Một chiến dịch loader mới đã được xác định, gây ra những quan ngại nghiêm trọng trong cộng đồng an ninh mạng. Các nhà nghiên cứu đã phát hiện một hoạt động tinh vi sử dụng loader đa giai đoạn có tên OnionDrop để phân phối các payload độc hại, bao gồm cả LegionLoader, đến nhiều nạn nhân trên quy mô lớn.
Hoạt động của OnionDrop Loader
OnionDrop đã hoạt động âm thầm từ ít nhất tháng 2 năm 2026, với hơn 645 mẫu DLL độc hại duy nhất được phát hiện chỉ trong khoảng 80 ngày. Chiến dịch này vẫn còn hoạt động tại thời điểm báo cáo, cho thấy một mối đe dọa mạng dai dẳng và ngày càng tăng mà các đội ngũ phòng thủ cần chú ý.
Điều khiến loader này trở nên nổi bật không chỉ nằm ở các payload mà nó phân phối, mà còn ở mức độ phức tạp kỹ thuật phi thường được tích hợp trong chính loader. Các nhà phân tích từ Cyderes, thông qua Đội Nghiên cứu Mối đe dọa Howler Cell, đã công bố một phân tích chi tiết về OnionDrop. Họ xác định đây là thành phần thứ ba được ghi nhận trong một chiến dịch rộng lớn hơn mà họ đã theo dõi kể từ các hoạt động của CGrabber Infostealer và Direct-sys Loader.
Cyderes cho biết trong một báo cáo rằng kiến trúc né tránh được xây dựng trong OnionDrop có thể sánh ngang, và ở một số khía cạnh còn vượt trội, so với những gì thường thấy trong các công cụ quốc gia được xây dựng cho mục đích cụ thể. Điều này cho thấy sự đầu tư đáng kể vào khả năng kỹ thuật.
Payload Đa dạng và Khả năng Né tránh Cao
Điều khiến chiến dịch này đặc biệt nguy hiểm là thiết kế payload-agnostic (không phụ thuộc vào payload) của loader. OnionDrop đã được xác nhận phân phối LegionLoader (còn được theo dõi là CurlyGate), CGrabber Infostealer và Vidar Stealer trong các đợt chiến dịch khác nhau. Điều này cho thấy một tác nhân đe dọa có tổ chức cao, hoạt động với nhịp độ nhanh, thực hiện nhiều hoạt động đánh cắp thông tin đồng thời mà không có dấu hiệu chậm lại.
Các đội bảo mật được khuyến khích giám sát các chỉ số xâm phạm (IoCs) đã biết liên quan đến chiến dịch này. Hành động bao gồm chặn kết nối tới tên miền C2 đã xác định và đảm bảo các quy tắc phát hiện điểm cuối được cập nhật để gắn cờ các hành vi DLL sideloading liên quan đến các tệp thực thi được ký bởi Adobe xuất hiện bên trong các kho lưu trữ ZIP.
Chi tiết Kỹ thuật của OnionDrop
Chuỗi tấn công bắt đầu với một kho lưu trữ ZIP chứa một tệp thực thi hợp pháp được ký bởi Adobe, ban đầu có tên là AcroBroker.exe. Bên cạnh đó là hai tệp DLL độc hại có tên sqlite.dll và codecstore384d.dll.
Kho lưu trữ cũng chứa một tệp đánh lừa dung lượng 100MB có tên data.bin, được điền bằng các byte ngẫu nhiên để làm phồng dung lượng kho lưu trữ một cách giả tạo và gây khó khăn cho việc phân tích.
Khi tệp thực thi Adobe chạy, nó sẽ sideload (tải một DLL không mong đợi) sqlite.dll, sau đó nạp DLL độc hại chính. Từ đó, OnionDrop thực hiện bốn giai đoạn giải nén distinct:
- Giải mã cặp byte tùy chỉnh.
- Giải nén Xpress Huffman.
