Tin tức bảo mật mới ghi nhận một chiến dịch malware mô-đun đang nhắm vào các lãnh đạo cấp cao và điều tra viên an ninh mạng tại Đông Nam Á. Mã độc được triển khai dưới dạng Remote Access Trojan (RAT), có khả năng đánh cắp thông tin xác thực, chụp màn hình và duy trì bám trụ sâu trên hệ thống bị xâm nhập.
Chiến dịch Operation GriefLure và phạm vi tấn công mạng
Chiến dịch này, được đặt tên là Operation GriefLure, vận hành đồng thời hai nhánh tấn công mạng. Nhánh thứ nhất nhắm vào lĩnh vực viễn thông liên quan đến quân đội tại Việt Nam và nhánh thứ hai nhắm vào ngành y tế tại Philippines.
Theo báo cáo phân tích của Seqrite Labs, toàn bộ chuỗi xâm nhập có thể hoàn tất trong chưa đầy 10 giây, với rất ít hoặc không có dấu hiệu trực quan cho nạn nhân. Tham khảo báo cáo gốc tại Seqrite Labs.
Kỹ thuật mồi nhử và phát tán
Mã độc được phát tán qua email spear phishing có chủ đích, kèm theo một chuỗi nén lồng nhau. Điểm đáng chú ý của malware campaign này là nội dung mồi nhử sử dụng tài liệu pháp lý có thật được lấy từ một vụ rò rỉ dữ liệu đang diễn ra, bao gồm báo cáo công an đã ký, thư thừa nhận của doanh nghiệp và hồ sơ y tế cá nhân.
Người dùng mở tệp nén sẽ thấy một tài liệu hợp lệ trên màn hình, trong khi hoạt động độc hại được thực thi âm thầm phía sau. Cách tiếp cận này làm giảm hiệu quả của nhận biết thủ công và nhiều cơ chế phát hiện xâm nhập dựa trên hành vi người dùng.
Chuỗi lây nhiễm và cơ chế thực thi
Chuỗi lây nhiễm của malware campaign này được thiết kế để vượt qua nhiều công cụ bảo mật thông thường. Payload không được lưu dưới dạng một tệp hoàn chỉnh trong archive, mà được chia thành các mảnh nhị phân ngụy trang dưới dạng tài liệu thông thường.
Các mảnh này được ghép lại trong thời gian chạy bằng lệnh sao chép gốc của Windows. Một cơ chế dựa trên thời gian làm thay đổi hash của payload ở mỗi lần thực thi, qua đó làm giảm hiệu quả của quét dựa trên chữ ký.
Tiêm tiến trình và ngụy trang
Thành phần cuối cùng của payload được inject vào một tiến trình Windows đáng tin cậy, khiến hoạt động trông giống như lưu lượng hệ thống bình thường. Đây là một trong các kỹ thuật giúp malware campaign giảm khả năng bị phát hiện bởi công cụ giám sát và phân tích forensic.
Trong quá trình hoạt động, mã độc cũng kiểm tra các tiến trình đang chạy để xây dựng hồ sơ về các sản phẩm bảo mật đã cài đặt, sau đó điều chỉnh hành vi nhằm tránh bị chú ý.
Khả năng của modular RAT
Trọng tâm kỹ thuật của chiến dịch là một modular RAT đa năng. Khi đã được nạp vào bộ nhớ, nó thu thập thông tin xác thực từ trình duyệt web, bao gồm dữ liệu đăng nhập lưu trong Chrome, cookie và lịch sử duyệt web.
Mã độc cũng nhắm tới cấu hình của các ứng dụng FTP, công cụ truy cập từ xa như Sunlogin và ToDesk, cùng các tệp phiên SSH từ Xshell. Điều này khiến malware campaign đặc biệt nguy hiểm với môi trường quản trị có đặc quyền.
Chụp màn hình và trinh sát hệ thống
Module chụp màn hình lấy kích thước toàn bộ màn hình, hỗ trợ cấu hình đa màn hình và tự điều chỉnh độ phân giải ảnh dựa trên điều kiện mạng trước khi gửi ảnh BMP tái tạo về máy chủ command-and-control. Đây là cơ chế thường thấy trong các remote access trojan có khả năng giám sát thời gian thực.
