Tin tức bảo mật mới liên quan đến một chiến dịch supply chain cho thấy nhóm đe dọa liên kết với ScarCruft đã cài backdoor vào cả phiên bản Windows và Android của nền tảng game sqgame. Mục tiêu là thu thập dữ liệu cá nhân từ người dùng trong hệ sinh thái game, đồng thời che giấu hoạt động xâm nhập mạng trong một dịch vụ vốn được tin cậy.
Chiến dịch supply chain trên nền tảng sqgame
Sqgame là dịch vụ cung cấp các trò chơi bài và board game theo chủ đề Yanbian cho người dùng Windows, Android và iOS. Theo phân tích, nhóm tấn công không khai thác trực tiếp mã nguồn game, mà truy cập vào web server của nền tảng rồi đóng gói lại các tệp game gốc với mã độc.
Cách tiếp cận này biến một nền tảng hợp pháp thành kênh phân phối payload, làm tăng nguy cơ bảo mật vì người dùng tải ứng dụng từ nguồn có vẻ đáng tin cậy. Đây là dạng lỗ hổng chuỗi cung ứng phần mềm ở cấp phát hành, thay vì lỗi trong logic ứng dụng.
Backdoor BirdCall trên Android và Windows
Hai trò chơi Android trên website sqgame đã bị trojan hóa để mang theo backdoor BirdCall. Bản Windows bị tác động thông qua một gói cập nhật độc hại. Biến thể iOS không ghi nhận dấu hiệu bị sửa đổi, phù hợp với việc quy trình kiểm duyệt của nền tảng này khiến việc cài cắm mã độc khó hơn.
BirdCall trên Android có tên nội bộ là zhuagou. Mã độc chạy ẩn dưới bề mặt ứng dụng, sau đó trả quyền điều khiển cho game hợp lệ để giảm khả năng bị phát hiện xâm nhập.
Hành vi trên Android
Trong tệp AndroidManifest.xml đã bị sửa, điểm khởi chạy của ứng dụng được chuyển hướng sang mã của backdoor. Khi người dùng mở game, backdoor khởi chạy trong nền trước khi ứng dụng thật tiếp tục hoạt động.
Ở lần chạy đầu, backdoor thực hiện các bước thu thập dữ liệu:
- Liệt kê toàn bộ thư mục trong shared storage.
- Thu thập contacts, call logs và SMS.
- Đọc RAM, IMEI, IP address, MAC address và geolocation.
- Chụp ảnh màn hình và sao chép tệp theo phần mở rộng mục tiêu.
Các định dạng tệp bị nhắm tới gồm .jpg, .doc, .pdf, .xls, .xlsx, .ppt, .pptx, .txt, .hwp, .m4a và .p12.
Kênh điều khiển sử dụng HTTPS và kết nối tới các tài khoản Zoho WorkDrive. Nghiên cứu ghi nhận 12 drive khác nhau được dùng trong chiến dịch. Một số biến thể còn bật ghi âm qua microphone trong khung giờ từ 19:00 đến 22:00 theo giờ địa phương.
Hành vi trên Windows
Trên Windows, mã độc được nhúng trong tệp mono.dll của gói cập nhật sqgame. Một downloader trong thư viện này kiểm tra các công cụ phân tích và môi trường ảo trước khi tải shellcode từ một website bị xâm nhập có chứa RokRAT.
Sau khi thả payload, thành phần tải xuống tự thay thế bằng bản sạch để xóa dấu vết. RokRAT tiếp tục cài đặt đầy đủ BirdCall backdoor lên máy nạn nhân.
Chuỗi tấn công và kỹ thuật né phát hiện
Chuỗi tấn công cho thấy cách một chiến dịch lỗ hổng zero-day hoặc khai thác trực tiếp không phải lúc nào cũng cần thiết để đạt mục tiêu; thay vào đó, kẻ tấn công có thể lợi dụng tầng phân phối phần mềm. Trong trường hợp này, mã độc được chèn vào gói game và gói cập nhật, khiến người dùng khó nhận biết.
Phần Windows kiểm tra phân tích động và môi trường sandbox trước khi tiếp tục tải shellcode. Đây là dấu hiệu điển hình của hành vi né phát hiện trong các mối đe dọa mạng có chủ đích.
Đọc báo cáo kỹ thuật gốc tại WeLiveSecurity.
IOC cần lưu ý
Các IOC được ESET công bố đầy đủ trong kho GitHub phục vụ threat hunting. Từ nội dung đã nêu, có thể trích xuất các nhóm chỉ dấu sau:
- Tên backdoor: BirdCall.
- Tên nội bộ Android: zhuagou.
- Payload Windows giai đoạn đầu: RokRAT.
- Hạ tầng C2: Zoho WorkDrive accounts qua HTTPS.
- Tệp bị sửa trên Android: AndroidManifest.xml.
- Tệp bị trojan hóa trên Windows: mono.dll.
Để đối chiếu chỉ dấu bổ sung, có thể tham khảo kho IOC trên GitHub của ESET và tài liệu phân tích liên quan. Đây là dữ liệu quan trọng cho phát hiện xâm nhập và rà soát rủi ro an toàn thông tin trong môi trường endpoint.
Ảnh hưởng hệ thống
Chiến dịch này ảnh hưởng trực tiếp đến tính toàn vẹn của ứng dụng và độ tin cậy của kênh phân phối. Người dùng cài game từ nền tảng bị xâm nhập có thể bị theo dõi âm thầm, bị thu thập dữ liệu cá nhân, và bị trích xuất tệp nhạy cảm từ thiết bị.
Với Windows, quy trình cập nhật bị lạm dụng để đưa shellcode và backdoor vào máy nạn nhân. Với Android, ứng dụng hợp lệ bị chỉnh sửa ở cấp manifest để thực thi mã độc trong nền. Đây là dạng hệ thống bị tấn công mà dấu vết ban đầu có thể rất khó nhận ra nếu không kiểm tra chữ ký, hash và hành vi mạng.
Biện pháp kiểm tra và giảm thiểu
Người dùng chỉ nên cài ứng dụng từ nguồn tin cậy và duy trì bản vá bảo mật cho thiết bị. Điều này đặc biệt quan trọng với nền tảng phát tán game hoặc ứng dụng bên thứ ba, nơi cập nhật bản vá có thể bị thay thế bằng gói cài đặt độc hại.
Đội ngũ an ninh mạng nên giám sát lưu lượng HTTPS bất thường từ ứng dụng game tới dịch vụ cloud, đặc biệt khi app có hành vi tải dữ liệu hoặc tương tác với kho lưu trữ trực tuyến.
Checklist rà soát nhanh
- Đối chiếu hash của gói cài đặt và gói cập nhật.
- Kiểm tra thay đổi bất thường trong AndroidManifest.xml.
- Giám sát kết nối ra ngoài tới các dịch vụ cloud không phù hợp với chức năng ứng dụng.
- Phân tích tiến trình Windows tải shellcode hoặc thư viện bị chỉnh sửa.
- Sử dụng IOC từ báo cáo gốc để cập nhật quy tắc phát hiện trên IDS và EDR.
Tham chiếu thêm: NVD – National Vulnerability Database
