Một chiến dịch lừa đảo (phishing) tinh vi đang nhắm vào các doanh nghiệp Thổ Nhĩ Kỳ, đặc biệt tập trung vào ngành công nghiệp quốc phòng và hàng không vũ trụ. Các tác nhân đe dọa đang mạo danh Turkish Aerospace Industries (TUSAŞ), một nhà thầu quốc phòng quan trọng, để phát tán các email độc hại ngụy trang thành tài liệu hợp đồng hợp pháp. Các email này chứa một biến thể của Snake Keylogger, một phần mềm độc hại đánh cắp thông tin khét tiếng, được ẩn trong các tệp tin như “TEKLİF İSTEĞİ – TUSAŞ TÜRK HAVACILIK UZAY SANAYİİ_xlsx.exe”.
Chiến dịch Phishing và Phương thức Lây nhiễm
Khi được thực thi, phần mềm độc hại triển khai các kỹ thuật duy trì quyền truy cập (persistence) nâng cao, bao gồm các lệnh PowerShell để tự loại trừ khỏi quá trình quét của Windows Defender và các tác vụ theo lịch trình (scheduled tasks) để tự động khởi động. Điều này cho phép nó thu thập dữ liệu nhạy cảm như thông tin xác thực (credentials), cookie và chi tiết tài chính từ nhiều trình duyệt và ứng dụng email mà không bị phát hiện. Hoạt động này đã được báo cáo cho Đội Ứng cứu Khẩn cấp Máy tính Quốc gia Thổ Nhĩ Kỳ (USOM), với sự hợp tác đang diễn ra để cảnh báo các bên bị ảnh hưởng và ngăn chặn sự lây lan thêm.
Tệp chứa mã độc là một tệp thực thi PE32 dành cho MS Windows, với giá trị băm SHA256 là 0cb819d32cb3a2f218c5a17c02bb8c06935e926ebacf1e40a746b01e960c68e4. Nó thể hiện các hành vi đáng ngờ như tạo ra các tiến trình (spawning processes) thông qua lệnh gọi hệ thống NtCreateUserProcess, bao gồm cả các lệnh gọi PowerShell để thêm các ngoại lệ (exclusions) và lệnh schtasks.exe để thiết lập tính dai dẳng thông qua các tác vụ được định nghĩa bằng XML trong các thư mục tạm thời.
Cơ chế Hoạt động và Bảo vệ Tính dai dẳng
Sau khi xâm nhập thành công, Snake Keylogger thiết lập sự bền bỉ trên hệ thống bị lây nhiễm để đảm bảo khả năng thực thi liên tục và tránh bị phát hiện. Các kỹ thuật chính được sử dụng bao gồm:
- Thêm ngoại lệ Windows Defender: Sử dụng lệnh PowerShell để thêm đường dẫn của phần mềm độc hại vào danh sách loại trừ của Windows Defender, ngăn chặn phần mềm bảo mật quét và phát hiện nó.
- Tạo tác vụ theo lịch trình: Sử dụng lệnh schtasks.exe để thiết lập các tác vụ định kỳ, đảm bảo phần mềm độc hại khởi động lại mỗi khi hệ thống khởi động hoặc theo các điều kiện cụ thể. Các tác vụ này thường được định nghĩa bằng XML và lưu trữ trong các thư mục tạm thời để tránh sự chú ý.
Một ví dụ về cấu trúc lệnh CLI được sử dụng có thể bao gồm:
powershell -Command "Add-MpPreference -ExclusionPath 'C:\Users\Public\malware.exe'"
schtasks /create /tn "MaliciousTask" /tr "C:\Users\Public\malware.exe" /sc ONLOGON /rl HIGHEST /f /xml "C:\Temp\task.xml"Phân tích Kỹ thuật Snake Keylogger
Cấu trúc và Giải nén Payload
Mẫu Snake Keylogger ban đầu xuất hiện dưới dạng một ứng dụng .NET Windows Forms lành tính có tên “vJfV.exe”, khởi tạo một giao diện chuyển đổi nhiệt độ lừa đảo để che giấu ý đồ độc hại của nó. Bên trong hàm tạo (constructor) của nó, nó sử dụng Activator.CreateInstance để khởi tạo một kiểu được tải thông qua Assembly.Load, giải nén hiệu quả một payload được nhúng trong bộ nhớ. Lớp phủ theo kiểu matryoshka này được giải nén bằng các công cụ như Chiron Unpacker, tiết lộ binary độc hại cốt lõi “jVf4P.bin” dưới tên assembly “Remington”.
