Check Point Research đã phát hiện một chiến dịch phishing ZipLine có mức độ dai dẳng cao, đảo ngược các vector tấn công truyền thống. Chiến dịch này khai thác chính các biểu mẫu “Liên hệ chúng tôi” của nạn nhân để khởi tạo các liên lạc kinh doanh có vẻ hợp pháp. Mục tiêu chính là các công ty sản xuất tại Hoa Kỳ trong các lĩnh vực quan trọng của chuỗi cung ứng.
Khái Quát về Chiến Dịch Phishing ZipLine
Chiến dịch ZipLine kéo dài các cuộc trao đổi email trong nhiều tuần, nhằm xây dựng lòng tin trước khi gửi các tệp lưu trữ ZIP độc hại. Những kẻ tấn công đóng vai trò là đối tác tiềm năng, thảo luận về các thỏa thuận không tiết lộ (NDA). Gần đây, chúng còn đưa ra các sáng kiến chuyển đổi AI, được đóng khung dưới dạng “Đánh giá tác động AI” nội bộ. Mục đích là để thu thập ý kiến đóng góp của nạn nhân về hiệu quả hoạt động.
Cách tiếp cận kỹ thuật xã hội này né tránh các cơ chế phát hiện dựa trên danh tiếng. Nạn nhân là người khởi tạo chuỗi email, đồng thời các miền đáng tin cậy được sử dụng, bắt chước các LLC đã đăng ký tại Hoa Kỳ. Các trang web mẫu với hình ảnh stock cũng được dùng để tăng thêm tính hợp pháp.
Phương Thức Tấn Công và Kỹ Thuật Xã Hội
Kẻ tấn công lợi dụng sự tin tưởng thông qua các tương tác email kéo dài. Điều này giúp chúng vượt qua các lớp bảo mật email truyền thống. Thay vì gửi email trực tiếp từ các miền độc hại, chúng chờ đợi nạn nhân liên hệ trước qua các biểu mẫu công khai. Payload độc hại được lưu trữ trên các nền tảng bị lạm dụng như Heroku. Nội dung động có thể được điều chỉnh dựa trên siêu dữ liệu của nạn nhân, như địa chỉ IP hoặc tác nhân người dùng (user agent). Điều này đảm bảo việc phân phối các implant chạy trong bộ nhớ một cách lén lút, không gây nghi ngờ ngay lập tức. Đây là một điểm nhấn đặc biệt của mối đe dọa mạng này.
Chuỗi Lây Nhiễm Kỹ Thuật
Giai Đoạn Khởi Phát
Chuỗi lây nhiễm bắt đầu với một tệp ZIP chứa các tài liệu nhử mồi hợp pháp, bao gồm một tệp PDF và DOCX. Kèm theo đó là một shortcut LNK độc hại. Shortcut này thực thi một loader PowerShell. Loader PowerShell này quét các thư mục được xác định trước (ví dụ: Desktop, Downloads, Temp) để tìm tệp ZIP.
Sau đó, nó định vị một script được nhúng thông qua một chuỗi đánh dấu như “xFIQCV”. Script này được trích xuất, bỏ qua AMSI (Antimalware Scan Interface) bằng cách đặt giá trị amsiInitFailed thành true. Cuối cùng, script chạy trong bộ nhớ sau khi loại bỏ các ký tự “#”.
Để biết thêm chi tiết về cách tệp LNK có thể được sử dụng trong các chiến dịch tương tự, bạn có thể tham khảo một phân tích về việc Kimsuky APT sử dụng tệp LNK.
Duy Trì Quyền Truy Cập (Persistence)
Quyền truy cập được duy trì thông qua kỹ thuật TypeLib hijacking. Kỹ thuật này sửa đổi CLSID đăng ký {EAB22AC0-30C1-11CF-A7EB-0000C05BAE0B} để trỏ đến một tệp SCT độc hại. Tệp SCT này sẽ khởi chạy lại payload qua cmd.exe khi có các sự kiện hệ thống, chẳng hạn như các lệnh gọi của Explorer.
Điều này cho phép kẻ tấn công duy trì sự hiện diện trên hệ thống bị xâm nhập ngay cả sau khi khởi động lại. Đây là một đặc điểm quan trọng của nhiều cuộc tấn công mạng phức tạp.
