Gần đây, các chuyên gia của **CYFIRMA** đã phát hiện một chiến dịch tấn công mạng tinh vi, trong đó các tác nhân đe dọa lạm dụng nền tảng GitHub để lưu trữ và phát tán phần mềm độc hại, ngụy trang dưới dạng các phần mềm hợp pháp. Chiến dịch này nhắm vào người dùng đang tìm kiếm các công cụ miễn phí hoặc bản mod game.
Tổng Quan Chiến Dịch Tấn Công GitHub
Các tác nhân đe dọa đã sử dụng nhiều mồi nhử hấp dẫn để lừa người dùng tải xuống payload độc hại. Các tệp tin độc hại được ngụy trang thành những phần mềm phổ biến như “Free VPN for PC” (VPN miễn phí cho PC) và “Minecraft Skin Changer” (công cụ thay đổi skin Minecraft). Mục tiêu cuối cùng là khiến người dùng tải về một dropper nguy hiểm có tên là **Launch.exe**.
Các tệp độc hại này được lưu trữ công khai trên kho lưu trữ GitHub tại địa chỉ **github[.]com/SAMAIOEC**. Để tăng khả năng lẩn tránh các cơ chế quét bảo mật dựa trên trình duyệt, các tệp này được cung cấp kèm theo hướng dẫn chi tiết và đóng gói trong các tệp ZIP được bảo vệ bằng mật khẩu. Việc lạm dụng một nền tảng đáng tin cậy như GitHub phản ánh xu hướng ngày càng tăng của tội phạm mạng trong việc khai thác các kho lưu trữ mã nguồn mở để phát tán phần mềm độc hại, lợi dụng nhu cầu tìm kiếm công cụ miễn phí hoặc mod game của người dùng.
Phân Tích Kỹ Thuật Malware
Phân tích sâu về phần mềm độc hại cho thấy một chuỗi tấn công nhiều giai đoạn (multi-stage attack chain) được thiết kế nhằm mục đích ẩn mình và né tránh sự phát hiện.
Dropper Ban Đầu: Launch.exe
Thành phần thực thi chính, **Launch.exe**, đóng vai trò là dropper ban đầu. Tệp này có giá trị băm **MD5** là **bbc7fc957d4fff6a55bd004a3d124dda**.
Khi được thực thi, **Launch.exe** bắt đầu quá trình giải mã một payload DLL đã được mã hóa **Base64**. Payload này được che giấu khéo léo bên trong một đoạn văn bản tiếng Pháp dường như vô nghĩa, một kỹ thuật được sử dụng để làm xao nhãng hoặc gây nhầm lẫn. Sau khi giải mã **Base64**, mã độc còn áp dụng thêm một lớp làm rối (obfuscation) nữa thông qua các phép biến đổi bitwise được thực hiện trong hàm **SinCosMath()**. Điều này làm tăng độ phức tạp trong việc phân tích tĩnh và động.
Payload DLL đã được giải mã sẽ được thả xuống dưới dạng tệp **msvcp110.dll** trong thư mục **AppData\Roaming** của người dùng. Sau đó, nó được tải động vào bộ nhớ bằng cách sử dụng các lệnh gọi API của Windows như **LoadLibrary()** và **GetProcAddress()**.
Phân Tích DLL Payload
Tệp DLL này thể hiện mức độ entropy cao, một dấu hiệu thường gợi ý rằng nó đã được đóng gói (packed) hoặc mã hóa nhằm mục đích che giấu nội dung thực sự. Để chống lại quá trình phân tích ngược, DLL này tích hợp các kỹ thuật chống debug tinh vi, ví dụ như sử dụng hàm **IsDebuggerPresent()** để tự chấm dứt hoạt động nếu phát hiện đang chạy trong môi trường phân tích.
Ngoài ra, việc sử dụng luồng điều khiển (control flow) phức tạp một cách quá mức nhằm mục đích gây khó khăn và làm nản lòng các nhà phân tích trong việc đảo ngược mã và hiểu được logic hoạt động của nó.
Triển Khai và Thực Thi Lumma Stealer
Mục tiêu cuối cùng của chiến dịch này là triển khai **Lumma Stealer**, một phần mềm đánh cắp thông tin (information-stealing malware) khét tiếng. Việc triển khai được thực hiện thông qua kỹ thuật tiêm tiến trình (process injection) vào các tệp nhị phân hợp pháp của Windows, chẳng hạn như **MSBuild.exe** và **aspnet_regiis.exe**.
