Một trojan truy cập từ xa (RAT) mới được phân tích có tên PHANTOMPULSE đang thu hút sự chú ý nghiêm trọng nhờ phương pháp tinh vi để xâm phạm các hệ thống Windows. Mã độc này là giai đoạn cuối cùng trong một chuỗi tấn công rộng lớn hơn được gọi là REF6598, một nhóm mối đe dọa đang tích cực nhắm mục tiêu vào lĩnh vực tiền điện tử. Điều làm cho PHANTOMPULSE đặc biệt nguy hiểm là cách nó kết hợp nhiều kỹ thuật tiên tiến để né tránh hầu hết các công cụ bảo mật. Phát hiện này là một phần của các tin tức bảo mật quan trọng cần được các tổ chức lưu tâm.
Tổng quan về PHANTOMPULSE
Cuộc tấn công bắt đầu khi nạn nhân bị nhắm mục tiêu thông qua việc lạm dụng các plugin Obsidian, một công cụ phổ biến trong giới nhà phát triển và nhà nghiên cứu. Sau khi thiết lập được điểm truy cập, một bộ nạp mã trong bộ nhớ có tên PHANTOMPULL sẽ triển khai implant PHANTOMPULSE lên hệ thống bị xâm phạm. Từ thời điểm đó, RAT sẽ đảm nhận quyền kiểm soát, thiết lập sự tồn tại dai dẳng, né tránh phát hiện và mở một kênh liên lạc trở lại cho kẻ điều khiển.
Các nhà phân tích tại Elastic Security Labs đã xác định và ghi nhận PHANTOMPULSE trong một báo cáo kỹ thuật đảo ngược chi tiết. Báo cáo này nêu bật những khả năng đáng lo ngại của lỗ hổng CVE tiềm ẩn mà PHANTOMPULSE có thể khai thác.
Các kỹ thuật né tránh tiên tiến
Theo báo cáo của Elastic Security Labs, implant này mang theo ba kỹ thuật tiêm mã tiến trình riêng biệt, một kênh chỉ huy và kiểm soát dựa trên blockchain, cùng với phương pháp vượt qua UAC (User Account Control) để nâng cao đặc quyền một cách âm thầm mà không kích hoạt các cảnh báo bảo mật tiêu chuẩn. Mã độc cũng thể hiện dấu hiệu rõ ràng của việc phát triển có sự hỗ trợ của AI, điều này có thể nhìn thấy qua các chuỗi gỡ lỗi nội bộ có cấu trúc cẩn thận và nhiều thông tin.
PHANTOMPULSE cung cấp ba phương pháp tiêm mã khác nhau, mỗi phương pháp được thiết kế cho một loại payload khác nhau.
PhantomInject
Shellcode được tiêm bằng một kỹ thuật gọi là PhantomInject, phương pháp này ghi đè lên một DLL hợp pháp của Windows có tên dbghelp.dll thay vì cấp phát bộ nhớ thực thi mới. Điều này làm cho luồng được tiêm mã có vẻ như nằm bên trong một tệp Windows đáng tin cậy, giúp nó né tránh các trình quét bộ nhớ.
DbgNexum
Đối với các payload thực thi, mã độc sử dụng một phương pháp gọi là DbgNexum. Kỹ thuật này được lấy trực tiếp từ một bằng chứng khái niệm công khai được công bố trên GitHub. Nó điều khiển việc thực thi thông qua Windows Debug API từng ngoại lệ một, do đó không yêu cầu ghi bộ nhớ trực tiếp vào tiến trình mục tiêu.
Manual Mapping
Các payload DLL được xử lý thông qua một quy trình ánh xạ thủ công hoàn chỉnh, loại bỏ các PE header khỏi bộ nhớ, xóa bỏ các dấu vết pháp y phổ biến.
Vượt qua UAC và thiết lập sự tồn tại
Phương pháp vượt qua UAC dựa trên một kỹ thuật đã được ghi nhận, được liệt kê là vấn đề UACME #129. Nó khai thác một giao diện COM của Windows cung cấp cho những người gọi không phải quản trị viên một phiên bản nâng cao. Mã độc sử dụng điều này để đăng ký một tác vụ được lập lịch có đặc quyền cao, sau đó khởi chạy lại chính nó với quyền quản trị viên đầy đủ.
Nếu phương pháp này thất bại, PHANTOMPULSE sẽ quay trở lại việc tạo ra một tiến trình proxy rundll32 để thử lại việc nâng quyền với nhiều biến thể đăng ký khác nhau.
Kênh Chỉ huy và Kiểm soát Độc đáo
Một trong những khía cạnh khác thường nhất của PHANTOMPULSE là cách nó xác định vị trí máy chủ chỉ huy và kiểm soát (C2). Thay vì sử dụng các tên miền được mã hóa cứng hoặc DNS fast-flux, nó đọc trường đầu vào của giao dịch mới nhất từ một ví tiền điện tử cụ thể trên ba mạng blockchain: Ethereum, Base và Optimism. URL này được mã hóa XOR bằng địa chỉ ví làm khóa, và implant sẽ quay về một tên miền bảng điều khiển được mã hóa cứng nếu việc phân giải blockchain thất bại.
Điều đáng chú ý từ góc độ của người phòng thủ là trình phân giải không chứa bất kỳ xác minh người gửi nào. Bất kỳ ai đăng một giao dịch lên ví mục tiêu với URL được mã hóa XOR của riêng họ sẽ chuyển hướng mọi phiên bản PHANTOMPULSE đang thăm dò đến máy chủ của họ. Điều này có nghĩa là một giao dịch blockchain duy nhất về mặt lý thuyết có thể làm giảm hiệu quả toàn bộ chiến dịch, một tùy chọn khả thi và chi phí thấp cho những người phòng thủ mạng.
Chỉ số về sự xâm nhập (IoCs)
Các tổ chức trong lĩnh vực tiền điện tử được khuyến cáo mạnh mẽ theo dõi các tác vụ được lập lịch đáng ngờ, đặc biệt là những tác vụ chạy dưới đường dẫn của Microsoft Windows .NET Framework. Nhóm bảo mật cũng nên theo dõi rundll32.exe thực thi với các đối số bất thường và gắn cờ bất kỳ hành vi can thiệp nào dựa trên điểm ngắt phần cứng với các API bảo mật của Windows.
Elastic đã phát hành các quy tắc phát hiện YARA dưới định danh Windows.Trojan.PhantomPulse để hỗ trợ những người săn tìm mối đe dọa.
Các chỉ số về sự xâm nhập (IoCs) tiềm năng bao gồm:
- Mã khai thác (Exploit): Lạm dụng plugin Obsidian, kỹ thuật vượt qua UAC (UACME #129), PhantomInject, DbgNexum, Manual Mapping.
- Cơ chế C2: Sử dụng giao dịch blockchain (Ethereum, Base, Optimism) để phân giải URL C2, mã hóa XOR với địa chỉ ví làm khóa.
- Các kỹ thuật né tránh: Tiêm mã tiến trình, ghi đè DLL hợp pháp (
dbghelp.dll), loại bỏ PE headers, sử dụng Windows Debug API.
Việc hiểu rõ các kỹ thuật này là rất quan trọng để nâng cao an ninh mạng và bảo vệ hệ thống khỏi các mối đe dọa tinh vi.
Để có thêm thông tin chi tiết về các kỹ thuật và các biện pháp phòng ngừa, vui lòng tham khảo báo cáo gốc từ Elastic Security Labs: Elastic Security Labs Report.
