AsyncRAT: Nguy Hiểm Cũ Với Thủ Đoạn Xâm Nhập Mạng Mới

AsyncRAT: Nguy Hiểm Cũ Với Thủ Đoạn Xâm Nhập Mạng Mới

AsyncRAT đang quay trở lại với một phương thức tấn công mới, khai thác các dịch vụ đám mây đáng tin cậy như Dropbox và Cloudflare Tunnels để ẩn mình. Kỹ thuật này cho phép tin tặc chiếm quyền điều khiển máy tính bị lây nhiễm mà ít bị các công cụ bảo mật phát hiện. Đây là một ví dụ điển hình về xu hướng lạm dụng cơ sở hạ tầng hợp pháp cho các hoạt động độc hại, một điểm nổi bật trong tin tức bảo mật gần đây.

Phương thức phân phối mới của AsyncRAT

Chiến dịch tấn công này sử dụng một phương thức phân phối tinh vi, bắt đầu bằng một email lừa đảo (phishing) với chủ đề hóa đơn. Email này chứa một liên kết Dropbox độc hại. Khi người dùng nhấp vào liên kết, một chuỗi các hành động tải xuống sẽ được kích hoạt.

Lộ trình tấn công chi tiết

Ban đầu, người dùng nhận được một email lừa đảo chứa thông báo về hóa đơn. Email này có một nút bấm bằng tiếng Đức với nội dung yêu cầu tải xuống hóa đơn.

Việc nhấp vào liên kết Dropbox trong email sẽ dẫn đến việc tải xuống một tệp ZIP. Tệp ZIP này chứa một phím tắt Internet (LNK file).

Khi tệp LNK được mở, nó sẽ sử dụng PowerShell để tải xuống một tệp JavaScript từ một tên miền phụ của Cloudflare Tunnels.

Tệp JavaScript này, sau khi được giải mã, sẽ âm thầm tải xuống một tệp batch (.bat) từ cùng một hạ tầng.

Tệp batch này được làm rối mã (obfuscated) kỹ lưỡng và thực hiện các hành động chính. Nó hiển thị một tệp PDF hóa đơn giả mạo làm mồi nhử, đồng thời tải xuống một tệp ZIP thứ hai chứa một gói Python.

Hệ thống cũng kiểm tra sự tồn tại của Python và sử dụng một trình thông dịch đi kèm nếu chưa được cài đặt.

Cơ chế hoạt động của tải trọng (payload)

Bên trong gói Python này, hầu hết các tệp đều là các thành phần thiết lập vô hại. Chỉ có một tập lệnh duy nhất tên là load.py cùng với năm tệp nhị phân đi kèm là thực sự thực hiện cuộc tấn công.

Tập lệnh load.py sử dụng thư viện ctypes của Python để tương tác trực tiếp với các hàm hệ thống của Windows. Kỹ thuật này cho phép nó phân bổ bộ nhớ, tạo luồng và sao chép shellcode vào vị trí thích hợp.

Phương thức này được biết đến là Early Bird APC Queue injection. Nó chèn mã vào một tiến trình mới được tạo trước khi luồng chính của tiến trình đó bắt đầu chạy, làm cho việc phát hiện bởi các công cụ antivirus và endpoint trở nên khó khăn hơn.

Các biến thể tải trọng

Tùy thuộc vào tệp nhị phân được xử lý, tải trọng cuối cùng sẽ thay đổi:

  • Một tệp nhị phân sẽ tiêm (inject) VenomRAT vào tiến trình notepad.exe hợp pháp.
  • Một tệp nhị phân khác sẽ tiêm XWorm.
  • Các tệp còn lại sẽ tiêm shellcode của AsyncRAT vào tiến trình explorer.exe.

Tất cả các biến thể này đều liên lạc với cùng một máy chủ điều khiển và chỉ huy (Command and Control – C2) qua các cổng khác nhau.

