Một công ty phát triển phần mềm lớn có phần mềm được sử dụng bởi các tổ chức nhà nước khác nhau ở Ukraine đã nhận được một phần mềm độc hại “không phổ biến”, nghiên cứu mới đã phát hiện ra.
Phần mềm độc hại, được quan sát lần đầu tiên vào sáng ngày 19 tháng 5 năm 2022, là một biến thể tùy chỉnh của backdoor mã nguồn mở được gọi là GoMet và được thiết kế để duy trì quyền truy cập liên tục vào mạng.
“Quyền truy cập này có thể được tận dụng theo nhiều cách bao gồm truy cập sâu hơn hoặc để khởi động các cuộc tấn công bổ sung, bao gồm cả khả năng xâm phạm chuỗi cung ứng phần mềm”, Cisco Talos cho biết trong một báo cáo được chia sẻ với The Hacker News.
Mặc dù không có chỉ số cụ thể liên kết cuộc tấn công với một tác nhân hoặc một nhóm đơn lẻ, đánh giá của công ty an ninh mạng chỉ ra hoạt động quốc gia-nhà nước của Nga.
Báo cáo công khai về việc sử dụng GoMet trong các cuộc tấn công trong thế giới thực cho đến nay chỉ phát hiện ra hai trường hợp được ghi nhận cho đến nay: một trường hợp vào năm 2020, trùng với việc tiết lộ CVE-2020-5902, một lỗ hổng thực thi mã từ xa nghiêm trọng trong mạng BIG-IP của F5 các thiết bị.
Trường hợp thứ hai đòi hỏi việc khai thác thành công CVE-2022-1040, một lỗ hổng thực thi mã từ xa trong Sophos Firewall, bởi một nhóm mối đe dọa liên tục nâng cao (APT) chưa được đặt tên vào đầu năm nay.
“Chúng tôi chưa thấy GoMet được triển khai trên các tổ chức khác mà chúng tôi đã hợp tác và giám sát chặt chẽ, điều đó có nghĩa là nó được nhắm mục tiêu theo một cách nào đó nhưng có thể được sử dụng chống lại các mục tiêu bổ sung mà chúng tôi không có khả năng hiển thị”, Nick Biasini, người đứng đầu tiếp cận cộng đồng của Cisco Talos, nói với The Hacker News.
“Chúng tôi cũng đã tiến hành phân tích lịch sử tương đối nghiêm ngặt và thấy rất ít việc sử dụng GoMet trong lịch sử, điều này cho thấy thêm rằng nó đang được sử dụng theo những cách rất mục tiêu.”
GoMet, như tên của nó, được viết bằng Go và đi kèm với các tính năng cho phép kẻ tấn công điều khiển hệ thống bị xâm nhập từ xa, bao gồm tải lên và tải xuống tệp, chạy các lệnh tùy ý và sử dụng chỗ đứng ban đầu để truyền sang các mạng và hệ thống khác thông qua những gì gọi là chuỗi daisy.
Một tính năng đáng chú ý khác của bộ cấy là khả năng chạy các công việc theo lịch trình bằng cron. Trong khi mã gốc được định cấu hình để thực thi các công việc cron mỗi giờ một lần, phiên bản sửa đổi của cửa hậu được sử dụng trong cuộc tấn công được xây dựng để chạy hai giây một lần và xác định xem phần mềm độc hại có được kết nối với máy chủ điều khiển và chỉ huy hay không.
Biasini cho biết: “Phần lớn các cuộc tấn công mà chúng tôi thấy gần đây có liên quan đến quyền truy cập, trực tiếp hoặc thông qua việc thu thập thông tin xác thực. “Đây là một ví dụ khác về điều đó với việc GoMet được triển khai như một cửa hậu”.
“Khi quyền truy cập đã được thiết lập, các hoạt động trinh sát bổ sung và kỹ lưỡng hơn có thể theo sau. Chúng tôi đang nỗ lực tiêu diệt các cuộc tấn công trước khi chúng đến giai đoạn này, vì vậy rất khó để dự đoán các loại cuộc tấn công tiếp theo.”
Phát hiện này được đưa ra khi Bộ Tư lệnh Không gian mạng Hoa Kỳ hôm thứ Tư chia sẻ các chỉ số về khả năng xâm phạm (IoC) liên quan đến các loại phần mềm độc hại khác nhau như GrimPlant, GraphSteel, Cobalt Strike Beacon và MicroBackdoor nhắm vào các mạng Ukraine trong những tháng gần đây.
Công ty an ninh mạng Mandiant kể từ đó đã quy kết các cuộc tấn công lừa đảo nhằm vào hai kẻ gián điệp được theo dõi là UNC1151 (hay còn gọi là Ghostwriter) và UNC2589, sau này bị nghi ngờ là “hành động ủng hộ lợi ích của chính phủ Nga và đang tiến hành thu thập gián điệp rộng rãi ở Ukraine.”
.
