HTI Services

092.8765.688 htiservices@htigroup.vn

  • vi
    • en

HTI Services
  • Trang chủ
  • Giới thiệu
  • Dịch vụ
    • Khôi phục dữ liệu
      • Khôi phục dữ liệu trên HDD
      • Khôi phục dữ liệu trên SSD
      • Khôi phục dữ liệu RAID, NAS, SAN
      • Khôi phục dữ liệu trên thiết bị di động
      • Khôi phục dữ liệu USB, thẻ nhớ
      • Bảng giá khôi phục dữ liệu
    • Hủy dữ liệu an toàn
      • Khử từ xóa dữ liệu tại địa điểm khách hàng
      • Xác thực kết quả khử từ
      • Phá hủy vật lý
      • Data Wiping
      • Đánh giá khả năng thực hiện Data Wiping
    • Tư vấn điều tra nội bộ về rò rỉ dữ liệu
      • Điều tra máy tính
      • Điều tra thiết bị di động
      • Phân tích phần mềm độc hại
      • Giải pháp phần mềm Qator Series – IJB
      • Điều tra và phân tích mạng máy tính
    • Tư vấn giải mã dữ liệu bị mã hóa
      • Giải mã dữ liệu bị mã hóa bởi Ransomware
      • Giải mã dữ liệu bị mã hóa FDE
    • Tư vấn đánh giá mức độ an toàn dữ liệu
      • Kiểm tra, đánh giá, bảo trì hệ thống máy tính lưu trữ dữ liệu nhạy cảm
      • Tư vấn bảo vệ, bảo mật hệ thống lưu trữ dữ liệu
    • Đào tạo Điều tra kỹ thuật số điện tử
      • Đào tạo Điều tra kỹ thuật số điện tử – Cơ bản
      • Đào tạo Điều tra kỹ thuật số điện tử – Nâng cao
  • Sản phẩm
    • Máy chủ GPU WinFast
      • WinFast GS4850T
      • WinFast GS4855 ST
      • WinFast GS4840
      • WinFast GS4845
      • WinFast GS2040T
      • WinFast GS2045T
      • WinFast GS 2050T
    • Máy trạm GPU WinFast
      • WinFast WS2040
      • WinFast WS1050
      • WinFast WS950
      • WinFast WS2050
      • WinFast WS1040
      • WinFast WS940
      • WinFast WS945
      • WinFast WS850
      • WinFast WS750
    • Card đồ họa Leadtek
      • RTX PRO™ 5000 Blackwell
      • RTX PRO™ 6000 Blackwell
      • RTX PRO™ 6000 Blackwell Max-Q
      • RTX 4500 Ada Generation 24GB GDDR6
      • RTX 5000 Ada Generation 32GB GDDR6
      • RTX 5880 Ada Generation 48GB GDDR6
      • RTX 6000 Ada Generation 48GB GDDR6
    • Tùy biến theo nhu cầu
      • Hệ thống tạo ảnh và lưu trữ dữ liệu – Hermers Forensics
      • Hệ thống HBS
      • Hệ thống HGS
  • Tin tức
  • Bài viết
    • An toàn dữ liệu
    • Khôi phục dữ liệu
    • Điều tra dữ liệu
    • Hủy dữ liệu
  • Tuyển dụng
  • Chính sách
    • Chính sách bảo mật thông tin
    • Hướng dẫn mua hàng
    • Chính sách giao hàng
    • Hình thức thanh toán
  • Liên hệ
  • vi
    • en

Phần mềm độc hại Ursnif chuyển từ đánh cắp tài khoản ngân hàng sang quyền truy cập ban đầu

Phần mềm độc hại Ursnif chuyển từ đánh cắp tài khoản ngân hàng sang quyền truy cập ban đầu

Phương Anh Nguyễn2022-11-12T12:08:43+07:00
Phương Anh Nguyễn 2022-11-01 An toàn dữ liệu

Một phiên bản mới của phần mềm độc hại Ursnif (còn gọi là Gozi) nổi lên như một backdoor chung, đã gỡ bỏ chức năng banking trojan điển hình của nó. Thay đổi này có thể chỉ ra rằng các kẻ khai thác phiên bản mới đang tập trung vào việc phân phối ransomware. Các nhà nghiên cứu tại Công ty ứng phó sự cố Mandiant đã phát hiện tên mã “LDR4” vào ngày 23/06/2022. Họ tin rằng nó được phân phối bởi chính những tác nhân đã duy trì phiên bản RM3 của phần mềm độc hại trong những năm qua.

