GigaWiper: Backdoor Windows nguy hiểm tích hợp tính năng xóa dữ liệu và giả dạng ransomware
Microsoft vừa phát hiện GigaWiper, một loại backdoor Windows tinh vi kết hợp khả năng gián điệp với các công cụ phá hủy dữ liệu, bao gồm cả việc giả dạng ransomware để đánh lạc hướng người...
Microsoft vừa công bố báo cáo về GigaWiper, một loại backdoor Windows có tính chất phá hoại cao. Điểm đặc biệt của mã độc này là sự kết hợp của ba công cụ độc hại cũ vào một nền tảng duy nhất, cho phép kẻ tấn công linh hoạt lựa chọn phương thức tấn công tùy theo mục tiêu.
Table Of Content
Ba phương thức phá hủy hệ thống
Được viết bằng ngôn ngữ Go, GigaWiper cung cấp cho kẻ tấn công ba tùy chọn để vô hiệu hóa máy tính nạn nhân:
- Xóa ổ đĩa vật lý: Ghi đè trực tiếp lên ổ cứng và xóa bảng phân vùng (partition table), khiến dữ liệu không thể khôi phục.
- Giả dạng Ransomware: Sử dụng mã nguồn từ công cụ Crucio để mã hóa tệp tin với phần mở rộng .candy và thay đổi hình nền desktop. Tuy nhiên, đây thực chất là hành vi phá hoại vì không có khóa giải mã và không có yêu cầu tiền chuộc thực tế.
- Ghi đè ổ đĩa Windows: Một biến thể dựa trên FlockWiper, thực hiện ghi đè nhiều lần lên ổ đĩa hệ thống bằng các mẫu dữ liệu khác nhau.
Khả năng gián điệp và kỹ thuật ẩn mình
Ngoài khả năng phá hoại, GigaWiper còn đóng vai trò là một công cụ gián điệp. Nó có thể chụp ảnh màn hình, ghi lại hoạt động người dùng và thiết lập phiên VNC ẩn để kẻ tấn công kiểm soát từ xa. Để tránh bị phát hiện, mã độc này giả danh tiến trình OneDrive Update, tạo tác vụ định kỳ (scheduled task) mỗi phút và ẩn mình sau các quy tắc tường lửa mang tên các thành phần hợp lệ của Windows.
Đáng chú ý, GigaWiper sử dụng các dịch vụ doanh nghiệp như RabbitMQ, Redis và MinIO để điều khiển và trích xuất dữ liệu, giúp lưu lượng mạng trông giống như các hoạt động kinh doanh thông thường.
Nguồn gốc và mối liên hệ
Các nhà nghiên cứu tại Binary Defense cũng phát hiện cùng loại mã độc này với tên gọi BLUERABBIT. Dựa trên các dấu vết kỹ thuật, nhiều chuyên gia nghi ngờ GigaWiper có liên quan đến các nhóm tấn công từ Iran, vốn từng được nhắc đến trong các báo cáo về nhóm CyberAv3ngers. Sự xuất hiện của GigaWiper cho thấy xu hướng các nhóm tấn công đang hợp nhất nhiều công cụ đơn lẻ thành một nền tảng tấn công đa năng.
Khuyến nghị cho quản trị viên
Để phòng chống GigaWiper, các tổ chức cần lưu ý các dấu hiệu sau:
- Kiểm tra các tác vụ OneDrive Update chạy lặp lại mỗi phút.
- Giám sát lưu lượng truy cập RabbitMQ hoặc Redis bất thường từ các máy trạm (desktop).
- Theo dõi các tiến trình sử dụng takeown và icacls để chiếm quyền sở hữu các tệp khởi động hệ thống.
Microsoft khuyến nghị người dùng kích hoạt tính năng bảo vệ chống giả mạo (tamper protection), chặn các địa chỉ server điều khiển (C2) đã xác định và duy trì các bản sao lưu ngoại tuyến (offline backups) để đảm bảo khả năng phục hồi dữ liệu trong trường hợp bị tấn công.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.