Cảnh Báo Octalyn Forensic Toolkit: Stealer Tinh Vi Đánh Cắp Thông Tin Đăng Nhập

Octalyn Forensic Toolkit, một công cụ có sẵn công khai trên GitHub, đã được xác định là một trình đánh cắp thông tin đăng nhập mạnh mẽ (credential stealer), ngụy trang dưới dạng công cụ nghiên cứu dành cho red teaming và điều tra số (digital forensics).

Giới thiệu Octalyn Forensic Toolkit

Bản Chất Đánh Cắp và Phát Triển

Octalyn Forensic Toolkit được phát triển với một module payload dựa trên C++ và trình xây dựng giao diện người dùng đồ họa (GUI) được xây dựng bằng Delphi. Cấu trúc này làm giảm đáng kể rào cản kỹ thuật cho các tác nhân đe dọa bằng cách đơn giản hóa quá trình tạo payload. Để tạo ra các binary hoạt động đầy đủ có khả năng trích xuất dữ liệu theo thời gian thực, người dùng chỉ cần nhập một token bot Telegram và một ID chat.

Mặc dù nhà phát triển tuyên bố công cụ này dành cho mục đích giáo dục, phân tích tĩnh (static analysis) đã tiết lộ chức năng cốt lõi của Octalyn nhắm mục tiêu vào việc thu thập dữ liệu nhạy cảm từ hệ thống nạn nhân.

Phân Tích Chức Năng Đánh Cắp Dữ Liệu

Các Loại Dữ Liệu Mục Tiêu

Octalyn được thiết kế để thu thập một loạt các loại dữ liệu nhạy cảm, tập trung vào thông tin đăng nhập và tài sản tài chính. Các loại dữ liệu chính mà nó nhắm mục tiêu bao gồm:

• Dữ liệu trình duyệt:
  • Mật khẩu đã lưu
  • Cookie phiên
  • Thông tin tự động điền (autofill) từ các trình duyệt phổ biến như Google Chrome, Microsoft Edge, và Opera.
  • Lịch sử duyệt web
  • Dấu trang (bookmarks)
• Token ứng dụng:
  • Token Discord
  • Token Telegram
• Cấu hình và chi tiết tài khoản:
  • Cấu hình VPN (Virtual Private Network)
  • Chi tiết tài khoản trò chơi
• Tạo phẩm ví tiền điện tử:
  • Địa chỉ ví
  • Khóa riêng tư (private keys)
  • Cụm từ hạt giống (seed phrases)
  • Các tệp wallet.dat
  • Dữ liệu mở rộng trình duyệt liên quan đến ví cho các tài sản như Bitcoin, Ethereum, Litecoin, và Monero.

Cơ Chế Hoạt Động và Duy Trì Truy Cập

Thực Thi và Thiết Lập Bền Vững

Khi được thực thi, payload của Octalyn hoạt động một cách ẩn danh (stealthily) và ngay lập tức tập trung vào việc thiết lập tính bền vững (persistence) trên hệ thống bị nhiễm. Mục tiêu chính của việc này là đảm bảo rằng phần mềm độc hại sẽ tự động khởi chạy lại mỗi khi hệ thống khởi động, duy trì sự kiểm soát liên tục đối với thiết bị nạn nhân. Octalyn đạt được điều này thông qua hai phương pháp phổ biến trong các cuộc tấn công phần mềm độc hại:

• Thêm vào thư mục Khởi động của Windows: Payload tạo các mục nhập trong thư mục Windows Startup của người dùng. Bất kỳ chương trình nào được đặt trong thư mục này đều sẽ được tự động thực thi khi người dùng đăng nhập vào hệ thống.
• Sửa đổi khóa Registry: Octalyn thực hiện sửa đổi các khóa trong Windows Registry, cụ thể là dưới đường dẫn HKCU\Software\Microsoft\Windows\CurrentVersion\Run. Khóa Registry này được hệ điều hành kiểm tra trong quá trình khởi động để xác định các ứng dụng cần được chạy tự động cho người dùng hiện tại. Bằng cách thêm một tham chiếu đến payload của nó tại đây, Octalyn đảm bảo khả năng khởi chạy lại mà không cần sự tương tác của người dùng.