 

phần-mềm-độc-hại

 

Chiến dịch Ursnif mới

Biến thể Ursnif LDR4 được gửi qua email mời làm việc giả mạo có chứa liên kết đến một trang web mạo danh một công ty hợp pháp. Băng nhóm Ursnif cũng đã sử dụng chiến thuật đóng giả người tuyển dụng trước đây. Khách truy cập trang web độc hại được yêu cầu hoàn thành CAPTCHA để tải xuống tài liệu Excel có mã macro dẫn đến phần mềm độc hại từ một nguồn từ xa.

phần-mềm-độc-hại 2

Biến thể LDR4 có dạng DLL (“loader.dll”) và được đóng gói bởi các chương trình mã hóa portable executable và được ký bằng các chứng chỉ hợp lệ. Điều này giúp nó tránh được sự phát hiện từ các công cụ bảo mật trên hệ thống. Các nhà phân tích của Mandiant khi mổ xẻ LDR4 nhận thấy rằng tất cả các tính năng banking đã bị xóa khỏi biến thể Ursnif mới và mã của nó đã được làm sạch và đơn giản hóa.

 

Kỷ nguyên backdoor

Khi thực thi, Ursnif mới thu thập dữ liệu dịch vụ hệ thống từ Windows Registry sau đó tạo người dùng và ID hệ thống. Tiếp theo, nó kết nối với máy chủ C&C (command and control) bằng khóa RSA có sẵn trong tệp cấu hình. Sau đó, nó cố gắng truy xuất một danh sách các lệnh để thực thi trên máy chủ. Các lệnh được hỗ trợ bởi biến thể LDR4 bao gồm:

  • Tải mô-đun DLL vào quy trình hiện tại
  • Truy xuất trạng thái của cmd.exe reverse shell
  • Khởi động exe reverse shell
  • Dừng exe reverse shell
  • Khởi động lại exe reverse shell
  • Chạy một lệnh tùy ý
  • Kết thúc

phần-mềm-độc-hại 3

Hệ thống lệnh shell tích hợp sử dụng địa chỉ IP từ xa để thiết lập reverse shell không phải là mới, nhưng giờ đây nó được gắn vào tệp nhị phân phần mềm độc hại thay vì sử dụng một mô-đun bổ sung như các biến thể trước đó. Hệ thống plugin cũng đã bị loại bỏ vì lệnh tải mô-đun DLL vào quy trình hiện tại có thể mở rộng khả năng của phần mềm độc hại khi cần thiết.

Một ví dụ mà Mandiant đã ghi nhận là mô-đun VNC (điện toán mạng ảo – virtual network computing) (“vnc64_1.dll”), cung cấp cho LDR4 khả năng thực hiện các cuộc tấn công “hands-on” vào các hệ thống bị xâm nhập. Với phiên bản mới nhất, những kẻ khai thác Ursnif LDR4 dường như đã cải thiện mã cho một nhiệm vụ cụ thể hơn, đó là một công cụ thỏa hiệp ban đầu mở ra cánh cửa cho các phần mềm độc hại khác.

Mandiant lưu ý rằng các hoạt động của ransomware có thể là hướng mà các nhà phát triển đang hướng tới, vì các nhà nghiên cứu đã xác định trên một cộng đồng hacker ngầm có một tác nhân đe dọa đang tìm kiếm đối tác để phân phối ransomware và phiên bản RM3 của Ursnif.

