Tin bảo mật mới nhất về TamperedChef cho thấy một chiến dịch mối đe dọa mạng đang phát tán mã độc được ngụy trang thành công cụ năng suất quen thuộc, từ đó đánh cắp thông tin xác thực và cho phép kẻ tấn công điều khiển từ xa hệ thống bị nhiễm.
TamperedChef, EvilAI Và Mô Hình Phân Phối Mã Độc
TamperedChef, còn được gọi là EvilAI, là một họ mã độc ransomware theo mô hình phát tán qua ứng dụng hợp lệ bề ngoài, nhưng chứa mã độc bên trong. Nhiều chiến dịch được theo dõi từ đầu năm 2023 đã nhúng payload vào các ứng dụng như trình chỉnh sửa PDF, ứng dụng lịch, công cụ giải nén ZIP và trình tạo ảnh GIF.
Các ứng dụng này vẫn hoạt động đúng như mô tả, khiến nạn nhân ít nghi ngờ. Sau khi được cài đặt, chúng có thể nằm im trên thiết bị trong nhiều tuần hoặc nhiều tháng trước khi kích hoạt hành vi độc hại, làm giảm hiệu quả của các công cụ bảo mật tiêu chuẩn.
Đọc báo cáo gốc tại Unit 42.
Quy Mô Chiến Dịch Và Nhóm Theo Dõi
Các nhà nghiên cứu đã theo dõi hàng trăm chiến dịch liên quan đến TamperedChef và chia thành ba cụm hoạt động: CL-CRI-1089, CL-UNK-1090 và CL-UNK-1110. Báo cáo ghi nhận hơn 4.000 mẫu duy nhất và hơn 100 biến thể khác nhau.
Mức độ lây nhiễm được ghi nhận trong hơn 50% môi trường doanh nghiệp được giám sát trên phạm vi toàn cầu. Quy mô này cho thấy đây là một chiến dịch được đầu tư dài hạn, không giống các hoạt động adware thông thường.
Cách TamperedChef Lạm Dụng Chữ Ký Số
Điểm đáng chú ý của lỗ hổng CVE theo góc nhìn vận hành ở đây không phải là một CVE cụ thể, mà là sự lạm dụng niềm tin vào phần mềm đã ký. TamperedChef sử dụng code-signing certificate hợp lệ để payload trông đáng tin cậy hơn với người dùng và hệ thống bảo vệ.
Nghiên cứu cho thấy một cụm hoạt động đã chi hơn 10.000 USD chỉ cho chứng chỉ ký mã. Ngoài ra, cụm CL-CRI-1089 được truy vết tới 34 thực thể ký mã duy nhất, liên kết qua việc dùng chung chứng chỉ, mã nguồn chồng lấp và phân tích cấu trúc doanh nghiệp.
Việc sử dụng chữ ký số hợp lệ làm giảm hiệu quả của nhiều lớp phòng thủ mặc định, vì phần mềm đã ký thường được đánh giá là tin cậy hơn trong quá trình phát hiện xâm nhập.
Mô Hình Website Phân Phối
Trang tải xuống của chiến dịch được xây dựng chuyên nghiệp, có điều khoản pháp lý, trang liên hệ và nút tải xuống một chạm trên các miền trông hợp lệ. Một số chiến dịch còn dùng công cụ tạo nội dung hỗ trợ tự động hóa để triển khai hàng loạt website phân phối với cấu trúc mã khác nhau nhưng giao diện tương tự.
Điều này giúp lỗ hổng zero-day không phải là yếu tố chính trong chuỗi tấn công này; thay vào đó, trọng tâm nằm ở kỹ thuật ngụy trang phần mềm và vượt qua đánh giá tin cậy của người dùng.
Lỗ Hổng CVE Trong Bối Cảnh Chiến Dịch Này
Không có CVE nghiêm trọng cụ thể nào được nêu trong nội dung gốc. Thay vào đó, rủi ro bảo mật đến từ việc người dùng cài đặt phần mềm giả mạo hợp lệ và từ khả năng mã độc duy trì ẩn trong thời gian dài trước khi triển khai payload giai đoạn hai.
Vì vậy, đây là dạng cảnh báo CVE theo nghĩa vận hành an ninh mạng, chứ không phải một lỗ hổng sản phẩm đơn lẻ. Các công cụ EDR/AV có thể bỏ sót nếu chỉ dựa vào uy tín của chữ ký số hoặc bề ngoài của ứng dụng.
Payload: Stealer, RAT Và Adware
Ngay khi TamperedChef được kích hoạt, payload có thể rơi vào một trong hai nhóm chính. Nhóm đầu là adware và browser hijacker, có khả năng chuyển hướng tìm kiếm và kiểm soát hành vi duyệt web.
Nhóm thứ hai nghiêm trọng hơn gồm information stealer và remote access Trojan (RAT), nhắm vào thông tin đăng nhập đã lưu và cho phép điều khiển hệ thống từ xa.
