Tin bảo mật mới nhất cho thấy một phishing campaign đang nhắm vào các tổ chức tài chính bằng cách giả mạo trang chia sẻ tệp Adobe Document Cloud để cài đặt âm thầm ScreenConnect trên máy nạn nhân. Kỹ thuật này kết hợp email lừa đảo, trang web giả mạo và tải xuống tệp thực thi nhằm che giấu remote access malware trong lưu lượng ứng dụng hợp lệ.
Phishing kit RatPressto và chuỗi lây nhiễm
Nhóm nghiên cứu của Fortra FIRE đã xác định bộ công cụ đứng sau chiến dịch và đặt tên là RatPressto. Bộ kit này được mô tả là có thể tái sử dụng, được duy trì riêng tư và được thiết kế để tăng mức độ tin cậy của nạn nhân đồng thời giảm khả năng bị phát hiện.
Chiến dịch bắt đầu bằng email giả lập thông báo chia sẻ tệp của Adobe Document Cloud. Nạn nhân nhận được thông báo rằng một tài liệu dự án mật đã được tải lên và được yêu cầu truy cập liên kết để xem nội dung. Đây là điểm khởi đầu của phishing campaign, đồng thời là bước dẫn người dùng đến hạ tầng trung gian.
Liên kết trong email chuyển nạn nhân tới một website WordPress bị xâm nhập. Tại đây, trang Adobe giả mạo được dựng để đánh lừa người dùng kích hoạt tải xuống mã độc mà không nhận ra.
Hai giai đoạn tải mã độc
RatPressto vận hành theo hai giai đoạn để giữ nạn nhân bị phân tâm trong khi phần tải xuống diễn ra phía sau.
- Giai đoạn 1: Trang giả hiển thị thông báo “Download Complete”, logo Adobe và hiệu ứng tải để tạo cảm giác hợp lệ.
- Giai đoạn 2: Một hidden iframe âm thầm kích hoạt tải xuống bộ cài ScreenConnect.
Trong thời gian đó, nạn nhân chỉ thấy hướng dẫn mở tệp, nhưng tệp độc hại đã được tải về trước khi họ thực hiện bất kỳ hành động nào. Cách triển khai này làm tăng hiệu quả của phishing campaign vì giảm tương tác bất thường từ phía nạn nhân.
Báo cáo tham chiếu và hạ tầng quan sát được
Theo báo cáo của Fortra, chiến dịch sử dụng hạ tầng tái sử dụng trên nhiều lần triển khai. Nhiều website bị xâm nhập chứa các trang phishing gần như giống hệt nhau, chỉ thay đổi tên tệp theo từng nạn nhân hoặc ngữ cảnh doanh nghiệp.
Điều này cho thấy một quy trình triển khai có tổ chức, với bộ công cụ được quản lý tập trung. Để đối chiếu thêm về ScreenConnect, có thể tham khảo tài liệu từ hãng tại: Fortra RatPressto phishing kit report.
Hạ tầng điều khiển
Sau khi bộ cài chạy, máy nhiễm kết nối về máy chủ command-and-control tự lưu trữ tại cloud.zistopstoabetterlife.com qua cổng 8041. Đây là một chỉ dấu quan trọng cho hoạt động hậu khai thác trong chuỗi remote access malware.
Chiến dịch cũng được ghi nhận sử dụng các kho lưu trữ GitHub dưới tài khoản creativebobo để staging payload bổ sung. Các script batch được làm rối mạnh và tự xóa sau khi thực thi nhằm giảm dấu vết.
Kỹ thuật ẩn mình trong lưu lượng hợp lệ
Điểm đáng chú ý của phishing campaign này là việc lạm dụng phần mềm hợp pháp để hoạt động dưới radar. Thay vì dùng mã độc tùy biến dễ phát hiện, kẻ tấn công tận dụng ScreenConnect, một công cụ quản trị từ xa phổ biến, để giành quyền điều khiển máy bị nhiễm.
