Betruger Backdoor: Mối đe dọa từ backdoor đa chức năng

20/03/2025
2 mins read
Nội dung
Betruger Backdoor
Bộ công cụ của Affiliates RansomHub
Bảo vệ và Giảm thiểu
Kết luận

Betruger Backdoor

  • Chức năng: Betruger là một ví dụ hiếm gặp của một backdoor đa chức năng, được thiết kế để thực hiện nhiều hành động trong các cuộc tấn công ransomware. Nó bao gồm các chức năng như:
    • Chụp màn hình
    • Ghi lại các phím bấm
    • Tải lên tệp tới máy chủ chỉ huy và kiểm soát (C2)
    • Quét mạng
    • Tăng quyền truy cập
    • Trích xuất thông tin đăng nhập
  • Triển khai: Backdoor này đã được phát hiện trong quá trình điều tra một cuộc tấn công đã được thực hiện, và nó đã được sử dụng trong nhiều trường hợp, cho thấy có thể nó đã được phát triển trực tiếp cho các hoạt động của RansomHub.
  • Tên Tệp: Để che dấu như các ứng dụng hợp pháp, kẻ tấn công đã sử dụng các tên tệp như mailer.exeturbomailer.exe, mặc dù backdoor không có chức năng gửi mail.

Bộ công cụ của Affiliates RansomHub

  • Dịch vụ Ransomware-as-a-Service (RaaS): RansomHub là một hoạt động RaaS đang rất tích cực trong năm qua. Nhóm này đã thu hút nhiều affiliates bằng cách cung cấp điều khoản tốt hơn, như tỷ lệ phần trăm thanh toán tiền chuộc cao hơn và mô hình thanh toán mà affiliates được trả bởi nạn nhân trước khi chuyển đến phần của nhà điều hành.
  • Các công cụ sử dụng: Affiliates của RansomHub đã sử dụng nhiều công cụ khác nhau, bao gồm:
    • Impacket để thực hiện dịch vụ từ xa và trích xuất thông tin đăng nhập Windows
    • Stowaway Proxy Tool để định tuyến lưu lượng mạng
    • Rclone để trích xuất dữ liệu
    • Mimikatz để trích xuất thông tin đăng nhập
    • ScreenConnect, Atera, Splashtop, và TightVNC để truy cập từ xa vào các máy tính mục tiêu
    • NetScan để phát hiện tên máy chủ và dịch vụ mạng
    • SystemBC cho liên lạc C2
    • Khai thác CVE-2022-24521 để tăng quyền truy cập và CVE-2023-27532 để thu được thông tin đăng nhập cho hệ thống sao lưu của mục tiêu.

Bảo vệ và Giảm thiểu

  • Phát hiện và Chặn: Các sản phẩm Symantec Endpoint có thể phát hiện và chặn các tệp độc hại liên quan đến backdoor Betruger.
  • Khai thác lỗ hổng: Bài viết nhấn mạnh tầm quan trọng của việc cập nhật nhanh chóng Veeam Backup & Replication lên phiên bản mới nhất (12.3 build 12.3.1.1139) để giảm thiểu lỗ hổng RCE nghiêm trọng (CVE-2025-23120).

Kết luận

Sự sử dụng một backdoor đa chức năng như Betruger bởi các affiliate của RansomHub cho thấy sự tiến hóa trong các chiến thuật của kẻ tấn công ransomware, những người ngày càng sử dụng các công cụ tùy chỉnh để giảm thiểu thời gian họ tồn tại trên mạng mục tiêu. Các tổ chức cần phải giữ vững sự cảnh giác và triển khai các biện pháp bảo mật mạnh mẽ, bao gồm cập nhật định kỳ và đánh giá lỗ hổng toàn diện, để bảo vệ chống lại các cuộc tấn công tinh vi như vậy.

Tags