Vào tháng 5 năm 2025, các chuyên gia an ninh mạng đã phát hiện một cuộc tấn công có chủ đích nhằm vào một công ty kế toán công chứng có trụ sở tại Hoa Kỳ. Chiến dịch này được mô tả chi tiết trong báo cáo “TRU Positives” của eSentire’s Threat Response Unit (TRU), làm nổi bật sự tinh vi trong các phương thức tấn công hiện đại.
Tổng quan về Chiến dịch Tấn công
Phát hiện và Nạn nhân
Cuộc tấn công được phát hiện bởi các trung tâm điều hành an ninh (SOC) 24/7 của eSentire, với đội ngũ thợ săn mối đe dọa và nhà phân tích mạng chuyên nghiệp. Họ đã nhanh chóng xác định và ngăn chặn mối đe dọa trong vòng vài phút, nhấn mạnh tầm quan trọng của việc giám sát liên tục để chống lại các kỹ thuật né tránh ngày càng phức tạp.
Nạn nhân chính của chiến dịch này là một công ty kế toán công chứng được chứng nhận có trụ sở tại Hoa Kỳ, cho thấy các tác nhân đe dọa đang nhắm mục tiêu vào các tổ chức nắm giữ dữ liệu nhạy cảm.
Công cụ và Mục tiêu
Chiến dịch đã sử dụng một crypter mới có tên “Ghost Crypt” để phân phối PureRAT, một Trojan truy cập từ xa (RAT) đã gia tăng đáng kể về mức độ phổ biến trong suốt năm 2025. Sự kết hợp giữa một crypter tiên tiến và một RAT mạnh mẽ cho phép kẻ tấn công thực hiện các hoạt động giám sát và đánh cắp dữ liệu tinh vi.
Vectơ Ban đầu
Kẻ tấn công đã triển khai các chiến thuật kỹ thuật xã hội, mạo danh một khách hàng mới để phân phối các payload độc hại thông qua Zoho WorkDrive, một nền tảng chia sẻ tệp dựa trên đám mây. Phương pháp này kết hợp sự khẩn cấp thông qua các cuộc gọi điện thoại với các tệp đính kèm PDF lừa đảo chứa liên kết đến các kho lưu trữ nén (.zip). Điều này cho phép kẻ tấn công thiết lập quyền truy cập ban đầu và sau đó thực thi phần mềm độc hại.
Chi tiết Luồng Tấn công
Giai đoạn Truy cập Ban đầu
Kho lưu trữ ZIP độc hại được tải xuống từ Zoho WorkDrive bao gồm các tệp trông có vẻ hợp pháp như tài liệu thuế và bản quét giấy phép lái xe để tạo sự tin cậy. Bên cạnh đó là một tệp thực thi với phần mở rộng kép được ngụy trang thành PDF (ví dụ: .pdf.exe).
Chain Thực thi Mã độc
Tệp thực thi này, vốn là một phiên bản hpreader.exe hợp pháp từ Haihaisoft Limited, đã thực hiện sideload một DLL độc hại được đổi tên. DLL này ban đầu có tên là oledlg.dll nhưng đã được sửa đổi thành CriticalUpdater0549303.dll.
Kỹ thuật Sideloading DLL
Kỹ thuật DLL sideloading là một phương pháp phổ biến để thực thi mã độc bằng cách lợi dụng cách hệ điều hành tìm kiếm và tải các thư viện DLL. Trong trường hợp này, kẻ tấn công đã đặt DLL độc hại trong cùng thư mục với tệp thực thi hợp pháp (hpreader.exe), khiến hệ thống tải DLL độc hại thay vì phiên bản hợp pháp.
Ghost Crypt: Kỹ thuật Crypter tinh vi
Tính năng và Khả năng
Ghost Crypt, được quảng cáo trên các diễn đàn ngầm như HackForums từ tháng 4/2025, cung cấp các tính năng mã hóa tiên tiến bao gồm hỗ trợ cho các binary x86, .NET, và native, cũng như khả năng DLL sideloading. Nó cũng tuyên bố có thể vượt qua Windows Defender và nhiều giải pháp phát hiện và phản hồi điểm cuối (EDR) khác.
Các tính năng chính của crypter này bao gồm:
- Một công cụ đa hình (polymorphic engine) đạt hiệu quả 99%.
- Khả năng tương thích với Windows 11 24H2+.
- Tích hợp với các công cụ như Kleenscan để kiểm tra khả năng né tránh antivirus trước khi triển khai.
Cơ chế Mã hóa và Tiêm Payload
Crypter sử dụng một thuật toán ChaCha20 đã được sửa đổi với một hằng số ma thuật không chuẩn, một nonce 12 byte rỗng và bộ đếm rỗng. Sau khi giải mã payload, nó tiến hành tiêm payload này vào binary Windows hợp pháp csc.exe thông qua kỹ thuật “Process Hypnosis”.
Quá trình tiêm payload bao gồm các bước sau:
- Tạo một tiến trình con đã được debug bằng cách sử dụng hàm
CreateProcessWvới cờ được đặt làDEBUG_ONLY_THIS_PROCESS. - Cấp phát bộ nhớ có quyền đọc, ghi và thực thi (RWX) bằng cách sử dụng
VirtualAllocEx. - Ghi payload của PureRAT vào bộ nhớ được cấp phát bằng
WriteProcessMemory.
