Một biến thể mã độc TAMECAT dựa trên PowerShell mới nổi đã trở thành mối đe dọa nghiêm trọng đối với an ninh doanh nghiệp. Mục tiêu chính của mã độc này là các thông tin đăng nhập được lưu trữ trong trình duyệt Microsoft Edge và Chrome.
Giới thiệu về Mã độc TAMECAT và Hoạt động APT42
Mã độc TAMECAT hoạt động như một phần của các chiến dịch gián điệp mạng do APT42, một nhóm gián điệp mạng được hỗ trợ, thực hiện. Nhóm này đã tích cực nhắm mục tiêu vào các quan chức cấp cao trong lĩnh vực quốc phòng và chính phủ trên toàn thế giới.
Mối đe dọa này thể hiện các khả năng nâng cao trong việc đánh cắp thông tin đăng nhập, rò rỉ dữ liệu và duy trì quyền truy cập liên tục vào các hệ thống bị xâm nhập, cho phép kẻ tấn công chiếm quyền điều khiển tài khoản người dùng.
Phân tích chuyên sâu về mã độc này đã được công bố bởi Pulsedive Threat Research, cung cấp chi tiết về các cơ chế hoạt động của nó. Xem thêm tại: Pulsedive Blog.
Chuỗi Lây nhiễm và Cơ chế Khai thác Ban đầu
Mã độc TAMECAT triển khai quy trình lây nhiễm đa giai đoạn, khởi đầu bằng các chiến thuật kỹ thuật xã hội. Những kẻ tấn công mạo danh các liên hệ WhatsApp đáng tin cậy và gửi nạn nhân các liên kết độc hại lạm dụng giao thức trình xử lý URI search-ms.
Sau khi được kích hoạt, mã độc này tải xuống một VBScript thực hiện phát hiện phần mềm chống vi-rút trên hệ thống mục tiêu. Điều này nhằm xác định đường dẫn thực thi phù hợp.
Quá trình trinh sát ban đầu này cho phép mã độc TAMECAT điều chỉnh chiến lược triển khai dựa trên môi trường bảo mật mà nó gặp phải. Cách tiếp cận này giúp tối ưu hóa khả năng lây nhiễm và tránh bị phát hiện.
Kiến trúc Modular và Kênh Command-and-Control (C2)
Các nhà phân tích đã xác định mã độc TAMECAT tận dụng nhiều kênh Command-and-Control (C2). Các kênh này bao gồm các Telegram bots, Discord, Firebase và cơ sở hạ tầng Cloudflare Workers.
Kiến trúc modular của mã độc TAMECAT cho phép nó tải xuống các script PowerShell bổ sung và thực thi nhiều lệnh từ xa. Mỗi module phục vụ một mục đích cụ thể, từ trích xuất thông tin đăng nhập trình duyệt đến chụp màn hình và thu thập dữ liệu hệ thống tệp, biến nó thành một công cụ giám sát toàn diện.
Chỉ số Compromise (IOCs)
- Kênh C2:
- Telegram bots
- Discord
- Firebase
- Cloudflare Workers infrastructure
Kỹ thuật Duy trì Quyền Truy cập và Mã hóa Dữ liệu
Các tác nhân đe dọa đằng sau mã độc TAMECAT sử dụng các máy chủ WebDAV để phân phối các tệp LNK độc hại. Các tệp này được ngụy trang dưới dạng tài liệu PDF.
Khi được thực thi, các tệp LNK kích hoạt một chuỗi sự kiện nhằm thiết lập tính bền vững. Điều này được thực hiện thông qua các script đăng nhập và khóa chạy trong sổ đăng ký (registry run keys).
Mã độc giao tiếp với cơ sở hạ tầng C2 của nó bằng các kênh được mã hóa, sử dụng mã hóa AES với các khóa được xác định trước. Mục đích là để bảo vệ dữ liệu bị đánh cắp trong quá trình truyền tải. Cách tiếp cận che giấu nhiều lớp này khiến việc phát hiện trở nên khó khăn hơn đáng kể đối với các công cụ bảo mật truyền thống.
Chiếm Đoạt Thông tin Đăng nhập từ Trình duyệt
Mã độc TAMECAT triển khai các kỹ thuật tinh vi để trích xuất thông tin đăng nhập từ cả trình duyệt Microsoft Edge và Chrome. Mô-đun trích xuất thông tin đăng nhập này hoạt động hoàn toàn trong bộ nhớ, để lại rất ít dấu vết pháp y trên hệ thống bị nhiễm.
Trích xuất từ Microsoft Edge
Mã độc tận dụng tính năng gỡ lỗi từ xa của Microsoft Edge để truy cập dữ liệu trình duyệt khi ứng dụng đang chạy. Kỹ thuật này cho phép mã độc truy cập dữ liệu trình duyệt khi ứng dụng đang chạy, thu thập thông tin nhạy cảm mà không làm gián đoạn hoạt động của người dùng.
Trích xuất từ Google Chrome
Đối với Chrome, mã độc TAMECAT tạm thời tạm dừng quá trình trình duyệt để có được quyền truy cập không giới hạn vào cơ sở dữ liệu thông tin đăng nhập được lưu trữ. Cách tiếp cận kép này đảm bảo mã độc có thể thu thập thông tin xác thực nhạy cảm bất kể người dùng ưu tiên trình duyệt nào.
Quy trình Trích xuất và Rò rỉ Dữ liệu Nhạy cảm
Sau khi thông tin đăng nhập được thu thập, mã độc TAMECAT sử dụng Mô-đun Tải xuống (Download Module) và một thành phần DLL chuyên biệt có tên Runs.dll. Thành phần này được dùng để chia nhỏ dữ liệu bị đánh cắp thành các phân đoạn nhỏ hơn trước khi tiến hành rò rỉ dữ liệu nhạy cảm.
Chiến lược phân đoạn này giúp mã độc né tránh các công cụ giám sát mạng có thể gắn cờ các lần chuyển dữ liệu lớn. Điều này là một kỹ thuật tẩu tán dữ liệu hiệu quả.
Quá trình rò rỉ dữ liệu nhạy cảm sử dụng đồng thời nhiều kênh, bao gồm giao thức FTP và HTTPS. Điều này cung cấp khả năng dự phòng trong trường hợp một đường dẫn liên lạc bị chặn hoặc được giám sát.
IOCs liên quan đến exfiltration
- Tên DLL:
Runs.dll - Giao thức: FTP, HTTPS