Mã độc cũng có thể nhận diện danh sách sản phẩm bảo mật đang hoạt động, từ đó né tránh hoặc giảm hoạt động khi phát hiện môi trường có phòng thủ mạnh.
Cơ chế C2, IOC và hạ tầng điều khiển
Hạ tầng điều khiển của malware campaign sử dụng domain hardcoded whatsappcenter[.]com và địa chỉ IP 38[.]54[.]122[.]188. Máy chủ này được ghi nhận nằm trong hạ tầng có khả năng chống lạm dụng, thường được gắn với mức độ ẩn danh và bền vững cao.
Để đối chiếu chỉ báo và kiểm tra thêm, có thể tham khảo cơ sở dữ liệu cảnh báo công khai của NVD khi triển khai đối chiếu IOC trong quy trình threat intelligence nội bộ.
IOC trích xuất
- Domain C2: whatsappcenter[.]com
- IP C2: 38[.]54[.]122[.]188
- Kỹ thuật phát tán: spear phishing, nested compressed archive
- Kỹ thuật né tránh: ghép payload theo mảnh, thay đổi hash theo thời gian, inject vào tiến trình tin cậy
- Phạm vi mục tiêu: viễn thông, y tế, điều tra an ninh mạng, nhóm quản trị hệ thống
Hành vi thu thập dữ liệu và dấu hiệu thỏa hiệp
Trong phần thu thập dữ liệu, modular RAT mở rộng phạm vi sang các thông tin có giá trị cao như cookie, lịch sử trình duyệt, cấu hình công cụ truy cập từ xa và dữ liệu phiên SSH. Ngoài ra, nó còn nhắm vào dữ liệu nhắn tin và các nguồn thông tin nội bộ khác được lưu trên máy trạm.
Yếu tố này cho thấy malware campaign không chỉ nhằm duy trì truy cập mà còn phục vụ đánh cắp dữ liệu và chiếm quyền điều khiển kéo dài. Môi trường có tài khoản đặc quyền, máy trạm vận hành tài nguyên nhạy cảm hoặc hệ thống quản trị từ xa là nhóm rủi ro cao.
Dấu hiệu cần giám sát
- Thực thi tệp LNK gọi ftp.exe.
- Tiến trình tạo các tệp tài liệu dạng chunk trong thư mục Public.
- explorer.exe được khởi chạy lại trong ngữ cảnh bảo mật bị hạn chế.
- Hoạt động inject vào tiến trình Windows hợp lệ.
- Kết nối tới domain và IP C2 đã biết.
Yêu cầu ứng phó và phát hiện xâm nhập
Nhóm an ninh nên chặn domain và IP C2 đã xác định, đồng thời theo dõi các chuỗi thực thi bất thường liên quan đến file LNK, ftp.exe và hành vi ghi tệp dạng mảnh vào thư mục công cộng. Việc giám sát tiến trình cha-con và trạng thái tái sinh của explorer.exe cũng là một tín hiệu quan trọng để phát hiện xâm nhập.
Vì malware campaign này lạm dụng tài liệu thật và binary hệ thống tin cậy, các biện pháp đào tạo người dùng đơn thuần không đủ để ngăn chặn. Cần kết hợp IDS, phân tích hành vi, giám sát kết nối C2 và kiểm tra IOC định kỳ trong SIEM hoặc nền tảng threat intelligence.
Liên hệ kỹ thuật với cấu trúc chiến dịch
Seqrite Labs đánh giá chiến dịch có mức tin cậy trung bình đến cao về liên kết hạ tầng, chuỗi thực thi và mẫu chọn mục tiêu. Một số dấu hiệu kỹ thuật hỗ trợ đánh giá này gồm danh sách phát hiện bảo mật nhúng trong mã độc, hạ tầng máy chủ chịu lỗi lạm dụng và việc nhắm trực tiếp vào dữ liệu người dùng có đặc quyền.
Trong bối cảnh này, malware campaign cần được xử lý như một mối đe dọa đang hoạt động, với trọng tâm là chặn IOC, kiểm tra chuỗi thực thi bất thường và rà soát điểm bám trụ trên máy nạn nhân.
