Gần đây, các chuyên gia bảo mật đã phát hiện ra một loại tiền điện tử tự lan truyền mới và Phần mềm độc hại dựa trên DDoS “Lucifer” đang khai thác lỗ hổng nghiêm trọng để lây nhiễm các thiết bị Windows.
Lỗ hổng này được phát hiện vào ngày 29,2020 tháng XNUMX năm XNUMX, sau khi điều tra lỗ hổng, các chuyên gia đã đặt tên cho nó là Lucifer và phần mềm độc hại này có khả năng tiến hành Các cuộc tấn công DDoS, và nó rất nổi tiếng với tất cả các loại khai thác chống lại các thiết bị Windows dễ bị tấn công khác nhau.
Theo Report từ Palo Alto Networks, động cơ chính của lỗ hổng bảo mật là lây nhiễm vào máy tính bằng cách tấn công chúng bằng các hành vi khai thác quan trọng, vì chúng đang nhằm mục đích tận dụng hồ sơ “đầy đủ” về các lỗ hổng chưa được vá.
Tuy nhiên, có những bản vá dành cho tất cả các lỗi nghiêm trọng và có mức độ nghiêm trọng cao, nhưng một số công ty đã bị tấn công bởi phần mềm độc hại và thậm chí chưa áp dụng các bản sửa lỗi.
Lucifer: Cryptojacking và Chiến dịch DDoS
Ban đầu, tác giả của phần mềm độc hại này đã quyết định đặt tên phần mềm độc hại này là Satan DDoS, mặc dù đã có một phần mềm độc hại có tên tương tự là “Satan ransomware”. Vì vậy, tác giả, sau khi thảo luận với nhóm của mình, đã quyết định giữ tên “Lucifer”.
Sau khi quyết định tên, các chuyên gia đã công nhận hai phiên bản của Lucifer trong quá trình nghiên cứu. Tuy nhiên, lúc đầu, họ tập trung vào phiên bản 1, sau đó họ đánh dấu những thay đổi và sửa chữa chúng trên phiên bản 2 trong phần tiếp theo.
Chà, phần mềm độc hại “Lucifer” bao gồm tổng cộng ba phần và cả ba phần đều chứa một tệp nhị phân cho một mục đích đặc biệt.
Phần hỗ trợ x86 bao gồm phiên bản x86 được đóng gói UPX của XMRig 5.5.0, trong khi phần tài nguyên x64 bao gồm phiên bản x64 của XMRig 5.5.0 được đóng gói UPX.
Cuối cùng, phần SMB bao gồm một nhị phân, chứa rất nhiều nhóm phương trình như EternalBlue và EternalRomance, và bộ cấy ghép backdoor DoublePulsar thấp hèn.
Lucifer: Phiên bản 2
Chà, nếu chúng ta nói về phiên bản 2 của “Lucifer”, thì nó hoàn toàn có thể so sánh với tiền thân của nó. Vì các khả năng và hành vi tổng thể của nó rất giống với bản gốc và quan trọng hơn, nó tách biệt XMRig cho cryptojacking, không chỉ điều này, mà nó còn quản lý hoạt động của C2 và tự phát triển bằng cách khai thác và khai thác lỗ hổng cưỡng bức.
Cả hai phiên bản đều có nhiều điểm giống nhau, nhưng phiên bản 2 có một số điểm khác biệt đáng kinh ngạc, điều đó làm tốt hơn phiên bản 1.
Các chuyên gia cũng cho rằng phần mềm độc hại đang ngày càng tinh vi; đó là lý do tại sao họ cảnh báo người dùng và yêu cầu họ cẩn thận.
Hơn nữa, các doanh nghiệp có thể tự bảo vệ mình bằng các hành động bảo mật đơn giản như thực hiện các bản vá, thay đổi và đặt một số mật khẩu mạnh.
- HFS được tìm thấy trong phản hồi HTTP: CVE-2014-6287
- Cầu tàu được tìm thấy trong phản hồi HTTP: CVE-2018-1000861
- Servlet được tìm thấy trong phản hồi HTTP: CVE-2017-10271
Không tìm thấy từ khóa nào trong phản hồi HTTP: -
Tất cả những phần mềm độc hại này đều khá nguy hiểm và các chuyên gia đã khuyến cáo tất cả các tổ chức luôn cập nhật hệ thống của họ, xóa tất cả các thông tin đăng nhập yếu và có một lớp bảo vệ để nó sẽ hữu ích trong tình huống khẩn cấp.
Bạn có thể tìm thấy đầy đủ Các chỉ số của sự thỏa hiệp.
Bạn có thể theo dõi chúng tôi trên Linkedin, Twitter, Facebook cho an ninh mạng hàng ngày và cập nhật tin tức hack.
