Các tác nhân đe dọa đã triển khai một chiến dịch lừa đảo tinh vi, giả mạo Turkish Aerospace Industries (TUSAŞ) nhằm mục tiêu vào các doanh nghiệp Thổ Nhĩ Kỳ, đặc biệt là trong lĩnh vực quốc phòng và hàng không vũ trụ.
Tổng quan về Chiến dịch Phishing nhắm mục tiêu TUSAŞ
Chiến dịch này phân phát các email độc hại ngụy trang dưới dạng tài liệu hợp đồng. Một trong những tệp tin được sử dụng là “TEKLİF İSTEĞİ – TUSAŞ TÜRK HAVACILIK UZAY SANAYİİ_xlsx.exe”. Tệp thực thi PE32 này, được xác định là một .NET assembly dành cho MS Windows, có nhiệm vụ phát tán một biến thể của Snake Keylogger.
Snake Keylogger là một phần mềm độc hại đánh cắp thông tin, được thiết kế để thu thập dữ liệu nhạy cảm bao gồm thông tin xác thực (credentials), cookies và thông tin tài chính từ các trình duyệt web và ứng dụng email của nạn nhân.
Phân tích kỹ thuật Snake Keylogger
Cơ chế hoạt động và Thu thập dữ liệu
Sau khi được thực thi, Snake Keylogger sẽ bắt đầu thu thập dữ liệu từ một loạt các ứng dụng và trình duyệt. Keylogger này nhắm mục tiêu dữ liệu từ các ứng dụng email như Outlook, FoxMail và Thunderbird bằng cách duyệt qua các khóa registry liên quan, phân loại và giải mã mật khẩu thông qua các hàm chuyên biệt, ví dụ như decryptOutlookPassword.
Phạm vi thu thập dữ liệu của nó được mở rộng để đánh cắp dữ liệu tự động điền (autofill data), chi tiết thẻ tín dụng, lịch sử tải xuống, các trang web hàng đầu và cookies từ hơn 30 trình duyệt khác nhau. Các trình duyệt được nhắm mục tiêu cụ thể bao gồm:
- Google Chrome
- Mozilla Firefox
- Brave
- Vivaldi
- Microsoft Edge
- Và nhiều trình duyệt khác.
Kỹ thuật duy trì quyền truy cập và Né tránh phát hiện
Để đảm bảo quyền truy cập lâu dài vào các hệ thống bị xâm nhập và né tránh phát hiện, Snake Keylogger sử dụng các kỹ thuật duy trì quyền truy cập nâng cao:
- Thêm vào danh sách loại trừ của Windows Defender: Malware sử dụng các lệnh PowerShell để tự thêm vào danh sách loại trừ của Windows Defender, giúp nó tránh bị phát hiện bởi phần mềm bảo mật mặc định của hệ điều hành. Ví dụ, một lệnh PowerShell tương tự có thể được sử dụng là:
Add-MpPreference -ExclusionPath "C:\path\to\malware.exe" - Tạo tác vụ theo lịch trình: Nó cũng tạo ra các tác vụ theo lịch trình (scheduled tasks) để tự động khởi động cùng hệ thống, đảm bảo sự kiên trì trong việc truy cập. Các tác vụ này thường được định nghĩa bằng XML và lưu trữ trong các thư mục tạm thời. Công cụ
schtasks.exeđược sử dụng để thiết lập các tác vụ này. - Sử dụng lệnh gọi hệ thống: Malware dựa vào các lệnh gọi hệ thống (system calls) như
NtCreateUserProcessđể thực hiện kỹ thuật tiêm tiến trình (process injection), tăng cường khả năng ẩn mình.
Cấu trúc Malware và Tái tạo lõi
Phân tích sâu hơn cho thấy cấu trúc phân lớp của Snake Keylogger, ban đầu được che đậy bởi một ứng dụng Windows Forms dường như vô hại có tên “temperatureConverterForm”. Ứng dụng này thực hiện các thao tác vô hại như chuyển đổi nhiệt độ để che giấu mục đích thực sự của nó.
Tại thời điểm chạy (runtime), nó tải các payload bổ sung vào bộ nhớ bằng cách sử dụng các phương thức như Assembly.Load và Activator.CreateInstance, thể hiện kiểu lồng ghép “matryoshka”. Quá trình này giúp che giấu lõi độc hại.
Việc giải nén bằng các công cụ như Chiron Unpacker cho phép truy cập vào tệp nhị phân độc hại cốt lõi, được đặt tên là “Remington”. Tệp nhị phân này bao gồm các stubs chống phân tích (anti-analysis stubs) trống rỗng để né tránh các môi trường như VM, Sandboxie, Windows Defender và Task Manager. Điều này cho thấy tiềm năng cho các cải tiến trong tương lai của malware.