 

Nguồn:

Ursnif malware switches from bank account theft to initial access (bleepingcomputer.com)

Từ khóa:

backdoorbanking trojandữ liệu bị mã hóagiải mã dữ liệumã độc ransomwaremã độc tống tiềnmã hóa dữ liệuphần mềm độc hạiphần mềm độc hại Ursnifransomwaretấn công “hands-on”tấn công ransomware

Chia sẻ:

Facebook LinkedIn

Bài viết liên quan

bao_ve_to_chuc_cua_ban_khoi_moi_nguy_hiem_tu_ransomware
30Jun30/06/2025

Bảo vệ tổ chức của bạn trước mối nguy hiểm từ Ransomware

Làm thế nào kẻ tấn công có thể vượt qua các giải pháp bảo mật của tổ chức bạn? Có... read more

Qilin-Agenda-Ransomware-Threats-Techniques-and-Prevention
24Jun24/06/2025

RANSOMWARE – BE AWARE [Qilin]

Giới thiệu Trong bối cảnh các cuộc tấn công ransomware đang gia tăng nhanh chóng, liệu có bao nhiêu tổ... read more

lockbit
29May29/05/2025

LockBit 2025: Hé lộ mặt tối của một đế chế tội phạm số toàn cầu

Bài viết được thực hiện bởi chuyên gia phân tích từ HTI Services – Một thành viên của HTI... read more

WannaCry
15May15/05/2025

RANSOMWARE – BE AWARE [WannaCry]

Trong lịch sử ngành an ninh mạng, hiếm có cuộc tấn công nào gây chấn động và lan rộng... read more

makop-ransomware
17Mar17/03/2025

RANSOMWARE – BE AWARE [MAKOP]

Makop Ransomware là một nhánh của biến thể ransomware PHOBOS và hoạt động theo cấu trúc liên kết. Có... read more

malware
30Oct30/10/2024

Malware không thể hủy diệt đang tồn tại???

Một phần mềm độc hại không thể xóa khỏi ổ cứng của nạn nhân là có tồn tại. Tuy... read more

Search

Search
Generic filters
Exact matches only
Search in title
Search in content
Search in excerpt

Bài viết mới nhất

be_khoa_mat_khau
Bẻ khóa mật khẩu từ A đến Z
10/07/2025
loi_dau_tu_hdd
Lỗi đầu từ trong khôi phục dữ liệu HDD
09/07/2025
tao_anh_o_dia
Khi tốc độ trở nên quan trọng: Tạo ảnh nhanh cho ổ đĩa NVMe
04/07/2025
bao_ve_to_chuc_cua_ban_khoi_moi_nguy_hiem_tu_ransomware
Bảo vệ tổ chức của bạn trước mối nguy hiểm từ Ransomware
30/06/2025
Qilin-Agenda-Ransomware-Threats-Techniques-and-Prevention
RANSOMWARE – BE AWARE [Qilin]
24/06/2025

Tin tuyển dụng mới nhất

Tuyển dụng kỹ sư bán hàng
Kỹ sư bán hàng
26/08/2022
Tuyển dụng chuyên viên phân tích dữ liệu (Business Analystic)
04/08/2022

HTI Services - A member of HTI Group

Trụ sở Hà Nội: Tầng 12-VP2, Tòa nhà Sun Square, số 21 Lê Đức Thọ, Phường Từ Liêm, Thành phố Hà Nội

Chi nhánh Đà Nẵng: Tầng 5, Tòa nhà Vietnam Innovation Hub, 175 Trần Hưng Đạo, Phường An Hải, Thành phố Đà Nẵng

Chi nhánh Hồ Chí Minh: 203A Võ Thị Sáu, Phường Xuân Hòa, Thành phố Hồ Chí Minh

Hotline: 092.8765.688

Email: htiservices@htigroup.vn

Giờ làm việc: 8h30 – 17h30 từ Thứ 2 – Thứ 6, Từ 8h30 – 12h Thứ 7, Chủ Nhật nghỉ

Dịch vụ của chúng tôi

Tư vấn giải mã dữ liệu bị mã hóa

Hủy dữ liệu an toàn

Tư vấn điều tra nội bộ về rò rỉ dữ liệu

Khôi phục dữ liệu

Tư vấn đánh giá mức độ an toàn dữ liệu

Rà quét thiết bị điện tử

Chính sách

Đăng ký để nhận tin

Theo dõi chúng tôi

fb
yt
lkn

HTI Services - A member of HTI Group

Hanoi Head Office: 12F-VP2, Sun Square Building, 21 Le Duc Tho street, Tu Liem ward, Hanoi, Vietnam

