 |
Theo các chuyên gia bảo mật, Rehashed RAT (Remote Access Trojan) là loại mã độc có thể dễ dàng qua mặt những tường lửa và phần mềm bảo mật bằng cách giả mạo những phần mềm hợp pháp như SC&Cfg.exe, GoogleUpdate.exe của McAfee AV.
Chiến dịch phát tán mã độc này được triển khai bởi nhóm hacker 1937cn. Điều này dựa vào liên kết tới nhóm đã được tìm thấy thông qua những tên miền độc hại được sử dụng làm máy chủ C&C. 1937cn là nhóm tin tặc Trung Quốc bị nghi tấn công hệ thống thông tin sân bay Tân Sơn Nhất và Nội Bài trong tháng 7.2016.
Theo ghi nhận của hack-cn.com - trang xếp hạng và thống kê hacker của Trung Quốc, 1937cn đã thực hiện trên 40.000 cuộc tấn công trong thời gian qua.
 |
Trở lại với Rehashed RAT, mã độc này khai thác lỗ hổng CVE-2012-0158 nên các tập tin phát tán có dạng như tập tin văn bản. Để thu hút sự chú ý của các nạn nhân, tin tặc sử dụng tập tin văn bản giả mạo với tựa đề và nội dung chứa nhiều thông tin liên quan đến Chính phủ Việt Nam.
Quá trình phân tích Rehashed RAT cho thấy trình downloader của mã độc này sẽ tải về một RAT từ những domain:
dalat.dulichovietnam.net;
web.thoitietvietnam.org;
halong.dulichculao.com.
Những phiên bản phần mềm có nguy cơ bị khai thác bởi Rehashed RAT gồm:
Microsoft Office 2003 SP3, 2007 SP2 và SP3;
2010 Gold và SP1;
Office 2003 Web Components SP3;
SQL Server 2000 SP4, 2005 SP4, 2008 SP2, SP3 và R2.
Những chuyên gia bảo mật khuyến cáo người dùng không nên mở những tập tin khi nhận được từ email không rõ nguồn gốc. Đồng thời, người dùng cần thường xuyên cập nhật bản vá lỗi bảo mật cho hệ thống, mà trong trường hợp này là lỗ hổng CVE -2012-0158 mà Microsoft cảnh báo và phát hành bản vá từ năm 2012.
.svg){kind=icon}