Kỹ thuật Né tránh Windows 11
Để né tránh các biện pháp bảo vệ của Windows 11, crypter đã vá ZwManageHotpatch. Cuối cùng, nó chuyển hướng điểm vào của tiến trình bằng cách sử dụng SetThreadContext, cho phép mã độc được thực thi trong ngữ cảnh của csc.exe.
PureRAT: Trojan Truy cập Từ xa
Tổng quan và Obfuscation
PureRAT được bán bởi nhà cung cấp PureCoder, người đã chuyển trọng tâm từ PureHVNC sang RAT này. Phần mềm độc hại này được làm rối mã (obfuscate) nặng nề bằng Eazfuscator.NET và có thể được giải mã bằng các công cụ như EazFixer, cho thấy mức độ bảo vệ mã nguồn cao mà kẻ tấn công sử dụng.
Giải mã và Tải Payload
PureRAT giải mã các payload thông qua thuật toán AES-256 ở chế độ CBC, sau đó là giải nén GZIP, bỏ qua các byte ban đầu để trích xuất. Nó tải một DLL .NET được nhúng, được đóng gói bằng .NET Reactor và được giải nén thông qua NetReactorSlayer. DLL này sau đó giải nén một payload GZIP được mã hóa base64 chứa một chứng chỉ X.509 để liên lạc C2 an toàn.
Giao tiếp C2 và Thu thập Dữ liệu
Chứng chỉ X.509, với thời gian hiệu lực kéo dài đến năm 9999 và khóa công khai RSA-4096, tạo điều kiện thuận lợi cho việc ngoại lọc dữ liệu hệ thống được mã hóa. Dữ liệu này bao gồm dấu vân tay phần cứng, thông tin xác thực người dùng và các tiện ích mở rộng ví tiền điện tử được nhắm mục tiêu từ các trình duyệt như Chrome, Edge và Brave.
Ngoài ra, PureRAT còn quét và nhắm mục tiêu vào các ứng dụng máy tính để bàn như Telegram, Ledger Live, Exodus và Atomic Wallet, cho thấy sự quan tâm của kẻ tấn công đến tài sản kỹ thuật số.
Duy trì và Né tránh
Để duy trì quyền truy cập, PureRAT đã thiết lập cơ chế bền vững bằng cách sao chép DLL độc hại vào thư mục Documents của người dùng và thêm một mục nhập khóa Windows Registry Run. Điều này đảm bảo rằng mã độc sẽ tự khởi chạy mỗi khi hệ thống khởi động.
Bằng cách gọi SetThreadExecutionState với các cờ ngăn hệ thống đi vào chế độ ngủ, PureRAT đảm bảo quyền truy cập kéo dài, chờ đợi các lệnh từ máy chủ C2 để triển khai các plugin bổ sung.
Nhiễm trùng này phản ánh các chiến thuật trong các chiến dịch PureHVNC trước đây, làm nổi bật bối cảnh mối đe dọa đang phát triển, nơi tội phạm mạng khai thác các nền tảng hợp pháp như Zoho để phân phối RAT một cách lén lút.
Chỉ số thỏa hiệp (IOCs)
Các chỉ số thỏa hiệp (IOCs) liên quan đến chiến dịch này bao gồm:
- Crypter: Ghost Crypt
- Malware: PureRAT
- Tên tệp độc hại:
- Tệp ZIP độc hại (được phân phối qua Zoho WorkDrive)
- Tệp thực thi có phần mở rộng kép, ví dụ:
.pdf.exe - DLL độc hại được đổi tên:
CriticalUpdater0549303.dll(ban đầu làoledlg.dll) - Tệp thực thi hợp pháp bị lợi dụng:
hpreader.exe(từ Haihaisoft Limited)
- Nền tảng phân phối: Zoho WorkDrive
- Diễn đàn quảng cáo Crypter: HackForums
- Mục tiêu dữ liệu: Dấu vân tay phần cứng, thông tin xác thực người dùng, tiện ích mở rộng ví tiền điện tử từ Chrome, Edge, Brave. Dữ liệu từ Telegram, Ledger Live, Exodus, Atomic Wallet.
Phòng ngừa và Giảm thiểu Rủi ro
eSentire khuyến nghị các biện pháp phòng ngừa và giảm thiểu sau đây để chống lại các cuộc tấn công tương tự:
- Triển khai xác thực đa yếu tố (MFA) cho tất cả các dịch vụ và tài khoản.
- Đào tạo nhân viên định kỳ về các mối đe dọa kỹ thuật xã hội và cách nhận biết các nỗ lực lừa đảo.
- Sử dụng các dịch vụ phát hiện và phản hồi được quản lý (MDR) để đảm bảo giám sát 24/7 và phản ứng nhanh chóng trước các mối đe dọa.
Việc phòng thủ phải luôn cảnh giác và được tăng cường bởi AI để đối phó hiệu quả với các tác nhân đe dọa hoạt động liên tục.