Việc “hòa lẫn” hoạt động độc hại vào lưu lượng phần mềm doanh nghiệp làm giảm hiệu quả của cơ chế phát hiện dựa trên chữ ký hoặc hành vi cơ bản. Trong thực tế, điều này khiến các hệ thống giám sát khó phân biệt giữa hoạt động quản trị hợp lệ và xâm nhập trái phép.
Các tên tệp tải xuống cũng được tùy biến theo bối cảnh doanh nghiệp của nạn nhân, ví dụ chèn tên công ty vào tên bộ cài. Cách làm này tăng độ tin cậy của chuỗi lây nhiễm và là đặc trưng thường thấy trong các phishing campaign có chủ đích.
WordPress bị lạm dụng làm nền tảng phát tán
Một phần trọng yếu của chiến dịch là việc khai thác các website WordPress cấu hình kém an toàn để lưu trữ phishing kit. Nhiều trang bị xâm nhập có giao diện quản trị WordPress lộ công khai, cho thấy kẻ tấn công có thể đã dùng thông tin xác thực bị đánh cắp hoặc khai thác plugin dễ tổn thương để truy cập và tải trực tiếp tệp độc hại lên máy chủ.
Các tệp của phishing kit, gồm download.html, complete.php và download.php, được triển khai vào các thư mục mà WordPress có thể truy cập. Mô hình này lặp lại trên nhiều website không liên quan, củng cố nhận định rằng đây là một quy trình triển khai có chủ đích trong phishing campaign.
IOC quan sát được
- Domain C2: cloud.zistopstoabetterlife.com
- Port: 8041
- GitHub account: creativebobo
- Phishing kit: RatPressto
- Tệp triển khai: download.html, complete.php, download.php
Các chỉ dấu này phù hợp để tích hợp vào threat intelligence, hệ thống IDS hoặc quy trình săn tìm mối đe dọa trong nội bộ.
Biện pháp phát hiện và giám sát
Để giảm rủi ro từ phishing campaign kiểu này, cần theo dõi các kết nối ra ngoài đến TCP port 8041 và rà soát các tiến trình msiexec khởi chạy từ thư mục tạm. Hai dấu hiệu này được xem là chỉ báo tương đối đáng tin cậy cho chuỗi lây nhiễm đã mô tả.
Đồng thời, hệ thống giám sát nên phát hiện các lần tải xuống bộ cài từ trang giả mạo Adobe, đặc biệt khi hành vi bắt đầu từ email chia sẻ tài liệu. Việc đối chiếu với log truy cập web, log DNS và tiến trình trên máy trạm sẽ hỗ trợ phát hiện sớm xâm nhập mạng.
Kiểm tra môi trường WordPress
Các quản trị viên nên rà soát môi trường WordPress để tìm giao diện quản trị bị lộ và tắt truy cập công khai vào wp-admin nếu có thể. Đồng thời, cần bật multi-factor authentication cho mọi tài khoản quản trị để giảm khả năng bị chiếm quyền sau khi lộ thông tin xác thực.
curl -I https://example.com/wp-admin/
find /var/www/html -name "download.php" -o -name "complete.php" -o -name "download.html"
Trong trường hợp cần săn tìm thêm, nên kiểm tra các thư mục có quyền ghi bất thường, các tệp mới được đẩy lên gần thời điểm email lừa đảo được phát tán, và các kết nối ra ngoài trùng với hạ tầng C2 đã nêu.
Khả năng phát hiện trong chuỗi tấn công
Chiến dịch này không dựa trên zero-day vulnerability, nhưng thể hiện mức độ tinh vi cao ở khâu lừa người dùng và che giấu hoạt động. Vì vậy, trọng tâm phòng thủ nằm ở việc phát hiện sớm phishing campaign, kiểm soát bề mặt tấn công WordPress và giám sát lưu lượng đến hạ tầng điều khiển.
Việc phát hiện các cài đặt ScreenConnect không mong muốn, đặc biệt khi đi kèm kết nối đến cloud.zistopstoabetterlife.com:8041, cần được đưa vào quy trình phát hiện xâm nhập. Các dấu vết từ tiến trình, network telemetry và thay đổi tệp trên máy chủ WordPress là nguồn dữ liệu chính để xác minh sự cố.