- Giải mã AES-256-CBC với vật liệu khóa xoay vòng.
- Thực thi shellcode cuối cùng thông qua việc lạm dụng Thread Pool callback qua
TpPostWork.
Mỗi giai đoạn được thiết kế để vượt qua cả sandbox tự động và quá trình xem xét thủ công của nhà phân tích. Payload cuối cùng, LegionLoader, giải mã cấu hình nhúng của nó bằng RC4 và liên lạc với máy chủ command-and-control (C2) tại gainmsg[.]com/nfront[.]php. Cơ sở hạ tầng C2 này đóng vai trò là xương sống, nơi dữ liệu bị đánh cắp và các chỉ thị tiếp theo được truyền đi.
Các nhà nghiên cứu đã xác nhận rằng cùng một chuỗi loader cũng phân phối CGrabber Infostealer và Vidar Stealer trong các đợt chiến dịch liên quan.
Các Kỹ thuật Chống Phân tích Tinh vi
Những gì tách biệt OnionDrop khỏi các loader thông thường là chiều sâu của các khả năng chống phân tích. Mã độc sử dụng kỹ thuật xây dựng chuỗi trên stack (stack-string construction) để ẩn các tên hàm nhạy cảm, phân giải chúng động tại thời điểm chạy thay vì lưu trữ chúng dưới dạng văn bản có thể đọc được.
Nó cũng sử dụng kỹ thuật API hammering, một phương pháp làm ngập dấu vết sandbox bằng các lệnh gọi API không liên quan, khiến các hệ thống tự động khó xác định hành vi độc hại thực sự hơn.
Trước khi thực thi logic cốt lõi, OnionDrop kiểm tra tên thiết bị hiển thị của hệ thống với một danh sách các chuỗi GPU hợp lệ được mã hóa cứng, chẳng hạn như INTEL, AMD, RADEON và NVIDIA. Nếu hệ thống dường như là một môi trường ảo hoặc sandbox với bộ điều hợp hiển thị không chuẩn, việc thực thi sẽ dừng lại ngay lập tức. Mức độ nhận thức về môi trường này thường liên quan đến các framework tấn công mục tiêu, chứ không phải mã độc được phân phối rộng rãi.
Giai đoạn shellcode cuối cùng sử dụng payload được tạo bởi Donut và thực thi thông qua Windows Thread Pool bằng cách lạm dụng callback TpAllocWork, một kỹ thuật cho phép bỏ qua các bản ghi theo dõi tạo luồng tiêu chuẩn mà hầu hết các công cụ bảo mật dựa vào.
Việc xoay vòng vật liệu khóa AES qua các giai đoạn thực thi càng làm tăng khả năng chống lại việc phân tích tĩnh. Tổng hợp lại, các kỹ thuật này tạo thành một bộ né tránh được thiết kế sâu sắc, phản ánh sự đầu tư rõ ràng và dài hạn từ tác nhân đe dọa đứng sau chiến dịch này.
Chỉ số Nhận diện Xâm nhập (IoCs)
Các chỉ số nhận diện xâm nhập (IoCs) cho chiến dịch này bao gồm:
- Tên tệp:
AcroBroker.exe(tệp hợp pháp),sqlite.dll,codecstore384d.dll,data.bin. - Tên miền C2:
gainmsg[.]com,nfront[.]php. - Mẫu DLL độc hại: Hơn 645 mẫu duy nhất đã được phát hiện.
- Kỹ thuật chính: DLL sideloading, giải mã nhiều lớp, API hammering, kiểm tra môi trường ảo, lạm dụng Thread Pool callback.
- Payload đã biết: LegionLoader, CGrabber Infostealer, Vidar Stealer.
Lưu ý: Địa chỉ IP và tên miền được làm mờ (ví dụ: [.]) để ngăn chặn việc phân giải hoặc liên kết ngoài ý muốn. Chỉ khôi phục định dạng đầy đủ trong các nền tảng threat intelligence được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