Thực Thi Mã Độc MixShell
Script sau đó giải mã shellcode được mã hóa XOR (Base64-encoded) dựa trên kiến trúc hệ thống. Nó sử dụng System.Reflection.Emit để thực thi trong bộ nhớ thông qua VirtualAlloc, giảm thiểu dấu vết trên đĩa.
Cốt lõi của chiến dịch phishing ZipLine là MixShell, một backdoor tùy chỉnh dựa trên shellcode. MixShell giải quyết các API của Windows thông qua hashing ROR4 để né tránh phát hiện. Nó phân tích một khối cấu hình được mã hóa XOR chứa các tham số như tên miền DNS, khóa XOR và tên mồi nhử. Mã độc này cũng thiết lập một mutex từ các định danh hệ thống (ProductId, InstallDate, SerialNumber) để đảm bảo chỉ có một phiên bản hoạt động.
Cơ Chế Điều Khiển và Chỉ Huy (C2)
Giao thức C2 (Command-and-Control) của MixShell ưu tiên sử dụng DNS TXT tunneling, với HTTP là phương án dự phòng. Các tên miền phụ được định dạng theo cấu trúc <prepend><hex(XOR result)><append>.<id_hex>.<time_hex>.<domain>. Điều này cho phép truyền dữ liệu được mã hóa và chia nhỏ, giới hạn 60 ký tự cho mỗi truy vấn.
Các lệnh được hỗ trợ bao gồm các thao tác tệp, thực thi lệnh qua pipe và reverse proxying để xoay trục mạng. MixShell chuyển tiếp lưu lượng thông qua các giao thức bắt tay bao gồm tin nhắn không byte và chuyển hướng IP/port động.
Biến Thể MixShell Dựa Trên PowerShell và Kỹ Thuật Né Tránh
Một biến thể MixShell dựa trên PowerShell tăng cường khả năng né tránh bằng cách quét các debugger (ví dụ: WinDbg, Wireshark) và các artifact của sandbox (ví dụ: VBox pipes). Nó cũng kiểm tra các chỉ số ảo hóa (ví dụ: RAM/CPU core thấp).
Để duy trì quyền truy cập, biến thể này sử dụng các tác vụ đã lên lịch. Nó còn sử dụng ProductID được băm CRC32 để lấy dấu vân tay của nạn nhân, giúp nhận diện hệ thống bị xâm nhập một cách duy nhất.
Phân Tích Hạ Tầng và Đối Tượng Mục Tiêu
Chỉ Số IOC (Indicators of Compromise)
Phân tích hạ tầng của chiến dịch phishing ZipLine đã tiết lộ các miền và địa chỉ IP liên quan. Các chỉ số này cung cấp thông tin quan trọng cho việc phát hiện và ngăn chặn:
- Miền C2:
tollcrm[.]com - Địa chỉ IP liên quan:
172.210.58[.]69
Những miền và IP này đã được liên kết với các bảng điều khiển quản lý tiềm năng. Chúng cũng có sự trùng lặp với các chiến dịch trước đây như TransferLoader, cho thấy mối liên hệ với các tác nhân có động cơ tài chính như UNK_GreenSec. Chi tiết đầy đủ về phân tích này có thể được tìm thấy trong nghiên cứu của Check Point.
Đối Tượng Mục Tiêu
Nạn nhân của chiến dịch trải rộng trên các lĩnh vực sản xuất công nghiệp, bán dẫn, công nghệ sinh học và năng lượng. Hơn 80% các mục tiêu tập trung tại Hoa Kỳ, nhắm vào cả các doanh nghiệp lớn và SMBs. Mục đích là để đánh cắp dữ liệu độc quyền hoặc khai thác chuỗi cung ứng.
Chiến Lược Phòng Thủ và Phát Hiện Xâm Nhập
Để chống lại các mối đe dọa mạng tinh vi như ZipLine, các tổ chức cần áp dụng các biện pháp phòng thủ đa lớp. Các nhà bảo vệ nên giám sát chặt chẽ các biểu mẫu liên hệ đến, các thư từ kéo dài và các bất thường DNS.
Các giải pháp như Check Point Harmony Email & Collaboration sử dụng phân tích dựa trên AI để ngăn chặn các mối đe dọa đa giai đoạn này. Các phương pháp bao gồm phát hiện phishing theo ngữ cảnh và mô phỏng mối đe dọa. Việc cảnh giác và áp dụng các công cụ bảo mật tiên tiến là chìa khóa để bảo vệ hệ thống khỏi những cuộc tấn công này.
