Theo các nhà nghiên cứu tại công ty bảo mật đám mây Red Canary, hiện đang có hàng nghìn máy tính của các doanh nghiệp trên thế giới bị ảnh hưởng bởi chiến dịch tấn công có tên Blue Mockingbird.

Các máy chủ khi bị nhiễm Blue Mockingbird sẽ tự động tải xuống và cài đặt các mã độc nhằm giúp tin tặc chiếm quyền kiểm soát thiết bị từ xa để khai thác tiền điện tử Monero và sau đó gửi đến các tin tặc.

Báo cáo của Red Canary cho biết, lỗ hổng phần mềm này đã hoạt động từ tháng 12 năm ngoái và tới tháng 4 năm nay. Các tin tặc đã nhắm mục tiêu vào những máy chủ có cấu hình bảo mật dễ bị tấn công và sử dụng giao diện người dùng phần mềm Telerik UI.

Khi tin tặc xâm nhập được vào hệ thống, chúng sử dụng kỹ thuật JuicyPotato để chiếm quyền truy cập cấp quản trị viên và triển khai công cụ khai thác Monero XMRIG được đóng gói dưới dạng DLL trên hệ thống Windows.

Nếu các máy chủ bị tấn công có kết nối với mạng nội bộ của công ty, các tin tặc sẽ phát tán các mã độc bằng cách hack giao thức máy tính từ xa (RDP) hoặc giao thức chia sẻ file (SMB).

Các nhà nghiên cứu tin rằng phiên bản cũ của Telerik UI, một phần của ứng dụng máy chủ dựa trên ASP.Net, có thể là nguyên nhân dẫn tới hình thức tấn công này.

Báo cáo của Red Canary cho biết trong khi các tin tặc nhắm vào các tổ chức có quy mô nhỏ , chúng có thể đã tấn công đến hàng ngàn thiết bị. Số lượng thiết bị bị ảnh hưởng trên thực tế có thể nhiều hơn do các công ty được cho là có bảo mật tốt vẫn có nguy cơ nhiễm Blue Mockingbird.

Red Canary chia sẻ, thật khó để có thể biết chính xác được phạm vi của vụ tấn công này. Tuy nhiên, hiện, Red Canary đã hạn chế thành công 1 phần sự ảnh hưởng phần mềm độc hại và đã giám sát được khoảng 1.000 máy tính bị nhiễm Blue Mockingbird trong các tổ chức doanh nghiệp.

Để ngăn chặn các mối đe dọa tương tự, các nhà nghiên cứu đề nghị các doanh nghiệp nên vá lỗi các máy chủ web và ứng dụng web. Ngoài ra, nếu biện pháp này không khả quan, người dùng cần ngăn chặn phần mềm độc hại bằng cách sử dụng tường lửa ngay từ ban đầu.

Phương Anh