Những cơ chế này giúp Octalyn duy trì sự hiện diện lâu dài trên hệ thống, ngay cả sau khi khởi động lại, làm phức tạp quá trình gỡ bỏ và phục hồi.

Kỹ Thuật Né Tránh và Che Giấu

Để tránh bị phát hiện và cản trở phân tích ngược, Octalyn sử dụng một số kỹ thuật né tránh:

• Che giấu (Obfuscation): Các thành phần của Octalyn, chẳng hạn như tệp Build.exe, cho thấy điểm entropy cao (trên 7). Điều này cho thấy mức độ che giấu cao thông qua việc chèn dữ liệu rác hoặc mã hóa một phần, gây khó khăn cho các công cụ phân tích tự động và nhà nghiên cứu trong việc hiểu chức năng thực sự của nó.
• Giải nén và thả tệp thực thi: Octalyn sử dụng các tài nguyên nhúng để giải nén và thả các tệp thực thi bổ sung vào thư mục tạm thời của hệ thống (%TEMP%). Quá trình này được thực hiện một cách ẩn giấu, sử dụng các API Windows như GetTempPathA để lấy đường dẫn thư mục tạm thời và ShellExecuteA ở chế độ ẩn (silent mode) để thực thi các tệp này. Các tệp được thả bao gồm:
  • TelegramBuild.exe
  • rvn.exe
  • assembly.exe

Quy Trình Trích Xuất Dữ Liệu (Exfiltration)

Tổ Chức Dữ Liệu

Phân tích động (dynamic analysis) đã tiết lộ cơ chế trích xuất dữ liệu tinh vi của Octalyn. Dữ liệu bị đánh cắp được tổ chức một cách cẩn thận thành các thư mục có cấu trúc bên trong %TEMP%\\0ctalyn, giúp kẻ tấn công dễ dàng duyệt và phân tích. Các thư mục con này bao gồm:

• Crypto wallets
• VPN
• Browsers
• Discord
• Games
• Socials

Trong các thư mục này, dữ liệu được biên soạn thành các tệp văn bản dễ đọc. Ví dụ, các tệp như All_browsers_cookies.txt, autofill.txt, bookmarks.txt, discord.txt, history.txt, và passwords.txt chứa thông tin đăng nhập đã thu thập. Định dạng này giúp kẻ tấn công dễ dàng phân tích và sử dụng cho các mục đích tiếp theo như chiếm quyền phiên (session hijacking), lập hồ sơ (profiling) nạn nhân, hoặc các hoạt động khai thác bổ sung.

Nén và Truyền Dữ Liệu

Sau khi thu thập và tổ chức dữ liệu, một script PowerShell được sử dụng để nén toàn bộ dữ liệu vào một tệp lưu trữ ZIP. Tên của tệp ZIP này được định dạng là [tên_người_dùng]_OctalynRetrieved.zip, nơi [tên_người_dùng] là tên người dùng của nạn nhân trên hệ thống bị nhiễm.

Tệp ZIP sau đó được truyền qua các kết nối được bảo mật bằng TLS đến api.telegram.org. Kênh liên lạc mã hóa này giúp Octalyn vượt qua sự kiểm tra mạng thông thường và cho phép nhận lệnh từ cơ sở hạ tầng Telegram của kẻ tấn công, biến Telegram thành một kênh điều khiển và kiểm soát (C2) hiệu quả.

Payload Phụ và Tiềm Năng Khai Thác

Ngoài chức năng đánh cắp dữ liệu chính, Octalyn còn có khả năng tải xuống payload phụ. Nó thực thi một lệnh PowerShell được mã hóa Base64 (định dạng UTF-16LE) một cách ẩn giấu thông qua SW_HIDE. Lệnh này cố gắng tải xuống một payload thứ cấp, được đặt tên là winlogon.exe, từ một URL GitHub cụ thể:

https://github.com/git-user691/psycho/releases/download/v1/rundll32.exe

Mặc dù tệp này không khả dụng trong quá trình phân tích được ghi nhận, sự tồn tại của kho lưu trữ trực tuyến cho thấy tiềm năng cho các hoạt động phân phối phần mềm độc hại trong tương lai, cho phép kẻ tấn công mở rộng khả năng khai thác trên hệ thống nạn nhân.

Khớp Với Kỹ Thuật MITRE ATT&CK

Mô hình mạng dựa trên Winsock, thiết kế mô-đun và cấu trúc nhẹ của toolkit này giúp Octalyn có khả năng tránh né cao và dễ dàng triển khai. Các kỹ thuật được Octalyn sử dụng khớp với một số kỹ thuật MITRE ATT&CK quan trọng, cho thấy mức độ tinh vi của nó:

• Truy cập thông tin đăng nhập (T1555): Octalyn trực tiếp thu thập thông tin đăng nhập từ trình duyệt, ứng dụng và ví tiền điện tử, khớp với mục tiêu của kỹ thuật này.
• Thiết lập bền vững (T1547.001 – Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder): Việc thiết lập các mục trong thư mục Startup và sửa đổi khóa Registry để tự động khởi chạy khi hệ thống khởi động là một ví dụ điển hình của kỹ thuật này.
• Trích xuất dữ liệu qua kênh C2 (T1041 – Exfiltration Over C2 Channel): Octalyn sử dụng kênh Telegram API được mã hóa (TLS) để gửi dữ liệu đã đánh cắp đến máy chủ điều khiển và kiểm soát của kẻ tấn công, điều này phù hợp với định nghĩa của việc trích xuất dữ liệu qua kênh C2.

Lỗ Hổng Bảo Mật Hoạt Động Của Kẻ Phát Triển

Bất chấp sự tinh vi trong thiết kế của Octalyn, siêu dữ liệu từ các tệp trong kho lưu trữ công khai đã vô tình tiết lộ tên người dùng PC của chính tác giả. Điều này cho thấy một sự sơ suất đáng kể trong bảo mật hoạt động (OpSec) của kẻ phát triển, có thể cung cấp manh mối quan trọng cho các nhà nghiên cứu bảo mật trong việc xác định hoặc theo dõi tác nhân đe dọa.

Chỉ Số Thỏa Hiệp (IOCs) và Khuyến Nghị Phòng Ngừa

Để giảm thiểu rủi ro từ Octalyn Forensic Toolkit, các nhóm bảo mật và quản trị hệ thống được khuyến nghị giám sát chặt chẽ các chỉ số thỏa hiệp (IOCs) sau trên môi trường của họ:

Chỉ Số Hệ Thống

• Đường dẫn tệp và thư mục:
  • Hoạt động bất thường trong thư mục %TEMP%, đặc biệt là sự xuất hiện của các thư mục con và tệp không mong muốn.
  • Sự tồn tại của thư mục %TEMP%\\0ctalyn và các thư mục con cấu trúc bên trong nó (Crypto wallets, VPN, Browsers, Discord, Games, Socials).
• Tên tệp đáng ngờ:
  • Build.exe (thành phần chính của Octalyn).
  • Các tệp thực thi được thả: TelegramBuild.exe, rvn.exe, assembly.exe.
  • Payload phụ: winlogon.exe (nếu được tải xuống).
  • Các tệp dữ liệu được thu thập: All_browsers_cookies.txt, autofill.txt, bookmarks.txt, discord.txt, history.txt, passwords.txt.
  • Tệp lưu trữ nén: *_OctalynRetrieved.zip (ví dụ: username_OctalynRetrieved.zip).
• Thay đổi Registry:
  • Các mục nhập đáng ngờ tại khóa Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run, đảm bảo không có chương trình không rõ nguồn gốc tự động khởi chạy.

Chỉ Số Mạng

• Tên miền và địa chỉ IP:
  • Lưu lượng truy cập Telegram API đến api.telegram.org từ các hệ thống nội bộ không được ủy quyền.
  • Các yêu cầu HTTP/HTTPS đến URL tải xuống payload phụ:

    https://github.com/git-user691/psycho/releases/download/v1/rundll32.exe

• Mã hóa Base64 và PowerShell:
  • Các lệnh PowerShell được mã hóa Base64 (đặc biệt là định dạng UTF-16LE) được thực thi với cờ -WindowStyle Hidden hoặc SW_HIDE.