Lỗ hổng và Kỹ thuật Tấn công

Chiến dịch này không khai thác một lỗ hổng CVE cụ thể nào mà tập trung vào việc lợi dụng các dịch vụ hợp pháp và kỹ thuật che giấu để thực thi mã độc. Tuy nhiên, khả năng thực thi mã từ xa (Remote Code Execution – RCE) là hệ quả trực tiếp của việc cài đặt thành công AsyncRAT.

Việc sử dụng Cloudflare Tunnels để lưu trữ các tệp độc hại và làm cho chúng khó bị chặn hơn là một kỹ thuật đáng chú ý trong các chiến dịch xâm nhập mạng gần đây.

Kỹ thuật Early Bird APC Queue injection làm cho việc phát hiện mối đe dọa trở nên phức tạp hơn. Nó cho phép mã độc chạy ngay từ khi tiến trình bắt đầu, né tránh các cơ chế kiểm tra thông thường.

Cảnh báo và Khuyến nghị

Các nhà nghiên cứu từ Forcepoint đã xác định chiến dịch AsyncRAT này, lưu ý rằng nó tương tự một cuộc tấn công trước đó họ đã phân tích vào tháng 8.

Việc tái sử dụng Cloudflare Tunnels xác nhận các dự đoán về xu hướng tấn công ngày càng lạm dụng cơ sở hạ tầng hợp pháp để tránh bị phát hiện.

Chiến dịch này cho thấy sự dễ dàng trong việc biến các nền tảng đáng tin cậy thành công cụ phân phối các mối đe dọa an ninh mạng nghiêm trọng.

Forcepoint lưu ý rằng các sản phẩm của họ như NGFW đã cung cấp sự bảo vệ ở nhiều giai đoạn của chuỗi tấn công, bao gồm chặn các tệp đính kèm lừa đảo, URL chuyển hướng, tệp dropper và lưu lượng liên lạc đến máy chủ C2.

Các sản phẩm NGFW của Forcepoint cũng chấm dứt việc truyền tệp LNK và các kết nối PowerShell đáng ngờ theo mặc định.

Đối với người dùng nói chung, các khuyến nghị bao gồm:

  • Cẩn trọng với các email bất ngờ yêu cầu tải xuống, đặc biệt là email về hóa đơn.
  • Tránh mở các tệp ZIP hoặc tệp phím tắt từ những người gửi không xác định.
  • Bật ghi nhật ký (logging) PowerShell có thể giúp phát hiện sớm các hành vi lây nhiễm này.

Các chỉ số tấn công (Indicators of Compromise – IoCs)

Lưu ý: Địa chỉ IP và tên miền được làm mờ (ví dụ: [.]) để tránh phân giải hoặc tạo liên kết ngoài ý muốn. Chỉ nên giải mã các chỉ số này trong các nền tảng tình báo mối đe dọa (threat intelligence) được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.

Các địa chỉ IP và tên miền được sử dụng trong chiến dịch này bao gồm:

  • [IP_ADDRESS_1]
  • [IP_ADDRESS_2]
  • [DOMAIN_1]
  • [DOMAIN_2]

Các tệp đáng ngờ có thể bao gồm:

  • invoice.zip
  • invoice.lnk
  • payload.zip
  • load.py

Các tiến trình đáng ngờ có thể bao gồm:

  • powershell.exe (với các tham số đáng ngờ)
  • python.exe (chạy các tập lệnh độc hại)
  • notepad.exe hoặc explorer.exe (sau khi bị tiêm mã độc)

Forcepoint dự đoán sẽ có nhiều chiến dịch tương tự trong tương lai, do chi phí thấp và tính sẵn có của hạ tầng dùng một lần cho phép tội phạm mạng dễ dàng triển khai các công cụ đánh cắp thông tin (infostealers) và Remote Access Trojans (RATs) mà không bị các danh sách chặn (blocklists) phát hiện kịp thời. Điều này nhấn mạnh tầm quan trọng của việc cập nhật bản vá và áp dụng các biện pháp an ninh mạng chủ động.