Một chiến dịch lừa đảo tinh vi đã được phát hiện, sử dụng kỹ thuật phát tán Remcos Remote Access Trojan (RAT) thông qua mã độc DBatLoader. Chuỗi tấn công này, được phân tích chi tiết trong môi trường Sandbox tương tác, khai thác kết hợp các kỹ thuật bao gồm bỏ qua kiểm soát tài khoản người dùng (User Account Control – UAC), các script bị làm xáo trộn (obfuscated scripts), lạm dụng các tiện ích hệ thống có sẵn (Living Off the Land Binaries – LOLBAS), và các cơ chế duy trì quyền truy cập (persistence mechanisms) để xâm nhập hệ thống mà không bị phát hiện.
Phân Tích Chuỗi Tấn Công Ban Đầu
Chiến dịch khởi đầu bằng một email lừa đảo chứa một tập tin lưu trữ. Bên trong tập tin lưu trữ này là một tập tin thực thi độc hại có tên “FAKTURA”. Ngay khi được thực thi, tập tin này sẽ triển khai DBatLoader, mở đường cho một cuộc tấn công nhiều lớp nhắm vào các hệ thống Windows.
Điểm đặc biệt nguy hiểm của cuộc tấn công này nằm ở việc lạm dụng các tập tin .pif (Program Information File) lỗi thời. Ban đầu, các tập tin .pif được thiết kế để cấu hình các chương trình dựa trên DOS trong các phiên bản Windows đầu tiên. Mặc dù đã trở nên lỗi thời cho các mục đích hợp pháp, các tập tin .pif vẫn có thể thực thi trên các hệ thống Windows hiện đại. Điều này cho phép những kẻ tấn công che giấu các tải trọng độc hại của chúng và thực thi chúng mà không kích hoạt các hộp thoại cảnh báo thông thường của hệ thống, giúp mã độc dễ dàng lẩn tránh sự phát hiện của người dùng.
Khai Thác Tập Tin .pif và Kỹ Thuật Bỏ Qua UAC
Đi sâu hơn vào cơ chế tấn công, DBatLoader khai thác các tập tin .pif như “alpha.pif” (một tập tin thực thi Portable Executable – PE) để bỏ qua UAC. Kỹ thuật này được thực hiện bằng cách tạo ra các thư mục gây hiểu lầm, ví dụ điển hình là “C:\Windows “ (lưu ý dấu cách thừa ở cuối tên thư mục). Sự thao túng tinh vi này trong cách Windows xử lý tên thư mục cho phép mã độc có được các đặc quyền nâng cao một cách lén lút. Kẻ tấn công lợi dụng việc Windows đôi khi bỏ qua các dấu cách ở cuối tên đường dẫn trong một số ngữ cảnh nhất định, khiến cho đường dẫn giả mạo này trông giống như một thư mục hệ thống hợp lệ, từ đó đánh lừa UAC hoặc các cơ chế bảo mật khác để cấp quyền thực thi nâng cao.
Các Kỹ Thuật Né Tránh và Duy Trì Quyền Truy Cập
Kỹ Thuật Né Tránh Phát Hiện
Chiến dịch này còn áp dụng các chiến thuật né tránh phức tạp. Một trong số đó là sử dụng lệnh PING.EXE để ping địa chỉ loopback cục bộ (127.0.0.1) nhiều lần. Điều này không chỉ tạo ra sự chậm trễ giả tạo nhằm né tránh các cơ chế phát hiện dựa trên thời gian (time-based detection mechanisms) mà trong một số trường hợp, kỹ thuật này còn được dùng như một công cụ để khám phá hệ thống từ xa.
Ngoài ra, tập tin độc hại “svchost.pif” kích hoạt một script thông qua NEO.cmd. Script này sau đó thao túng extrac32.exe để thêm các đường dẫn cụ thể vào danh sách loại trừ của Windows Defender. Việc lạm dụng extrac32.exe – một tiện ích hệ thống hợp pháp thường dùng để giải nén hoặc xử lý các tập tin nén – giúp mã độc dễ dàng thêm các đường dẫn chứa payload của nó vào danh sách loại trừ của bộ bảo vệ Windows, từ đó che chắn mã độc khỏi sự kiểm tra và phát hiện của Windows Defender.
