Một chiến dịch mã độc MoonPeak mới đã xuất hiện, nhắm mục tiêu vào người dùng Windows. Kỹ thuật này sử dụng các file shortcut LNK giả mạo để phát tán MoonPeak, một trojan truy cập từ xa (RAT) nguy hiểm.
Mã độc này, được cho là một biến thể của XenoRAT, đã được liên kết với các tác nhân đe dọa. Cuộc tấn công mạng này chủ yếu nhắm vào các nhà đầu tư và nhà giao dịch tiền điện tử thông qua các file độc hại được ngụy trang dưới dạng tài liệu PDF hợp pháp liên quan đến chiến lược giao dịch.
Chiến dịch Mã độc MoonPeak: Kỹ thuật Khai thác LNK File
Khi nạn nhân mở file LNK độc hại, nó kích hoạt một chuỗi lây nhiễm phức tạp. Chuỗi này triển khai mã độc trong khi hiển thị một tài liệu PDF mồi nhử để tránh sự nghi ngờ.
Chiến dịch được phát hiện lần đầu vào tháng 1 năm 2026. Các file LNK chứa tên file tiếng Hàn Quốc gợi ý nội dung liên quan đến đầu tư.
Những file này nhúng một PDF được mã hóa XOR, sẽ mở bình thường khi nhấp vào. Điều này khiến cuộc tấn công dường như vô hại đối với những người dùng không cảnh giác.
Kỹ thuật Né tránh và Ẩn mình
Ẩn sau màn hình, một script PowerShell bị làm rối (obfuscated) thực thi âm thầm trong một cửa sổ ẩn.
Script này khởi tạo nhiều giai đoạn phân phối payload, thiết lập tính bền bỉ trên hệ thống bị nhiễm và giao tiếp với các máy chủ từ xa do kẻ tấn công kiểm soát.
Các nhà phân tích từ IIJ Security Diary đã xác định mối đe dọa này thông qua phân tích mã độc chi tiết, làm sáng tỏ toàn bộ luồng lây nhiễm chưa được tài liệu hóa đầy đủ trong các báo cáo trước đó. Thông tin chi tiết có thể được tìm thấy tại IIJ Security Diary.
Các nhà nghiên cứu đã truy vết hạ tầng tấn công tới các kho lưu trữ GitHub được sử dụng để lưu trữ các payload độc hại. Điều này cho thấy việc các tác nhân đe dọa sử dụng các nền tảng hợp pháp để né tránh phát hiện.
Kỹ thuật này, được gọi là Living Off Trusted Sites (LOTS), cho phép kẻ tấn công vượt qua các biện pháp bảo mật thường chặn các tên miền đáng ngờ.
Cơ chế Hoạt động của MoonPeak Malware
Quá trình lây nhiễm của mã độc MoonPeak hoạt động qua ba giai đoạn riêng biệt. Mỗi giai đoạn được thiết kế để né tránh phân tích bảo mật và thiết lập quyền truy cập bền bỉ.
Giai đoạn 1: Kiểm tra Môi trường và Thiết lập
Ở giai đoạn đầu tiên, file LNK kiểm tra các công cụ bảo mật và môi trường ảo. Nó thực hiện điều này bằng cách quét các quy trình đang chạy cụ thể như IDA Pro, Wireshark, OllyDbg và các chỉ báo sandbox khác nhau.
Nếu bất kỳ công cụ phân tích nào được phát hiện, script sẽ chấm dứt ngay lập tức để ngăn các nhà nghiên cứu nghiên cứu hành vi của nó. Kỹ thuật chống phân tích này đảm bảo mã độc chỉ thực thi trên các hệ thống nạn nhân thực sự.
Sau khi kiểm tra môi trường thành công, script PowerShell tạo các thư mục và file có tên ngẫu nhiên trong thư mục tạm thời. Sau đó, nó tải xuống các script bổ sung từ các máy chủ từ xa.
Một tác vụ được lên lịch (scheduled task) sau đó được tạo để đảm bảo mã độc MoonPeak chạy tự động, ngay cả sau khi hệ thống khởi động lại. Điều này thiết lập tính bền bỉ trên hệ thống bị xâm nhập.
Giai đoạn 2: Tải Payload và Thực thi trong Bộ nhớ
Giai đoạn thứ hai bao gồm việc truy xuất một payload được nén GZIP từ một kho lưu trữ GitHub. Payload này sau đó được giải nén và tải trực tiếp vào bộ nhớ mà không chạm vào đĩa. Kỹ thuật này giúp né tránh các giải pháp phát hiện dựa trên file.
Giai đoạn 3: Triển khai MoonPeak và C2
Giai đoạn cuối cùng triển khai chính MoonPeak. Mã độc này được làm rối bằng ConfuserEx để chống lại quá trình dịch ngược và phân tích. Mã độc kết nối với máy chủ command-and-control (C2) của nó, cho phép kẻ tấn công điều khiển máy tính bị nhiễm từ xa.
Chỉ số Thỏa hiệp (IOCs)
Các chỉ số thỏa hiệp (IOCs) là thông tin quan trọng để nhận diện và ngăn chặn các cuộc tấn công mạng liên quan đến mã độc MoonPeak:
- Địa chỉ C2 Server:
27.102.137[.]88:443
Phòng ngừa và Phát hiện xâm nhập
Để giảm thiểu rủi ro bảo mật từ các cuộc tấn công như mã độc MoonPeak, các tổ chức và người dùng cần thực hiện các biện pháp sau:
- Cảnh giác với LNK Files: Tuyệt đối không mở các file shortcut (.lnk) đáng ngờ, đặc biệt là những file nhận được qua email hoặc tải xuống từ các nguồn không đáng tin cậy.
- Kiểm soát PowerShell: Giám sát và hạn chế việc thực thi các script PowerShell. Sử dụng các chính sách thực thi PowerShell và ghi nhật ký script để phát hiện hành vi bất thường.
- Giám sát lưu lượng mạng: Triển khai các hệ thống phát hiện xâm nhập (IDS) và hệ thống phòng chống xâm nhập (IPS) để phát hiện và chặn lưu lượng truy cập đến các địa chỉ C2 độc hại đã biết, như
27.102.137[.]88. - Cập nhật hệ thống bảo mật: Đảm bảo tất cả phần mềm diệt virus, EDR, và các giải pháp bảo mật khác được cập nhật liên tục với các định nghĩa mối đe dọa mới nhất.
- Đào tạo người dùng: Nâng cao nhận thức về an toàn thông tin cho người dùng về các mối đe dọa phishing, kỹ thuật lừa đảo và cách nhận diện các file độc hại.