Da Nang Branch: 5F, Vietnam Innovation Hub Building, 175 Tran Hung Dao street, An Hai ward, Da Nang City, Vietnam

Ho Chi Minh Branch: 203A Vo Thi Sau street, Xuan Hoa ward, Ho Chi Minh City, Vietnam

Hotline: 092.8765.688

Email: htiservices@htigroup.vn

Working hour: 8h30 – 17h30 on Monday – Friday,  8h30 – 12h on Saturday

Our services

Data decryption

Data destruction

Data breaches investigation consulting

Data recovery

Network security consulting

Electronic devices scanning

Newsletter

Follow us

fb
yt
lkn
All Rights Reserved © HTI Services 2022
  • Trang chủ
  • Giới thiệu
  • Dịch vụ
    • Khôi phục dữ liệu
      • Khôi phục dữ liệu trên HDD
      • Khôi phục dữ liệu trên SSD
      • Khôi phục dữ liệu RAID, NAS, SAN
      • Khôi phục dữ liệu trên thiết bị di động
      • Khôi phục dữ liệu USB, thẻ nhớ
      • Bảng giá khôi phục dữ liệu
    • Hủy dữ liệu an toàn
      • Khử từ xóa dữ liệu tại địa điểm khách hàng
      • Xác thực kết quả khử từ
      • Phá hủy vật lý
      • Data Wiping
      • Đánh giá khả năng thực hiện Data Wiping
    • Tư vấn điều tra nội bộ về rò rỉ dữ liệu
      • Điều tra máy tính
      • Điều tra thiết bị di động
      • Phân tích phần mềm độc hại
      • Giải pháp phần mềm Qator Series – IJB
      • Điều tra và phân tích mạng máy tính
    • Tư vấn giải mã dữ liệu bị mã hóa
      • Giải mã dữ liệu bị mã hóa bởi Ransomware
      • Giải mã dữ liệu bị mã hóa FDE
    • Tư vấn đánh giá mức độ an toàn dữ liệu
      • Kiểm tra, đánh giá, bảo trì hệ thống máy tính lưu trữ dữ liệu nhạy cảm
      • Tư vấn bảo vệ, bảo mật hệ thống lưu trữ dữ liệu
    • Đào tạo Điều tra kỹ thuật số điện tử
      • Đào tạo Điều tra kỹ thuật số điện tử – Cơ bản
      • Đào tạo Điều tra kỹ thuật số điện tử – Nâng cao
  • Sản phẩm
    • Máy chủ GPU WinFast
      • WinFast GS4850T
      • WinFast GS4855 ST
      • WinFast GS4840
      • WinFast GS4845
      • WinFast GS2040T
      • WinFast GS2045T
      • WinFast GS 2050T
    • Máy trạm GPU WinFast
      • WinFast WS2040
      • WinFast WS1050
      • WinFast WS950
      • WinFast WS2050
      • WinFast WS1040
      • WinFast WS940
      • WinFast WS945
      • WinFast WS850
      • WinFast WS750
    • Card đồ họa Leadtek
      • RTX PRO™ 5000 Blackwell
      • RTX PRO™ 6000 Blackwell
      • RTX PRO™ 6000 Blackwell Max-Q
      • RTX 4500 Ada Generation 24GB GDDR6
      • RTX 5000 Ada Generation 32GB GDDR6
      • RTX 5880 Ada Generation 48GB GDDR6
      • RTX 6000 Ada Generation 48GB GDDR6
    • Tùy biến theo nhu cầu
      • Hệ thống tạo ảnh và lưu trữ dữ liệu – Hermers Forensics
      • Hệ thống HBS
      • Hệ thống HGS
  • Tin tức
  • Bài viết
    • An toàn dữ liệu
    • Khôi phục dữ liệu
    • Điều tra dữ liệu
    • Hủy dữ liệu
  • Tuyển dụng
  • Chính sách
    • Chính sách bảo mật thông tin
    • Hướng dẫn mua hàng
    • Chính sách giao hàng
    • Hình thức thanh toán
  • Liên hệ
  • vi
    • en
messenger
Zalo
Phone
0928765688

APPLICATION FORM

×
Click to select & upload your CV