Đảm Bảo Duy Trì Quyền Truy Cập (Persistence)
Quyền truy cập trên hệ thống bị xâm nhập được đảm bảo thông qua các tác vụ đã lên lịch (scheduled tasks). Các tác vụ này được thiết lập để kích hoạt một tập tin “Cmwdnsyn.url”. Tập tin .url này, đến lượt nó, sẽ khởi chạy một .pif dropper, giúp duy trì sự hiện diện của mã độc trên hệ thống ngay cả sau khi hệ thống khởi động lại. Cơ chế này đảm bảo rằng Remcos RAT có thể tái kích hoạt và tiếp tục hoạt động trên máy tính bị nhiễm.
Phân Phối Tải Trọng Cuối Cùng và Kỹ Thuật Tiêm Mã
Tải trọng cuối cùng, Remcos RAT, được phân phối thông qua các script .cmd bị làm xáo trộn bằng các công cụ như BatCloak, khiến việc phân tích trở nên phức tạp. Sau khi được triển khai, Remcos sẽ tiêm chính nó vào các tiến trình đáng tin cậy của hệ thống như SndVol.exe hoặc colorcpl.exe. Kỹ thuật tiêm mã (process injection) này cho phép mã độc hòa nhập một cách liền mạch vào môi trường tiến trình của hệ thống, làm cho nó khó bị phát hiện bởi các công cụ giám sát tiến trình thông thường và các giải pháp bảo mật dựa trên hành vi.
Thách Thức Trong Phát Hiện và Phân Tích Nâng Cao
Các phương pháp phòng thủ truyền thống dựa trên chữ ký (signature-based defenses) thường không hiệu quả trước các cuộc tấn công đa tầng (multi-stage attacks) như thế này, vốn dựa vào kỹ thuật làm xáo trộn và lạm dụng các công cụ hệ thống gốc (system-native tools). Để chống lại các mối đe dọa ngày càng tinh vi này, các chuyên gia bảo mật khuyến nghị thực hiện việc phân tích động (proactive detonation) các tập tin đáng ngờ trong một môi trường ảo hóa an toàn, chẳng hạn như các giải pháp Interactive Sandbox.
Các nền tảng sandbox dựa trên đám mây có khả năng phát hiện mã độc trong thời gian rất ngắn, giúp tăng tốc đáng kể quá trình phân tích mối đe dọa và rút ngắn thời gian phản ứng sự cố cho các nhóm SOC (Security Operations Center). Bằng cách cô lập các tập tin và URL đáng ngờ, chúng ngăn chặn rủi ro lây lan cho cơ sở hạ tầng doanh nghiệp, đồng thời cho phép tương tác thủ công với các mối đe dọa để có được những hiểu biết sâu sắc hơn về hành vi của chúng. Các nhà phân tích có thể giám sát các đường dẫn tập tin bất thường, theo dõi các tiến trình độc hại và phân tích các kết nối mạng, cuối cùng tạo ra các báo cáo chi tiết với các Indicators of Compromise (IOCs) để nâng cao khả năng bảo mật điểm cuối.
Cách tiếp cận này không chỉ cải thiện tỷ lệ phát hiện mà còn thúc đẩy sự hợp tác nhóm thông qua các cấp độ truy cập có thể cấu hình và theo dõi năng suất. Đây là một giải pháp hiệu quả về chi phí để giảm thiểu tổn thất tài chính từ các mối đe dọa kéo dài. Khi các chiến dịch lừa đảo ngày càng trở nên tinh vi, việc sử dụng các công cụ sandbox tiên tiến như vậy trở nên cực kỳ quan trọng để đi trước những kẻ tấn công đang khai thác các định dạng tập tin bị lãng quên và các lỗ hổng hệ thống.
Indicators of Compromise (IOCs)
- Tên tập tin độc hại: FAKTURA
- Tên tập tin .pif bị lạm dụng: alpha.pif
- Tên tập tin .pif độc hại: svchost.pif
- Tên tập tin URL dùng để duy trì quyền truy cập: Cmwdnsyn.url
- Tiến trình bị tiêm mã: SndVol.exe
- Tiến trình bị tiêm mã: colorcpl.exe
- Thư mục giả mạo cho UAC bypass: C:\Windows