Kỹ thuật chống phân tích và Chống Bot
Để tránh bị phân tích trong các môi trường kiểm soát, malware Remington chứa các stubs chống phân tích đã được đề cập. Ngoài ra, nó còn tích hợp các tính năng chống bot (anti-bot features) bằng cách kiểm tra các địa chỉ IP sandbox đã biết. Điều này giúp nó tránh thực thi trong các môi trường được thiết lập để phân tích malware, làm tăng độ khó khăn trong việc phát hiện và nghiên cứu.
Cơ chế Rò rỉ dữ liệu và Cấu hình
Kênh Exfiltration
Dữ liệu bị đánh cắp được rò rỉ (exfiltration) qua các kênh có thể cấu hình được, bao gồm:
- SMTP (Simple Mail Transfer Protocol)
- FTP (File Transfer Protocol)
- Telegram
Giải mã Cấu hình SMTP
Việc trích xuất cấu hình của malware cho thấy các thông tin xác thực SMTP được mã hóa bằng thuật toán DES. Các thông tin này có thể được giải mã bằng cách sử dụng các script Python tận dụng các khóa được tạo ra từ băm MD5 để giải mã chế độ ECB (Electronic Codebook). Quá trình này đã tiết lộ các chi tiết quan trọng về máy chủ và tài khoản email được sử dụng để rò rỉ dữ liệu, bao gồm:
- Máy chủ SMTP: mail.htcp.homes
- Cổng SMTP: 587
- Điểm cuối email: [email protected]
Chỉ báo Thỏa hiệp (IOCs)
Các chỉ báo thỏa hiệp (Indicators of Compromise – IOCs) quan trọng liên quan đến chiến dịch này bao gồm:
- Tên tệp độc hại:
TEKLİF İSTEĞİ – TUSAŞ TÜRK HAVACILIK UZAY SANAYİİ_xlsx.exe - SHA256 của tệp độc hại:
0cb819d32cb3a2f218c5a17c02bb8c06935e926ebacf1e40a746b01e960c68e4 - Máy chủ SMTP dùng để exfiltration:
mail.htcp.homes - Địa chỉ email dùng để exfiltration:
[email protected]
Sự cố này đã được báo cáo cho Đội ứng cứu khẩn cấp máy tính quốc gia Thổ Nhĩ Kỳ (USOM), với những nỗ lực đang diễn ra nhằm thông báo cho các nạn nhân bị ảnh hưởng và giảm thiểu rủi ro thông qua chia sẻ thông tin tình báo cộng tác.
Phát hiện và Phòng ngừa
Quy tắc YARA tùy chỉnh
Một quy tắc YARA tùy chỉnh đã được phát triển để phát hiện kỹ thuật che giấu Cassandra Protector obfuscation được sử dụng bởi malware. Quy tắc này gắn cờ các mẫu .NET có các đặc điểm sau:
- Các section có entropy cao.
- Sử dụng các thư viện cụ thể như
System.Drawing.Bitmap. - Các mẫu phản ánh (reflective patterns) nhất định.
Việc áp dụng các quy tắc YARA này giúp các tổ chức bảo mật có thể nhanh chóng xác định và ngăn chặn các biến thể của Snake Keylogger sử dụng kỹ thuật che giấu tương tự.
Các biện pháp bảo vệ
Những người bảo vệ hệ thống có thể tận dụng các thông tin tình báo đã được cung cấp, bao gồm cấu hình đã được giải mã và các quy tắc YARA, để củng cố khả năng phát hiện mối đe dọa. Chiến dịch này nhấn mạnh sự tiến hóa trong các chiến thuật đánh cắp thông tin xác thực trong các lĩnh vực mục tiêu. Điều này đòi hỏi các tổ chức phải tăng cường các biện pháp sau:
- Lọc email nâng cao: Triển khai các giải pháp lọc email tiên tiến để phát hiện và chặn các email lừa đảo trước khi chúng đến hộp thư của người dùng.
- Phân tích hành vi: Sử dụng các công cụ phân tích hành vi để phát hiện các hoạt động bất thường trên hệ thống, có thể là dấu hiệu của sự xâm nhập malware.
- Giám sát thời gian chạy: Thực hiện giám sát thời gian chạy (runtime monitoring) để theo dõi các lệnh gọi hệ thống, hoạt động tiến trình và tương tác mạng, giúp phát hiện các hành vi độc hại ngay lập tức.
Sự kết hợp của các biện pháp phòng thủ này là cần thiết để chống lại các mối đe dọa ngày càng tinh vi như chiến dịch Snake Keylogger nhắm mục tiêu vào ngành công nghiệp quốc phòng và hàng không vũ trụ.
