Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

Tin tặc Interlock phát tán phần mềm độc hại NodeSnake mới nhắm mục tiêu vào các trường đại học

07:59 | 02/06/2025
Hữu Tài

Nhóm tin tặc Interlock đang triển khai một trojan truy cập từ xa (RAT) chưa từng được ghi nhận trước đây có tên là NodeSnake, để xâm nhập vào mạng lưới các tổ chức giáo dục, trong đó có các trường đại học

Các nhà nghiên cứu đến từ công ty bảo mật QuorumCyber ​(Vương quốc Anh) ​cho biết, họ đã phát hiện các cuộc tấn công phát tán phần mềm độc hại NodeSnake mới được các tin tặc Interlock phát động nhắm vào các trường đại học ở Anh vào tháng 1 và tháng 3/2025.

Theo báo cáo đầu tiên của trang tin BleepingComputer, Interlock là một nhóm tin tặc mã độc tống tiền được biết đến vào tháng 9/2024. Trước đây, nhóm này đã nhắm mục tiêu tấn công vào Đại học Texas Tech, công ty DaVita và mạng lưới y tế Kettering Health ở Ohio, Mỹ. Interlock cũng đã lợi dụng các cuộc tấn công ClickFix mạo danh các ứng dụng công nghệ thông tin để thực hiện lây nhiễm ban đầu và xâm nhập mạng.

Phần mềm độc hại NodeSnake RAT mới

Các cuộc tấn công mới nhất của Interlock bắt đầu bằng các email lừa đảo có chứa liên kết, hoặc tệp đính kèm độc hại dẫn đến lây nhiễm NodeSnake RAT. Phần mềm độc hại dựa trên JavaScript, thực thi bằng NodeJS, sẽ tồn tại và duy trì tính bền bỉ sau khi lây nhiễm bằng cách sử dụng các tập lệnh PowerShell hoặc CMD, để tạo Registry lừa đảo có tên ChromeUpdater nhằm mạo danh trình cập nhật của Google Chrome.

Để tránh bị phát hiện, phần mềm độc hại chạy như một tiến trình nền tách biệt, tên tệp và dữ liệu được gán tên bất kỳ, đồng thời địa chỉ IP của máy chủ điều khiển và ra lệnh (C2) liên tục được thay đổi với độ trễ ngẫu nhiên. Hơn nữa, phần mềm độc hại này còn có tính năng code obfuscation, mã hóa XOR bằng rolling key và random seeds.

Mặc dù địa chỉ IP C2 được mã hóa cứng, kết nối vẫn được định tuyến qua các tên miền được Cloudflare proxy để che giấu hành vi. Khi thiết bị bị lây nhiễm, NodeSnake sẽ thu thập metadata quan trọng về người dùng, các tiến trình đang chạy, dịch vụ và cấu hình mạng rồi truyền dữ liệu đó đến máy chủ C2 do kẻ tấn công kiểm soát.

Hình 1. Thu thập dữ liệu hệ thống

NodeSnake có thể kill các tiến trình đang hoạt động hoặc tải thêm các tệp EXE, DLL hoặc JavaScript vào thiết bị. Ngoài ra, các tin tặc Interlock cũng đã phát triển một phiên bản cập nhật của NodeSnake, biến thể mới này cũng có thể thực thi các lệnh CMD và sử dụng các mô-đun bổ sung để thay đổi hành vi thăm dò C2 động. Kết quả lệnh được đóng gói trong các gói dữ liệu đã lọc, cho phép tương tác shell theo thời gian thực.

Hình 2. Thực thi lệnh CMD

Để theo dõi danh sách đầy đủ các chỉ số bị xâm phạm, quý độc giả vui lòng truy cập tại đây.

Twitter Zalo Facebook YouTube Copy Link QR Code
MÃ ĐỘC TỐNG TIỀN NODESNAKE CMD TIN TẶC INTERLOCK POWERSHELL JAVASCRIPT OBFUSCATION TRƯỜNG ĐẠI HỌC PHẦN MỀM ĐỘC HẠI
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết