Các nhà nghiên cứu bảo mật tại Genians Security Center đã công bố phát hiện về một biến thể mới tinh vi của mã độc RoKRAT, được xác định có mối liên hệ chặt chẽ với nhóm tấn công có chủ đích (APT) APT37, còn được biết đến với tên gọi North Korean-linked APT. Biến thể này đặc biệt nổi bật với việc sử dụng kỹ thuật steganography tiên tiến để che giấu các payload độc hại của nó bên trong các tệp ảnh JPEG dường như hoàn toàn vô hại.
Kỹ thuật steganography tinh vi này mang lại cho mã độc RoKRAT khả năng lẩn tránh hiệu quả các giải pháp phát hiện dựa trên chữ ký của các phần mềm chống virus truyền thống. Thay vì lưu trữ trực tiếp trên đĩa, shellcode đã được mã hóa được nhúng một cách khéo léo vào dữ liệu hình ảnh. Sau đó, nó được giải mã và thực thi trực tiếp trong bộ nhớ hệ thống, qua đó giảm thiểu đáng kể dấu vết để lại trên hệ thống và làm phức tạp quá trình phân tích pháp y.
Kỹ thuật phân phối ban đầu và chuỗi tấn công của RoKRAT
Sự phân phối ban đầu của mã độc RoKRAT thường diễn ra thông qua các tệp tin phím tắt độc hại (.LNK) được nén và giấu kín trong các kho lưu trữ ZIP. Một kịch bản điển hình được quan sát là một tệp ZIP giả mạo có tên “National Intelligence and Counterintelligence Manuscript.zip”. Khi người dùng mở tệp ZIP này, họ sẽ thấy các tệp LNK được ngụy trang.
Chuỗi tấn công bắt đầu khi tệp LNK được kích hoạt. Điểm đáng chú ý là các tệp LNK này thường có kích thước bất thường, thường vượt quá 50MB. Kích thước lớn này không phải do nội dung hợp pháp, mà là do chúng chứa các tài liệu đánh lừa (decoy documents) cùng với các thành phần độc hại đã được mã hóa. Các thành phần này bao gồm shellcode (được tìm thấy trong các tệp như ttf01.dat), các script PowerShell (trong ttf02.dat), và các tệp batch (trong ttf03.bat). Để tìm hiểu thêm về cách các tác nhân đe dọa sử dụng các tệp LNK để triển khai mã độc, bạn có thể tham khảo bài viết chi tiết tại GBHackers on Security.
Cơ chế thực thi đa giai đoạn và kỹ thuật ẩn mình của APT37
Sau khi tệp LNK được thực thi, script batch nhúng bên trong sẽ kích hoạt PowerShell để thực hiện giai đoạn giải mã đầu tiên. Quá trình này sử dụng một phép toán giải mã XOR với một khóa byte đơn giản là 0x33. Kết quả của phép giải mã này là một khối shellcode 32-bit, đóng vai trò là payload trung gian.
Shellcode này sau đó được tiêm vào các tiến trình Windows hợp pháp đang chạy, một kỹ thuật nhằm che giấu hoạt động của mã độc. Phương pháp tiêm shellcode được mã hóa hai giai đoạn này được thiết kế để gây khó khăn tối đa cho các nhà phân tích ngược. Giai đoạn giải mã XOR ban đầu, thường diễn ra tại offset 0x590, sử dụng một khóa khác, ví dụ 0xAE. Phép toán này biến đổi dữ liệu thành một tệp thực thi hợp lệ.
Điều tra sâu hơn các tệp này thường tiết lộ các đường dẫn PDB (Program Database) nội bộ, chẳng hạn như D:\Work\Util\InjectShellcode\Release\InjectShellcode.pdb. Những đường dẫn này cung cấp thông tin quý giá về môi trường phát triển và quá trình xây dựng mã độc của APT37, cho phép các nhà phân tích hiểu rõ hơn về chu kỳ phát triển công cụ của nhóm.
Tiếp theo, mã độc RoKRAT tiến hành cấp phát một lượng lớn bộ nhớ ảo trong các tiến trình hệ thống ít bị giám sát, chẳng hạn như mspaint.exe hoặc notepad.exe, đặc biệt là từ thư mục SysWOW64. Sau khi bộ nhớ được cấp phát, các khối dữ liệu đã giải mã từ giai đoạn trước (ví dụ: một khối có kích thước 892,928 bytes) được ghi vào không gian bộ nhớ này. Một chu trình XOR bổ sung được áp dụng, sử dụng các khóa khác như 0xD6, để làm lộ ra mô-đun RoKRAT cốt lõi và đầy đủ chức năng.
Cách tiếp cận fileless malware này là một đặc điểm nổi bật, giúp giảm thiểu dấu vết trên ổ đĩa vật lý của hệ thống. Điều này làm cho việc thu thập bằng chứng và phân tích pháp y trở nên cực kỳ phức tạp. Ngoài ra, dấu thời gian của các tệp độc hại (ví dụ: 2025-04-21 00:39:59 UTC) và sự hiện diện của các chuỗi độc đáo như “–wwjaughalvncjwiajs–” trong mã độc RoKRAT cung cấp bằng chứng rõ ràng về mối liên hệ của nó với kho công cụ và chiến dịch của APT37.
Steganography: Kỹ thuật che giấu payload RoKRAT trong ảnh JPEG
Một bước tiến đáng chú ý trong sự phát triển của công cụ APT37 là việc tích hợp kỹ thuật steganography để che giấu các trình tải của mã độc RoKRAT trực tiếp trong các tệp ảnh JPEG. Ví dụ cụ thể được phân tích là tệp “Father.jpg”, được tải xuống từ nền tảng Dropbox.
Trong kịch bản tấn công này, các DLL độc hại như mpr.dll hoặc credui.dll không được thực thi trực tiếp. Thay vào đó, chúng được tải cạnh (side-load) thông qua việc lạm dụng các tệp thực thi hợp pháp của Windows, ví dụ như ShellRunas.exe hoặc AccessEnum.exe. Các tệp thực thi hợp pháp này thường được nhúng trong các tài liệu HWP (Hanword Document), một định dạng tệp phổ biến tại Hàn Quốc. Thông tin chi tiết hơn về việc sử dụng tệp HWP bởi các tác nhân đe dọa có thể được tìm thấy tại GBHackers on Security.
Tài nguyên JPEG chứa mã độc được đặt tên là “MYIMAGEFILE”. Mặc dù tệp này bắt đầu với một tiêu đề Exif hợp lệ, tạo vẻ ngoài của một hình ảnh bình thường, nhưng nó che giấu shellcode độc hại tại offset 0x4201. Shellcode này được mã hóa bằng một phép XOR với khóa 0xAA. Sau khi giải mã bằng khóa này, một phép XOR thứ cấp sử dụng khóa 0x29 được áp dụng để trích xuất payload cuối cùng của mã độc RoKRAT.
Phương pháp này cho phép thực thi liền mạch toàn bộ chuỗi payload trực tiếp trong bộ nhớ hệ thống. Điều này có nghĩa là mã độc không cần phải ghi bất kỳ tệp thực thi nào ra đĩa, một lần nữa giúp nó vượt qua các cơ chế phòng thủ điểm cuối dựa trên chữ ký truyền thống và làm cho việc phát hiện xâm nhập trở nên khó khăn hơn.
Chức năng và Cơ sở hạ tầng Chỉ huy & Điều khiển (C2) của mã độc RoKRAT
Về mặt chức năng, khi đã xâm nhập thành công, mã độc RoKRAT được thiết kế để thực hiện một loạt các hoạt động thu thập thông tin nhạy cảm. Nó thu thập thông tin chi tiết về hệ thống bị nhiễm, quét và trích xuất các tài liệu quan trọng, cũng như chụp ảnh màn hình các hoạt động của người dùng.
Dữ liệu đã thu thập sau đó được exfiltrate (đẩy ra ngoài) thông qua việc lạm dụng các API dịch vụ đám mây công khai phổ biến. Các nền tảng đám mây bị lạm dụng bao gồm api.pcloud.com, cloud-api.yandex.net, và api.dropboxapi.com. Để thực hiện việc này, mã độc sử dụng các mã truy cập (access token) đã bị thu hồi hoặc đánh cắp, ví dụ như hFkFeKn8jJIAAAAAAAAAAZr14zutJmQzoOx-g5k9SV9vy7phb9QiNCIEO7SAp1Ch. Việc này cho thấy APT37 có khả năng khai thác các thông tin xác thực bị lộ hoặc yếu kém.
Các tài khoản C2 được liên kết với các địa chỉ email như [email protected] và [email protected]. Việc phân tích các địa chỉ này cho thấy các mẫu hình sử dụng dịch vụ email của Nga và khả năng liên kết với các hồ sơ LinkedIn nhất định. Điều này phản ánh các chiến thuật và kỹ thuật đã được quan sát trong các hoạt động trước đây của APT37, củng cố thêm bằng chứng về mối liên hệ giữa nhóm APT này và biến thể mã độc RoKRAT hiện tại.
Những biến thể mã độc RoKRAT gần đây nhất, được phát hiện vào tháng 7 năm 2025, cho thấy sự thay đổi trong kỹ thuật tiêm payload. Một biến thể được ngụy trang dưới dạng “Academy Operation for Successful Resettlement of North Korean Defectors in South Korea.lnk” hiện chuyển sang tiêm vào tiến trình notepad.exe thay vì mspaint.exe. Các đường dẫn PDB được tham chiếu trong các biến thể mới này cũng cho thấy sự thay đổi, thường nằm dưới thư mục D:\Work\Weapon, đây là một dấu hiệu rõ ràng về quá trình tinh chỉnh và phát triển liên tục của bộ công cụ tấn công của APT37.
Chỉ số thỏa hiệp (IOCs) của mã độc RoKRAT
Để hỗ trợ các nỗ lực phát hiện xâm nhập, săn tìm mối đe dọa và ứng phó sự cố, dưới đây là danh sách các chỉ số thỏa hiệp (IOCs) quan trọng được liên kết với các chiến dịch triển khai mã độc RoKRAT của APT37:
- Tên tệp LNK giả mạo hoặc tệp ZIP chứa LNK:
National Intelligence and Counterintelligence Manuscript.zipAcademy Operation for Successful Resettlement of North Korean Defectors in South Korea.lnk
- Tên tệp dữ liệu đã mã hóa được nhúng trong LNK:
ttf01.dat(chứa shellcode)ttf02.dat(chứa PowerShell scripts)ttf03.bat(chứa batch files)
- Đường dẫn PDB nội bộ (chỉ báo môi trường phát triển của kẻ tấn công):
D:\Work\Util\InjectShellcode\Release\InjectShellcode.pdb- Đường dẫn gốc cho các biến thể mới hơn:
D:\Work\Weapon
- Dấu thời gian bất thường của tệp mã độc:
2025-04-21 00:39:59 UTC
- Chuỗi độc đáo nhận dạng mã độc trong bộ nhớ:
--wwjaughalvncjwiajs--
- Tên tệp ảnh JPEG chứa payload steganography:
Father.jpg- Tên tài nguyên JPEG chứa shellcode:
MYIMAGEFILE
- Các DLL bị side-load:
mpr.dllcredui.dll
- Tệp thực thi Windows hợp pháp bị lạm dụng để side-load:
ShellRunas.exeAccessEnum.exe
- API dịch vụ đám mây bị lạm dụng cho exfiltration dữ liệu:
api.pcloud.comcloud-api.yandex.netapi.dropboxapi.com
- Mã truy cập Dropbox bị thu hồi (ví dụ):
hFkFeKn8jJIAAAAAAAAAAZr14zutJmQzoOx-g5k9SV9vy7phb9QiNCIEO7SAp1Ch
- Địa chỉ email C2 liên quan đến APT37:
Giải pháp phòng chống và tăng cường bảo mật mạng trước các cuộc tấn công tinh vi
Để đối phó hiệu quả với các mối đe dọa tinh vi và khó bị phát hiện như mã độc RoKRAT, việc triển khai và tối ưu hóa các giải pháp Endpoint Detection and Response (EDR) là vô cùng quan trọng. EDR cung cấp khả năng giám sát theo thời gian thực các hành vi đáng ngờ và bất thường trên các điểm cuối, bao gồm các hoạt động như tiêm tiến trình, thực thi script độc hại và các kết nối dữ liệu ra bên ngoài tới các dịch vụ đám mây hoặc C2.
Khả năng trực quan hóa của EDR đóng vai trò thiết yếu trong việc ánh xạ toàn bộ luồng tấn công, từ điểm xâm nhập ban đầu (chẳng hạn như việc thực thi tệp LNK) cho đến quá trình exfiltration dữ liệu thông qua kênh C2. Thông tin này không chỉ giúp các đội ngũ an ninh nhanh chóng cô lập các hệ thống bị ảnh hưởng mà còn cho phép họ phân loại mối đe dọa một cách chính xác dựa trên khung phân loại MITRE ATT&CK, hỗ trợ xây dựng các biện pháp phòng thủ chủ động hơn.
Do mã độc RoKRAT liên tục cải tiến để né tránh các biện pháp phòng thủ truyền thống dựa trên chữ ký thông qua các chiến thuật như fileless malware và steganography, các tổ chức cần ưu tiên triển khai EDR cho hoạt động săn tìm mối đe dọa (proactive threat hunting). Điều này là cần thiết để đối phó với mức độ tinh vi ngày càng tăng của các chiến dịch an ninh mạng do nhà nước bảo trợ, đặc biệt là các hoạt động của APT37, nhắm mục tiêu vào các hệ sinh thái Windows tại Hàn Quốc và hơn thế nữa. Nâng cao bảo mật mạng và khả năng phát hiện xâm nhập là yêu cầu cấp thiết để bảo vệ dữ liệu và hệ thống quan trọng.