Trong một số chiến dịch, payload giai đoạn hai được tải xuống thông qua kết nối API sau nhiều tuần kể từ khi cài đặt, khiến việc truy vết và liên kết với sự kiện ban đầu trở nên khó khăn hơn.
Chiến Dịch Calendaromatic Và AppSuite
Chiến dịch Calendaromatic sử dụng một self-extracting archive chứa ứng dụng lịch có chức năng đầy đủ, đồng thời giấu một RAT bên trong. Sau khi hoạt động, RAT này liên hệ với máy chủ điều khiển và tải thêm payload giai đoạn hai để mở rộng mức độ xâm nhập trái phép.
Trong chiến dịch AppSuite, nghiên cứu cũng ghi nhận proxy-style malware chuyển hướng lưu lượng qua máy nạn nhân. Cụm CL-CRI-1089 cho thấy hành vi đánh cắp thông tin xác thực mạnh hơn, trong khi CL-UNK-1090 thiên về payload dạng in-memory để lại ít dấu vết trên đĩa.
IOC Và Dấu Hiệu Nhận Diện
Nội dung gốc có đề cập đến IOC theo dạng kỹ thuật và cụm hoạt động. Không có danh sách IP hay domain cụ thể được cung cấp trong dữ liệu đầu vào.
- CL-CRI-1089: Cụm hoạt động liên quan đến hành vi đánh cắp thông tin xác thực mạnh hơn.
- CL-UNK-1090: Cụm hoạt động ưu tiên payload in-memory và có ít dấu vết trên đĩa.
- CL-UNK-1110: Cụm hoạt động khác được theo dõi trong cùng chiến dịch.
- TamperedChef: Tên chiến dịch/mã độc chính.
- EvilAI: Tên gọi khác của chiến dịch.
Theo ghi chú kỹ thuật, các IP và domain được làm mờ để tránh tự động phân giải. Chỉ nên giải mã trong môi trường threat intelligence kiểm soát như MISP, VirusTotal hoặc SIEM.
Ảnh Hưởng Hệ Thống Và Rủi Ro Bảo Mật
Tác động chính của mối đe dọa mạng này gồm đánh cắp credentials, chiếm quyền điều khiển từ xa, thao túng trình duyệt và khả năng tải payload giai đoạn hai để mở rộng kiểm soát.
Do các ứng dụng vẫn chạy đúng chức năng, nạn nhân thường không nghi ngờ việc đã cài đặt phần mềm độc hại. Điều này làm tăng rủi ro an toàn thông tin đối với cả máy trạm cá nhân và môi trường doanh nghiệp.
Với các payload dạng RAT, kẻ tấn công có thể thực thi lệnh từ xa trên hệ thống bị xâm nhập, trong khi stealer tập trung vào dữ liệu đăng nhập đã lưu và các thông tin nhạy cảm khác.
Biện Pháp Phát Hiện Xâm Nhập Và Xử Lý
Để giảm nguy cơ bảo mật, đội ngũ bảo mật cần đảm bảo các công cụ endpoint detection luôn được cập nhật trên toàn bộ thiết bị. Đồng thời, nên cân nhắc sử dụng enterprise browser có khả năng chặn tải xuống độc hại trước khi đến người dùng.
Đào tạo nhân viên nhận diện phần mềm lạ là cần thiết, kể cả khi website tải xuống trông chuyên nghiệp và hợp lệ. Đây là bước quan trọng trong phát hiện xâm nhập ở giai đoạn sớm.
Nếu xác nhận nhiễm, cần cách ly tệp liên quan, gỡ bỏ cơ chế bám trụ như scheduled task, đặt lại mật khẩu của tài khoản bị ảnh hưởng và rà soát log truy cập để kiểm tra việc sử dụng sai thông tin xác thực đã bị đánh cắp.
CLI Và Hành Động Ứng Phó
# Kiểm tra scheduled tasks trên Windows
schtasks /query /fo LIST /v
# Liệt kê tiến trình khả nghi
tasklist /v
# Kiểm tra kết nối mạng đang mở
netstat -anoCác lệnh trên chỉ hỗ trợ kiểm tra ban đầu. Trong quá trình phản ứng sự cố, cần đối chiếu với nhật ký EDR, proxy và xác thực để xác định mức độ rò rỉ dữ liệu nhạy cảm.
Từ Góc Nhìn Threat Intelligence
Chiến dịch này cho thấy một mô hình phối hợp giữa phân phối phần mềm, ký mã hợp lệ và tải payload nhiều giai đoạn. Đây là dạng tin tức an ninh mạng cần được theo dõi sát vì nó tận dụng lòng tin mặc định vào ứng dụng hợp lệ.
Những đặc điểm kỹ thuật nổi bật gồm: thời gian ẩn nấp dài, payload chờ kích hoạt, sử dụng chứng chỉ ký mã, và khả năng phát tán trên quy mô lớn qua website giả mạo công cụ năng suất. Những yếu tố này làm tăng rủi ro bảo mật trong cả môi trường cá nhân lẫn doanh nghiệp.
