Cuộc điều tra khởi nguồn từ việc phát hiện hai địa chỉ IP quét hệ thống: 91.238.181[.]225 và 5.188.86[.]169. Hai địa chỉ này cùng chia sẻ một dấu vân tay SSH (Secure Shell) chung: b5:4c:ce:68:9e:91:39:e8:24:b6:e5:1a:84:a7:a1:03. Sự trùng khớp này đã dẫn đến việc xác định một mạng lưới mở rộng gồm 138 máy chủ thông qua các công cụ trinh sát như Shodan và Fofa, chỉ ra một hạ tầng rộng lớn hơn có thể liên quan đến các hoạt động Command-and-Control (C2) của chiến dịch tấn công mạng.
Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch mã độc nhiều giai đoạn tinh vi. Chiến dịch này tận dụng các tệp tin phím tắt Windows LNK độc hại để triển khai mã độc REMCOS backdoor. REMCOS là một trojan truy cập từ xa (Remote Access Trojan – RAT) mạnh mẽ, có khả năng chiếm toàn bộ quyền kiểm soát hệ thống.
Kỹ thuật Triển khai và Chuỗi Tấn công
Vector Khởi đầu và Đánh lừa Người dùng
Chuỗi tấn công thường được khởi tạo qua email lừa đảo (phishing) hoặc các tệp tải xuống độc hại. Tệp LNK được ngụy trang thành các tài liệu vô hại như hóa đơn hoặc tệp Word. Kẻ tấn công lợi dụng hành vi mặc định của Windows là ẩn phần mở rộng tệp để đánh lừa người dùng, khiến họ tin rằng đây là các tài liệu hợp lệ.
Khi được thực thi, phím tắt LNK kích hoạt một lệnh PowerShell ẩn. Lệnh này tải xuống và giải mã một payload được mã hóa Base64. Payload này sau cùng cài đặt mã độc REMCOS backdoor, thiết lập quyền truy cập liên tục, ghi lại nhật ký bàn phím và trích xuất dữ liệu nhạy cảm.
Chi tiết Thực thi Mã độc
Trong chiến dịch này, tệp LNK độc hại có tên “ORDINE-DI-ACQUIST-7263535” với SHA-256 hash là 506ecb76cf8e39743ec06129d81873f0e4c1ebfe7a352fc5874d0fc60cc1d7c6. Tệp này gọi powershell.exe với một đối số dòng lệnh bị che giấu.
Đối số dòng lệnh sử dụng System.Net.WebClient để tải một tệp được mã hóa Base64 từ tên miền shipping-hr.ro/m/r/r.txt. Tệp này được lưu dưới tên HEW.GIF trong thư mục ẩn C:\ProgramData.
Tiếp theo, script giải mã nội dung này thành một tệp thực thi nhị phân được ngụy trang dưới dạng CHROME.PIF. Tệp PIF này giả mạo một chương trình liên quan đến Chrome nhưng thực chất hoạt động như một tệp thực thi MS-DOS.
Khi khởi chạy, CHROME.PIF (SHA-256: 5ec8268a5995a1fac3530acafe4a10eab73c08b03cabb5d76154a7d693085cc2) sẽ thả thêm các artifact. Bao gồm Xufewgoz.url để duy trì sự hiện diện thông qua các phím tắt và một tệp batch (.cmd). Đồng thời, nó tạo một mutex để đảm bảo chỉ có một phiên bản được thực thi.
Phân tích Payload và Khả năng của REMCOS
Phân tích tĩnh cho thấy payload là một chương trình MS-DOS dựa trên hình ảnh PE. Nó hook vào user32.dll thông qua SetWindowsHookExA để triển khai một keylogger. Keylogger này ghi lại các đầu vào của người dùng và lưu trữ chúng trong %ProgramData%\remcos\logs.dat, cùng với ảnh chụp màn hình và nhật ký hệ thống.
Giao tiếp mạng thiết lập kết nối C2 tới các IP như 92.82.184[.]33 (Romania, liên kết với shipping-hr.ro qua TLSv1.2) và 198.23.251.10 (Hoa Kỳ, liên kết với mal289re1.es). Các kết nối này cho phép mã độc REMCOS thực hiện các khả năng cốt lõi của nó:
- Thực thi lệnh tùy ý (arbitrary command execution).
- Truyền tệp (file transfers).
- Ghi hình/âm thanh từ webcam/microphone.
- Điều khiển từ xa qua TCP với một giao thức nhị phân tùy chỉnh.
Kỹ thuật Lẩn tránh Phát hiện
Theo báo cáo của PointWild “Trojan.WinLNK.Powershell_S03”, cách tiếp cận không sử dụng tệp (fileless) này giúp mã độc lẩn tránh các phương pháp phát hiện truyền thống. Điều này được thực hiện bằng cách chạy payload trong bộ nhớ, lạm dụng các công cụ đáng tin cậy như PowerShell và mshta.exe.
Ngoài ra, các lệnh độc hại được ẩn trong các thuộc tính của tệp LNK, chẳng hạn như đường dẫn biểu tượng hoặc các luồng dữ liệu thay thế (alternate data streams). Tính tàng hình của chiến dịch còn đến từ các chiến thuật kỹ thuật xã hội, bỏ qua các cảnh báo macro thường thấy trong các cuộc tấn công dựa trên Office, và lợi dụng niềm tin của người dùng vào các loại tệp quen thuộc.
Chỉ số Nhận dạng Sự cố (IOCs)
Dưới đây là các chỉ số nhận dạng sự cố (Indicators of Compromise – IOCs) liên quan đến chiến dịch triển khai mã độc REMCOS:
- Địa chỉ IP quét:
- 91.238.181[.]225
- 5.188.86[.]169
- Dấu vân tay SSH chung:
- b5:4c:ce:68:9e:91:39:e8:24:b6:e5:1a:84:a7:a1:03
- Địa chỉ IP C2:
- 92.82.184[.]33 (Romania)
- 198.23.251.10 (United States)
- Tên miền C2:
- shipping-hr.ro
- mal289re1.es
- Tên tệp LNK độc hại:
- ORDINE-DI-ACQUIST-7263535
- SHA-256 hash của LNK:
- 506ecb76cf8e39743ec06129d81873f0e4c1ebfe7a352fc5874d0fc60cc1d7c6
- Đường dẫn tải xuống payload:
- shipping-hr.ro/m/r/r.txt
- Tệp tin được thả (dropped file):
- HEW.GIF (trong
C:\ProgramData)
- HEW.GIF (trong
- Tệp thực thi cuối cùng (PIF):
- CHROME.PIF
- SHA-256 hash của CHROME.PIF:
- 5ec8268a5995a1fac3530acafe4a10eab73c08b03cabb5d76154a7d693085cc2
- Tệp duy trì hiện diện:
- Xufewgoz.url
- Tệp nhật ký keylogger:
%ProgramData%\remcos\logs.dat
Biện pháp Khắc phục và Phòng ngừa
Phát hiện xâm nhập và Loại bỏ
Để loại bỏ mã độc REMCOS, các chuyên gia khuyến nghị khởi động vào Chế độ an toàn với mạng (Safe Mode with Networking). Sau đó, thực hiện quét hệ thống bằng các công cụ như UltraAV, vốn có khả năng phát hiện nó dưới dạng Trojan.WinLNK.Powershell_S03.
Tiếp theo, cần kiểm tra thủ công các khu vực sau để xóa các tệp đáng ngờ như CHROME.PIF:
- Task Scheduler (Trình lập lịch tác vụ).
- Registry run keys (Các khóa khởi động trong Registry).
- Startup folders (Các thư mục khởi động).
Phòng ngừa và Nâng cao An ninh
Các biện pháp phòng ngừa nhấn mạnh vào việc sử dụng phần mềm chống vi-rút có khả năng bảo vệ theo thời gian thực. Người dùng và tổ chức cần tránh mở các tệp đính kèm không đáng tin cậy. Đồng thời, việc thường xuyên theo dõi hiệu suất hệ thống thông qua Task Manager (Trình quản lý tác vụ) cũng là một cách hiệu quả để phát hiện các hoạt động bất thường.
Khi các tệp LNK độc hại tiếp tục phát triển, cuộc tấn công này nhấn mạnh sự cần thiết của việc cảnh giác cao độ. Người dùng cần đề phòng các phím tắt tưởng chừng vô hại từ email hoặc chia sẻ mạng. Nếu không được xử lý kịp thời, những cuộc tấn công này có thể dẫn đến sự xâm phạm trên diện rộng.
