Threat intelligence mới ghi nhận một chiến dịch tấn công mạng sử dụng LSB steganography để ẩn cấu hình C2 trong một tệp ảnh PNG lưu trên Google Drive. Kỹ thuật này làm giảm khả năng bị phát hiện bởi các công cụ an ninh mạng thông thường, đồng thời giúp luồng điều khiển được ngụy trang dưới dạng lưu lượng hợp lệ.
Chuỗi tấn công và cơ chế ẩn C2
Chiến dịch bắt đầu từ một tệp Excel độc hại có tên “Final List_Tehran.xlsm”. Tệp này được tạo để trông giống một tài liệu hợp pháp, gắn với chủ đề bất ổn xã hội nhằm tăng khả năng người dùng mở file và bật macro.
Khi macro được kích hoạt, mã VBA trong tài liệu âm thầm giải mã C# source code được nhúng trong phần CustomXMLParts. Sau đó, nó gọi trình biên dịch Windows hợp lệ csc.exe để tạo một loader trên máy nạn nhân, lưu dưới tên AppVStreamingUX_Multi_User.dll.
Loader này tiếp tục kết nối tới một repository trên GitHub, tải về file văn bản “tamiManager.txt”, rồi giải mã nội dung Base64 để lấy liên kết Google Drive trỏ đến ảnh “MIO9.png”.
LSB steganography trong ảnh PNG
Bức ảnh PNG trông hoàn toàn bình thường nhưng lại chứa dữ liệu cấu hình C2 được mã hóa trong các least significant bits của pixel. Đây là điểm cốt lõi của lỗ hổng CVE theo hướng kỹ thuật khai thác không truyền thống: không dựa vào lỗi phần mềm, mà dựa vào việc che giấu payload trong nội dung ảnh.
Ảnh được xử lý bằng một thuật toán trích xuất LSB tùy chỉnh, sau đó kết hợp Base64 và XOR decryption để lấy toàn bộ cấu hình điều khiển.
Quy trình này khiến cảnh báo CVE hoặc bộ lọc dựa trên chữ ký khó phát hiện vì dữ liệu độc hại không xuất hiện trực tiếp trong file nhị phân thông thường.
Cấu hình C2 và các module trong bộ công cụ
Sau khi giải mã, loader thu được cấu hình C2 đầy đủ, gồm Telegram Bot token, chat ID và năm đường dẫn tải module có nhãn m1 đến m5. Các module này đảm nhiệm các chức năng khác nhau trong chuỗi remote code execution và điều khiển từ xa.
- pr: duy trì hiện diện (persistence)
- up: tải tệp lên
- do: tải tệp xuống
- cm: thực thi lệnh
- runApp: khởi chạy ứng dụng
Các module được nạp trực tiếp vào bộ nhớ để tránh tạo tệp trên đĩa, làm giảm hiệu quả của công cụ quét tĩnh và một số cơ chế phát hiện tấn công dựa trên file system.
Việc dùng in-memory execution cùng DLL loading giúp giảm dấu vết trên đĩa và làm phức tạp quá trình điều tra sau sự cố.
Kênh liên lạc và cơ chế duy trì truy cập
Để duy trì quyền truy cập sau khi máy khởi động lại, chiến dịch sử dụng Windows scheduled tasks để giữ malware hoạt động bền vững trên hệ thống bị xâm nhập. Mỗi khi khởi chạy, mã độc gửi thông điệp “is online” qua Telegram Bot API, cho phép xác nhận thời gian thực rằng máy vẫn đang bị kiểm soát.
Kết hợp giữa Google Drive, GitHub và Telegram tạo thành một chuỗi phân phối, truy xuất cấu hình và trao đổi điều khiển khép kín. Việc đi qua các nền tảng phổ biến này làm tăng nguy cơ bảo mật vì lưu lượng dễ bị nhầm lẫn với hoạt động hợp lệ.
Tham khảo thêm về dấu hiệu và ngữ cảnh kỹ thuật tại nguồn gốc phân tích: NVD.
Ảnh hưởng hệ thống và bề mặt phát hiện
Chiến dịch này tác động trực tiếp đến an toàn thông tin trên hệ thống Windows khi kết hợp macro độc hại, trình biên dịch hợp lệ, tải module động và điều khiển qua dịch vụ đám mây. Mô hình này có thể vượt qua một số kiểm soát email và proxy nếu chỉ dựa vào danh tiếng miền hoặc kiểm tra URL cơ bản.
Những điểm cần chú ý trong giám sát gồm:
- File Office có macro lạ hoặc có tham chiếu tới CustomXMLParts
- Tiến trình csc.exe được gọi bởi tài liệu Office
- Lưu lượng bất thường tới GitHub và Google Drive
- DLL được nạp trong bộ nhớ thay vì ghi ra đĩa
- Lệnh tạo scheduled task không rõ nguồn gốc
Chỉ dấu kỹ thuật và IOC
IOC được trích xuất trực tiếp từ nội dung phân tích dưới đây:
- File Excel: Final List_Tehran.xlsm
- Loader: AppVStreamingUX_Multi_User.dll
- GitHub account: johnpeterson1304
- File tải về: tamiManager.txt
- Ảnh C2: MIO9.png
- Kênh điều khiển: Telegram Bot API
- Hạ tầng lưu trữ: GitHub, Google Drive
Phát hiện xâm nhập và giảm thiểu rủi ro
Để giảm rủi ro bảo mật, cần chặn macro từ nguồn không tin cậy và giám sát các tiến trình Office sinh ra csc.exe hoặc tải DLL trong bộ nhớ. Đây là những tín hiệu quan trọng để phát hiện xâm nhập trong chiến dịch dùng kỹ thuật ẩn dữ liệu và tải module theo từng giai đoạn.
Khuyến nghị kiểm tra các tương quan sau trong hệ thống EDR/IDS:
- Office process tạo tiến trình con bất thường
- Truy cập GitHub và Google Drive ngay sau khi mở file Excel
- Chuỗi giải mã Base64 nối với XOR
- Hoạt động tạo scheduled task để duy trì tồn tại
- Tải module thực thi trực tiếp vào bộ nhớ
Nếu cần đối chiếu chỉ dấu bên ngoài, có thể xem thêm tài liệu phân tích công khai về LSB steganography và các kỹ thuật ẩn dữ liệu trên GitHub: GitHub.
Chuỗi hành vi kỹ thuật cần theo dõi
Tấn công mạng trong chiến dịch này có thể được nhận diện theo chuỗi hành vi: mở tệp Office độc hại, bật macro, sinh loader bằng csc.exe, tải cấu hình từ GitHub, giải mã ảnh PNG bằng LSB steganography, rồi nạp module C2 vào bộ nhớ. Mỗi bước riêng lẻ có thể trông vô hại, nhưng tổng thể tạo thành một quy trình xâm nhập mạng có độ ẩn cao.