Theo báo cáo của **Cyfirma**, các tiến trình đáng tin cậy này bị lạm dụng để vượt qua các biện pháp kiểm soát bảo mật. Các lệnh gọi API cấp thấp như **VirtualAlloc()** và **NtWriteVirtualMemory()** được sử dụng để tạo không gian bộ nhớ và ghi payload vào đó, tạo điều kiện cho việc thực thi payload ngay trong bộ nhớ mà không cần lưu trữ tệp trên đĩa, giúp tránh bị phát hiện bởi các giải pháp an ninh truyền thống.
Cơ Sở Hạ Tầng Command and Control (C2) và Kỹ Thuật Tấn Công
Phân tích động (dynamic analysis) đã tiết lộ các nỗ lực kết nối đến một miền Command and Control (C2) đáng ngờ: **explorationmsn[.]store**. Miền này, cùng với các cơ sở hạ tầng khác, phù hợp với các mẫu hoạt động đã biết của **Lumma Stealer**.
Mặc dù phân tích tĩnh chi tiết đã làm sáng tỏ các chiến thuật làm rối và ánh xạ các hành vi sang các kỹ thuật **MITRE ATT&CK** như **DLL side-loading (T1574.002)** và **Masquerading (T1036)**, danh tính của tác nhân đe dọa vẫn chưa được xác định. Điều này nhấn mạnh sự cần thiết của các biện pháp phòng thủ chủ động.
Các Chỉ Dẫn Về Sự Thỏa Hiệp (IOCs)
Dưới đây là các chỉ dẫn về sự thỏa hiệp (Indicators of Compromise) được xác định trong chiến dịch này:
- GitHub Repository:
github[.]com/SAMAIOEC - MD5 Hash của Dropper (Launch.exe):
bbc7fc957d4fff6a55bd004a3d124dda - Tên tệp DLL bị thả:
msvcp110.dll - Vị trí DLL bị thả:
AppData\Roaming\msvcp110.dll(trong thư mục người dùng) - Command and Control (C2) Domain:
explorationmsn[.]store - Gia đình Malware: Lumma Stealer
Chiến Lược Phòng Ngừa và Phát Hiện
Chiến dịch này nhấn mạnh tầm quan trọng của sự cảnh giác khi tải phần mềm từ các nền tảng như GitHub. Các tổ chức và cá nhân cần thực hiện các biện pháp phòng ngừa và phát hiện sau:
- Chặn Miền C2: Ngăn chặn truy cập đến các miền Command and Control (C2) đã được xác định để cắt đứt liên lạc của malware với máy chủ điều khiển.
- Hạn chế Tải Xuống Thực Thi: Hạn chế hoặc cấm tải xuống các tệp thực thi từ các nguồn không được xác minh. Luôn ưu tiên tải phần mềm từ các trang web chính thức của nhà phát triển.
- Giám sát Hoạt Động Bất Thường: Liên tục giám sát các hoạt động đáng ngờ trên hệ thống, chẳng hạn như sự xuất hiện của các tệp DLL trong các thư mục người dùng không điển hình hoặc việc sử dụng API bất thường bởi các tiến trình hợp pháp.
- Giáo Dục Người Dùng: Nâng cao nhận thức cho người dùng về những rủi ro khi tải xuống và sử dụng các công cụ “miễn phí” không rõ nguồn gốc hoặc các bản mod game từ các kho lưu trữ không chính thức.
- Giải Pháp Phát Hiện Dựa Trên Hành Vi: Triển khai và sử dụng các giải pháp Endpoint Detection and Response (EDR) có khả năng phát hiện các hành vi độc hại, không chỉ dựa vào chữ ký, mà còn dựa trên các chuỗi hành vi bất thường.
- Áp Dụng Quy Tắc YARA: Nếu có sẵn, áp dụng các quy tắc YARA để phát hiện các tệp hoặc mẫu hành vi liên quan đến **Lumma Stealer** hoặc các thành phần độc hại được mô tả trong chiến dịch này.
Việc kết hợp giáo dục người dùng với các giải pháp bảo mật kỹ thuật mạnh mẽ là chìa khóa để giảm thiểu đáng kể các mối đe dọa tương tự.
