Bối Cảnh Tấn Công: Giả Mạo Microsoft Teams và Matanbuchus 3.0
Một chiến dịch tấn công mạng tinh vi đã xuất hiện, nhắm mục tiêu vào các tổ chức thông qua việc giả mạo Microsoft Teams. Chiến dịch này phân phối loader mã độc Matanbuchus phiên bản 3.0 đã được cập nhật, đóng vai trò là tiền đề cho việc triển khai ransomware.
Các nhà nghiên cứu bảo mật tại Morphisec đã ghi nhận các trường hợp kẻ tấn công xâm nhập thành công hệ thống bằng cách giả mạo nhân viên hỗ trợ IT trong các cuộc gọi Teams bên ngoài. Hành vi này cuối cùng dẫn đến việc thực thi các script độc hại, triển khai loader mã độc nâng cao.
Chiến Dịch Lừa Đảo Xã Hội Qua Microsoft Teams
Phương pháp tấn công chính liên quan đến các kỹ thuật lừa đảo xã hội (social engineering), trong đó các tội phạm mạng liên hệ với nạn nhân qua Microsoft Teams, tự xưng là nhân viên hỗ trợ IT hợp pháp. Trong các tương tác gian lận này, kẻ tấn công hướng dẫn các nhân viên không nghi ngờ kích hoạt tính năng Quick Assist và thực thi các script PowerShell để khởi động quá trình triển khai mã độc. Kỹ thuật này thể hiện một sự phát triển đáng kể trong các vector tấn công, tận dụng sự tin cậy liên quan đến các nền tảng giao tiếp doanh nghiệp quen thuộc để vượt qua các biện pháp bảo mật truyền thống.
Matanbuchus 3.0: Loader Mã Độc Nâng Cao
Matanbuchus đã phát triển đáng kể kể từ lần triển khai ban đầu vào năm 2021, hiện hoạt động như một nền tảng Malware-as-a-Service (MaaS) tinh vi. Phiên bản 3.0 mới nhất đang được rao bán trên các thị trường ngầm với mức giá 10.000 USD cho các biến thể HTTP và 15.000 USD cho các biến thể DNS.
Chức năng chính của mã độc này là thiết lập sự thỏa hiệp ban đầu của hệ thống và tạo điều kiện thuận lợi cho việc triển khai các payload thứ cấp, bao gồm cả ransomware. Điều này khiến Matanbuchus trở thành một thành phần quan trọng trong các chuỗi tấn công đa giai đoạn.
Tiến Hóa Kỹ Thuật của Matanbuchus 3.0
Cơ Chế Che Giấu và Khai Thác API
Phiên bản Matanbuchus 3.0 cập nhật tích hợp các kỹ thuật che giấu nâng cao bằng cách sử dụng mã hóa Salsa20 với khóa 256-bit, thay thế thuật toán RC4 được sử dụng trước đây. Cải tiến này giúp cải thiện đáng kể khả năng của mã độc trong việc né tránh phát hiện, đồng thời duy trì giao tiếp với các máy chủ Command and Control (C2).
Loader này hiện sử dụng các thuật toán MurmurHash3 để phân giải API, thể hiện cam kết của nhà phát triển trong việc đi trước các cơ chế phát hiện bảo mật.
Kỹ Thuật Duy Trì Quyền Truy Cập (Persistence)
Các cơ chế duy trì quyền truy cập đã được tinh chỉnh đáng kể. Mã độc hiện tạo các tác vụ theo lịch (scheduled tasks) thông qua các kỹ thuật thao túng COM (Component Object Model) và tiêm shellcode tinh vi. Loader này tạo ra các định danh duy nhất dựa trên số serial của ổ đĩa hệ thống và thiết lập các mục đăng ký (registry entries) cho phép giao tiếp liên tục với cơ sở hạ tầng C2. Chiến lược duy trì này đảm bảo mã độc có thể duy trì sự kiểm soát trên các hệ thống bị thỏa hiệp ngay cả sau khi hệ thống khởi động lại hoặc sau các lần quét bảo mật.
Thu Thập Thông Tin Hệ Thống và Nhận Diện EDR
Matanbuchus thể hiện khả năng trinh sát hệ thống tinh vi, thu thập thông tin sâu rộng về môi trường bị thỏa hiệp, bao gồm các biện pháp kiểm soát bảo mật, cấu hình hệ thống và các ứng dụng đã cài đặt.
Matanbuchus 3.0 đặc biệt nhận diện sự hiện diện của các giải pháp phát hiện và phản hồi điểm cuối (EDR) lớn, bao gồm:
- Windows Defender
- CrowdStrike Falcon
- SentinelOne
- Sophos EDR
- Trellix
- Cortex XDR
- BitDefender GravityZone EDR
- ESET Enterprise Inspector
- Symantec Endpoint Detection and Response
Việc thu thập thông tin tình báo này cho phép mã độc điều chỉnh các chiến lược thực thi của mình dựa trên ngăn xếp bảo mật hiện có trên hệ thống mục tiêu.
Khả Năng Thực Thi Payload Đa Dạng
Loader có thể thực thi nhiều loại payload khác nhau, bao gồm các trình cài đặt MSI, tệp DLL, tệp thực thi (executables) và shellcode. Mã độc hỗ trợ cả kỹ thuật thực thi trực tiếp và kỹ thuật “process hollowing” (rỗng hóa tiến trình) để tiêm mã độc vào các tiến trình hợp pháp.
Cơ Chế Né Tránh Phát Hiện và Giao Tiếp C2
Để hòa nhập với lưu lượng mạng thông thường trong quá trình giao tiếp C2, mã độc giả mạo các ứng dụng hợp pháp như Skype Desktop (phiên bản 8.69.0.77).
Khả năng thực thi lệnh của mã độc bao gồm:
- Thực thi lệnh CMD và PowerShell trực tiếp.
- Hỗ trợ truy vấn WQL (Windows Management Instrumentation Query Language) để thu thập thông tin hệ thống.
- Khả năng cài đặt các gói MSI với quyền quản trị viên.
Đặc biệt, loader này sử dụng các lời gọi hệ thống gián tiếp (indirect system calls) để né tránh sự phát hiện của các giải pháp bảo mật theo dõi các lời gọi API trực tiếp. Điều này thể hiện các kỹ thuật né tránh nâng cao thường liên quan đến mã độc do các tổ chức nhà nước tài trợ.
Kỹ Thuật Phân Phối và Chuỗi Tấn Công
Phân Phối Qua Cybersquatting và Sideloading DLL
Cơ chế phân phối liên quan đến các kỹ thuật cybersquatting (đăng ký tên miền tương tự tên miền nổi tiếng để trục lợi). Kẻ tấn công sử dụng các miền như notepad-plus-plu[.]org (thiếu chữ ‘s’ so với tên miền hợp pháp notepad-plus-plus.org) để lưu trữ các gói cập nhật độc hại.
Các gói này chứa các thành phần cập nhật Notepad++ hợp pháp cùng với các tệp DLL độc hại thực hiện kỹ thuật “sideloading” (tải bên) payload Matanbuchus. Kỹ thuật sideloading DLL lợi dụng cách các ứng dụng Windows tải thư viện động, buộc chúng phải tải tệp độc hại thay vì tệp hợp pháp.
Chuỗi Tấn Công Ban Đầu
Chuