Cảnh Báo XWorm RAT: WhatsApp Giả Mạo Phát Tán Mã Độc Tinh Vi Tại Châu Á

21/06/2025
8 mins read

Một chiến dịch tấn công mạng mới đã được xác định, liên kết với một nhóm tác nhân đe dọa có trụ sở tại Trung Quốc, đang nhắm mục tiêu vào người dùng chủ yếu ở khu vực Đông và Đông Nam Á. Chiến dịch này phân phối một trình cài đặt MSI được trojan hóa, ngụy trang dưới dạng tệp cài đặt WhatsApp chính thức. Mục tiêu của cuộc tấn công là triển khai một biến thể tùy chỉnh của mã độc XWorm Remote Access Trojan (RAT), được thiết kế đặc biệt để xâm nhập hệ thống, đánh cắp dữ liệu nhạy cảm và thiết lập quyền truy cập bền bỉ trên các thiết bị bị nhiễm.

Mã độc chính được sử dụng trong chiến dịch này là một biến thể tùy chỉnh của XWorm Remote Access Trojan (RAT). Biến thể này được tăng cường với các khả năng nâng cao, cho phép kẻ tấn công thực hiện nhiều hành vi độc hại như truy cập từ xa vào hệ thống, giám sát hoạt động của người dùng, trích xuất thông tin nhạy cảm và duy trì sự hiện diện trên máy tính bị nhiễm trong thời gian dài.

Các nền tảng bị khai thác chính là hệ điều hành Windows, nơi người dùng vô tình thực thi trình cài đặt MSI độc hại này. Phương thức phân phối là thông qua một trình cài đặt MSI độc hại, được ngụy trang một cách tinh vi để trông giống hệt như tệp cài đặt WhatsApp chính hãng. Điều này làm tăng khả năng người dùng bị lừa và thực thi tệp, khởi đầu chuỗi lây nhiễm.

Nội dung
Phân tích Kỹ thuật và TTPs (Tactics, Techniques, and Procedures)
Chuỗi Lây nhiễm
Các Dấu hiệu về Mức độ Tinh vi
Ánh xạ Kỹ thuật MITRE ATT&CK
Các Dấu hiệu Thỏa hiệp (Indicators of Compromise – IOCs)
Hàm ý cho Hoạt động An ninh (SOC) và Phòng thủ

Phân tích Kỹ thuật và TTPs (Tactics, Techniques, and Procedures)

Chiến dịch này thể hiện một chuỗi lây nhiễm đa giai đoạn và có tính tổ chức cao, sử dụng các kỹ thuật tinh vi để né tránh phát hiện và duy trì quyền truy cập.

Chuỗi Lây nhiễm

  • Thực thi Ban đầu: Quá trình lây nhiễm bắt đầu khi người dùng thực thi trình cài đặt MSI bị vũ khí hóa. Do được ngụy trang giống hệt tệp cài đặt WhatsApp hợp pháp, người dùng thường không nghi ngờ và tiến hành cài đặt. Hành vi này khai thác niềm tin của người dùng vào các ứng dụng phổ biến và thương hiệu đã biết, trở thành một phương pháp tấn công kỹ thuật xã hội hiệu quả.
  • Tải Shellcode ẩn trong Tệp Ảnh: Sau khi được thực thi, trình cài đặt sẽ tải một shellcode đã được mã hóa. Điểm đặc biệt là shellcode này được nhúng một cách khéo léo bên trong các tệp hình ảnh tưởng chừng vô hại. Kỹ thuật này được gọi là steganography hoặc nhúng payload vào các định dạng tệp thông thường, giúp mã độc né tránh các giải pháp chống vi-rút truyền thống vốn thường tập trung vào việc quét các tệp thực thi. Bằng cách giấu payload độc hại trong dữ liệu hình ảnh, kẻ tấn công làm phức tạp quá trình phát hiện và phân tích.
  • Script PowerShell duy trì Quyền truy cập: Sau giai đoạn thực thi và tải shellcode, các script PowerShell được kích hoạt. Các script này có nhiệm vụ thiết lập cơ chế duy trì quyền truy cập (persistence) trên các máy bị nhiễm. Thông thường, điều này được thực hiện thông qua việc tạo ra các tác vụ theo lịch trình (scheduled tasks) trong hệ thống Windows. Các tác vụ này đảm bảo rằng mã độc sẽ được khởi chạy lại mỗi khi hệ thống khởi động, hoặc theo một lịch trình định trước, giúp kẻ tấn công duy trì quyền kiểm soát ngay cả sau khi hệ thống được khởi động lại hoặc khi người dùng đăng xuất.
  • Tích hợp Telegram cho Giao tiếp C2: Một trong những điểm đáng chú ý của chiến dịch này là việc mã độc có khả năng phát hiện liệu ứng dụng Telegram có được cài đặt trên thiết bị bị xâm nhập hay không. Nếu có, mã độc sẽ sử dụng các kênh giao tiếp dựa trên Telegram để thực hiện cả việc trích xuất dữ liệu bị đánh cắp một cách lén lút và nhận các lệnh tiếp theo từ kẻ tấn công. Việc sử dụng Telegram cho giao tiếp Command and Control (C2) mang lại nhiều lợi ích cho kẻ tấn công, bao gồm mã hóa đầu cuối, khả năng trộn lẫn lưu lượng C2 với lưu lượng hợp pháp của người dùng, và khó bị phát hiện bởi các hệ thống giám sát mạng truyền thống.

Các Dấu hiệu về Mức độ Tinh vi

Chiến dịch này thể hiện một mức độ tinh vi đáng kể thông qua việc sử dụng nhiều kỹ thuật nâng cao:

  • Quá trình lây nhiễm đa giai đoạn: Mã độc không trực tiếp thực thi payload cuối cùng. Thay vào đó, nó sử dụng một chuỗi các bước từ trình cài đặt MSI, tải shellcode đã mã hóa, đến việc sử dụng PowerShell, làm tăng độ phức tạp trong việc phân tích và chống lại.
  • Sử dụng bộ tải shellcode được mã hóa ẩn trong hình ảnh: Kỹ thuật giấu payload trong các tệp tin tưởng chừng vô hại như hình ảnh là một phương pháp hiệu quả để né tránh các công cụ phát hiện dựa trên chữ ký và heuristics.
  • Lạm dụng PowerShell scripting cho các cơ chế duy trì quyền truy cập: PowerShell là một công cụ quản trị mạnh mẽ của Windows. Việc lạm dụng các chức năng hợp pháp của nó (như tạo scheduled tasks) giúp mã độc hoạt động dưới danh nghĩa của các tiến trình hệ thống hợp lệ, gây khó khăn cho việc nhận diện hành vi độc hại.
  • Giao tiếp Command and Control lén lút qua nền tảng nhắn tin Telegram: Việc sử dụng Telegram cho C2 không chỉ cung cấp kênh liên lạc an toàn cho kẻ tấn công mà còn giúp lưu lượng C2 dễ dàng hòa lẫn vào lưu lượng mạng thông thường, làm phức tạp quá trình phát hiện qua phân tích lưu lượng mạng.

Ánh xạ Kỹ thuật MITRE ATT&CK

Dựa trên các hành vi được mô tả trong chiến dịch, chúng ta có thể ánh xạ các kỹ thuật được sử dụng tới khung MITRE ATT&CK, cung cấp một cái nhìn cấu trúc về TTPs của kẻ tấn công:

  • Thực thi qua trình cài đặt MSI độc hại:
    • Khả năng liên quan: T1204 (User Execution).
    • Giải thích: Kẻ tấn công dựa vào hành động của người dùng để thực thi mã độc. Trong trường hợp này, người dùng bị lừa chạy trình cài đặt MSI giả mạo WhatsApp, là điểm khởi đầu của toàn bộ chuỗi lây nhiễm.
  • Tải shellcode được nhúng trong tệp hình ảnh:
    • Khả năng liên quan: T1027.003 (Obfuscated Files or Information: Embedded Payloads).
    • Giải thích: Kẻ tấn công nhúng mã độc (shellcode) vào một định dạng tệp khác (tệp hình ảnh) để che giấu nó khỏi các biện pháp phòng thủ. Điều này giúp mã độc vượt qua các cơ chế kiểm soát truyền thống và tăng tính lén lút.
  • Sử dụng script PowerShell:
    • Khả năng liên quan: T1059.001 (Command and Scripting Interpreter: PowerShell).
    • Giải thích: PowerShell được kẻ tấn công sử dụng để thực thi các lệnh và script độc hại sau giai đoạn lây nhiễm ban đầu. Đây là một công cụ mạnh mẽ và có sẵn trên hầu hết các hệ thống Windows, giúp kẻ tấn công thực hiện nhiều tác vụ mà không cần mang theo các công cụ nhị phân riêng biệt.
  • Thiết lập duy trì quyền truy cập qua scheduled tasks:
    • Khả năng liên quan: T1053.005 (Scheduled Task/Job: Scheduled Task).
    • Giải thích: Kẻ tấn công tạo ra các tác vụ theo lịch trình để đảm bảo mã độc được thực thi mỗi khi hệ thống khởi động hoặc vào các thời điểm nhất định, đảm bảo quyền truy cập bền bỉ vào hệ thống bị xâm nhập.
  • Command and Control qua Telegram:
    • Khả năng liên quan: Có thể liên quan đến các kỹ thuật như T1105 (Ingress Tool Transfer) hoặc sử dụng các nền tảng truyền thông xã hội tùy chỉnh.
    • Giải thích: Thay vì sử dụng các kênh C2 truyền thống dễ bị chặn, kẻ tấn công lạm dụng Telegram – một nền tảng hợp pháp và phổ biến – để gửi và nhận lệnh cũng như trích xuất dữ liệu. Điều này làm cho việc phát hiện lưu lượng C2 trở nên khó khăn hơn nhiều đối với các hệ thống giám sát mạng.

Các Dấu hiệu Thỏa hiệp (Indicators of Compromise – IOCs)

Mặc dù hiện tại không có các giá trị băm (hashes) cụ thể, URL hay thông tin cấu hình chi tiết được công bố rộng rãi, nhưng dựa trên mô tả chiến dịch, các nhà phân tích và chuyên gia an ninh mạng cần chú ý đến các loại dấu hiệu thỏa hiệp sau:

  • Trình cài đặt MSI độc hại được đặt tên tương tự như “WhatsApp Setup” hoặc các biến thể lừa đảo khác của tệp cài đặt ứng dụng phổ biến.
  • Các payload shellcode đã được mã hóa, thường được tìm thấy ẩn bên trong các tệp hình ảnh hoặc các tệp dữ liệu không liên quan khác trong quá trình cài đặt hoặc trên hệ thống bị nhiễm.
  • Các script PowerShell tạo ra hoặc sửa đổi các tác vụ theo lịch trình để thiết lập tính bền bỉ, đặc biệt là những script có thể được tìm thấy trong thư mục tạm thời hoặc thư mục người dùng.
  • Kết nối mạng đáng ngờ từ các tiến trình không liên quan đến Telegram chính thức tới các máy chủ Telegram API hoặc các địa chỉ IP liên quan, đặc biệt khi các kết nối này không phải do ứng dụng Telegram hợp lệ tạo ra.

Các nhóm an ninh mạng nên tích hợp thông tin này vào các quy tắc phát hiện trên điểm cuối, tập trung vào việc giám sát các tệp MSI đáng ngờ được đặt tên giống như trình cài đặt ứng dụng phổ biến. Điều này bao gồm việc theo dõi chuỗi thực thi liên quan đến việc giải nén payload được mã hóa từ các tệp hình ảnh, cùng với việc phát hiện sử dụng bất thường của PowerShell để tạo các tác vụ theo lịch trình hoặc thiết lập các kết nối đi ra bất thường liên quan đến API hoặc máy chủ Telegram.

Hàm ý cho Hoạt động An ninh (SOC) và Phòng thủ

Các nhóm SOC và các nhà phân tích tình báo mối đe dọa (TIP) cần lưu ý các điểm sau để tăng cường khả năng phòng thủ và phản ứng:

  • Hiểu rõ Tác nhân và Mục tiêu: Chiến dịch này được thực hiện bởi một nhóm tác nhân đe dọa liên kết với Trung Quốc, nhắm mục tiêu vào người dùng ở Đông và Đông Nam Á thông qua các trình cài đặt MSI được trojan hóa, giả mạo là trình cài đặt WhatsApp chính thức để phân phối biến thể tùy chỉnh của XWorm RAT.
  • Nhận diện Mã độc: XWorm RAT tùy chỉnh có khả năng truy cập từ xa, đánh cắp dữ liệu và kiểm soát hệ thống một cách bền bỉ. Các công cụ EDR/XDR nên được cấu hình để tìm kiếm các dấu hiệu của XWorm.
  • Các Kỹ thuật Lây nhiễm và Tấn công:
    • Vector Lây nhiễm: Người dùng thực thi trình cài đặt MSI được vũ khí hóa. Cần có chính sách giáo dục người dùng về nguy cơ của các tệp tải xuống không chính thức.
    • Né tránh Phát hiện: Sử dụng bộ tải shellcode được mã hóa, ẩn trong các tệp hình ảnh để vượt qua các biện pháp phòng thủ truyền thống. Các công cụ giám sát tệp cần có khả năng phân tích sâu hơn các tệp định dạng thông thường.
    • Duy trì Quyền truy cập: Các script PowerShell được sử dụng để thiết lập tính bền bỉ thông qua các tác vụ theo lịch trình. Cần giám sát chặt chẽ hoạt động của PowerShell và việc tạo/sửa đổi các tác vụ theo lịch trình bất thường.
    • Giao tiếp C2: Mã độc phát hiện cài đặt Telegram và sử dụng nó cho giao tiếp C2. Cần giám sát lưu lượng mạng đến các điểm cuối Telegram từ các tiến trình không phải Telegram hợp lệ.
  • Chiến lược Phát hiện và Phòng ngừa:
    • Triển khai các quy tắc phát hiện trên các điểm cuối để tìm kiếm các tệp MSI đáng ngờ, đặc biệt là những tệp có tên giống như các trình cài đặt ứng dụng phổ biến.
    • Thiết lập giám sát chặt chẽ các chuỗi thực thi tiến trình, đặc biệt là khi một trình cài đặt MSI dẫn đến việc thực thi PowerShell theo cách bất thường hoặc tải payload từ các tệp dữ liệu như hình ảnh.
    • Phân tích hành vi bất thường của PowerShell, bao gồm việc tạo các tác vụ theo lịch trình mới, đặc biệt là những tác vụ không có nguồn gốc rõ ràng hoặc được thực hiện bởi các tài khoản không phải là tài khoản quản trị viên.
    • Giám sát lưu lượng mạng để phát hiện các kết nối đi ra bất thường tới các máy chủ Telegram API hoặc các máy chủ nhắn tin khác từ các tiến trình không liên quan, hoặc lưu lượng mã hóa không phù hợp với các ứng dụng hợp pháp.
    • Cập nhật liên tục các cơ sở dữ liệu về IOCs và các mô hình phát hiện mối đe dọa để ứng phó kịp thời với các biến thể mã độc mới.

Bằng cách kết hợp các biện pháp phòng thủ đa tầng, từ giáo dục người dùng đến giám sát hành vi và phân tích lưu lượng mạng nâng cao, các tổ chức có thể nâng cao đáng kể khả năng phát hiện và ngăn chặn các mối đe dọa tinh vi như chiến dịch XWorm RAT này.