Kỹ thuật Né tránh Phát hiện
Phần mềm độc hại tích hợp các quy trình chống phân tích rỗng (empty anti-analysis routines) cho máy ảo (VM), môi trường sandbox, Windows Defender và Task Manager, cho thấy một chiến lược né tránh được sắp xếp hợp lý. Các quy trình này, mặc dù không phức tạp, đủ để gây khó khăn ban đầu cho các công cụ phân tích tự động.
Thu thập Dữ liệu
Snake Keylogger có khả năng thu thập dữ liệu toàn diện từ nhiều nguồn khác nhau trên hệ thống bị lây nhiễm:
- Từ ứng dụng email: Nó thu thập dữ liệu từ các ứng dụng email như Outlook, FoxMail và Thunderbird bằng cách duyệt qua các khóa registry liên quan, phân loại và giải mã mật khẩu bằng các hàm tùy chỉnh.
- Từ trình duyệt web: Phần mềm độc hại này nhắm mục tiêu vào dữ liệu tự động điền (autofill), thẻ tín dụng, lịch sử tải xuống, các trang web hàng đầu và dữ liệu cookie từ một danh sách rộng lớn các trình duyệt, bao gồm Chrome, Firefox, Brave, Vivaldi, Microsoft Edge và các biến thể chuyên biệt như CocCoc, Orbitum và Comodo.
Cơ chế Exfiltration và Cấu hình
Các tính năng chống bot (anti-bot features) kiểm tra chống lại các địa chỉ IP của sandbox đã biết. Dữ liệu được exfiltration thông qua các kênh có thể cấu hình như SMTP, FTP, máy chủ C2 (Command and Control), Telegram hoặc Discord. Phân tích cấu hình tiết lộ các thông tin xác thực SMTP được mã hóa DES, được giải mã bằng các script Python để lộ chi tiết như email gửi đi “[email protected]”, máy chủ “mail.htcp.homes”, người nhận “[email protected]” và cổng 587.
Chỉ số IOCs (Indicators of Compromise)
Các chỉ số thỏa hiệp (IOCs) đóng vai trò quan trọng trong việc xác định và ngăn chặn các mối đe dọa liên quan đến chiến dịch này. Dưới đây là các IOCs đã được xác định:
Giá trị Hash (SHA256)
- Tệp thực thi chính: 0cb819d32cb3a2f218c5a17c02bb8c06935e926ebacf1e40a746b01e960c68e4
- Thành phần Montero (được giải nén): 3c9cddf85962249a967b3827e3edb4acb710dc0e3088c619342e2ce6df35bfbc
- Thành phần vJfV (được giải nén): 82fa8156e9d4fb47cd20908818b9172f86ed13eb683041658f242c58ce0a9cff
- Thành phần jVf4P (được giải nén): 2859b8700fc6111c40b806d114c43e2e3b4faa536eeab57d604818562905b911
- Thành phần Captive (được giải nén): 11f577cc6b6af304332d47fba2122ffb193e81378662ea7093ebe971107d89d6
Thông tin Mạng
- Email gửi đi: [email protected]
- Máy chủ SMTP: mail.htcp.homes
- Email người nhận (exfiltration): [email protected]
- Cổng SMTP: 587
Quy tắc YARA và Biện pháp Phòng thủ
Một quy tắc YARA tùy chỉnh đã được phát triển để phát hiện Cassandra Protector được sử dụng trong mẫu, đánh dấu các binary .NET có các phần có entropy cao (high-entropy sections), các thư viện cụ thể như System.Drawing.Bitmap và các mẫu hàm đặc trưng. Quy tắc này giúp các nhà phòng thủ xác định các biến thể của phần mềm độc hại ngay cả khi các giá trị hash thay đổi.
Để tăng cường khả năng phòng thủ, các tổ chức được khuyến nghị triển khai quy tắc YARA đã cung cấp và liên tục giám sát các chỉ số thỏa hiệp này để phòng ngừa các mối đe dọa tương tự. Việc theo dõi chặt chẽ các log hệ thống, lưu lượng mạng và các email đáng ngờ là rất quan trọng để phát hiện sớm và phản ứng kịp thời.
