từng được công bố có tên gọi Stupig.
Table Of Content
Daxin: Rootkit với cơ chế C2 ẩn mình
Daxin (tệp tin srt64.sys) là một kernel-mode rootkit được thiết kế để nhắm vào các cơ quan chính phủ và hạ tầng trọng yếu. Điểm đặc biệt của Daxin nằm ở phương thức Command-and-Control (C2) độc đáo: nó không tạo kết nối outbound trực tiếp mà theo dõi lưu lượng TCP để chiếm quyền các kết nối hợp lệ hiện có. Điều này giúp malware hòa trộn vào hoạt động mạng thông thường, ngay cả trên các hệ thống bị cô lập vật lý, khiến việc phát hiện qua giám sát mạng truyền thống trở nên cực kỳ khó khăn.
Stupig: Backdoor nguy hiểm tại màn hình đăng nhập
Song hành cùng Daxin là Stupig (a.dll hoặc kbdus1.dll), một backdoor được ngụy trang dưới dạng tệp tin bàn phím của Microsoft. Stupig hoạt động bằng cách đăng ký như một trình cung cấp bố cục bàn phím (keyboard-layout provider), cho phép nó được winlogon.exe tải vào hệ thống ngay khi khởi động.
Kỹ thuật này cho phép kẻ tấn công thực thi các lệnh với đặc quyền SYSTEM trực tiếp từ màn hình đăng nhập Windows mà không cần tài khoản hợp lệ và không để lại dấu vết trong nhật ký kiểm tra (logon audit event). Khi kẻ tấn công nhập tên người dùng bắt đầu bằng tiền tố “stupig”, hệ thống sẽ diễn giải các ký tự theo sau là lệnh cần thực thi.
Dấu vết từ quá khứ
Dù không có sự trùng lặp về mã nguồn, các chuyên gia từ Symantec và Carbon Black nhận định Daxin và Stupig có khả năng cao đến từ cùng một nhóm tác nhân đe dọa dựa trên sự tương đồng về phương thức phát triển và dấu thời gian biên dịch (compilation timestamp) từ năm 2013. Các nhà nghiên cứu nghi ngờ rằng hệ thống bị xâm nhập có thể đã tồn tại lỗ hổng từ các phiên bản phần mềm cũ như Digiwin SSO sử dụng JDK 1.5/1.6, cho phép kẻ tấn công duy trì sự hiện diện âm thầm trong suốt hơn một thập kỷ.
Sự kiện này một lần nữa gióng lên hồi chuông cảnh báo về khả năng duy trì sự hiện diện bền bỉ (persistence) của các nhóm gián điệp mạng, ngay cả khi các công cụ của chúng đã được công khai từ lâu.
Nguồn tham khảo: The Hacker News

No Comment! Be the first one.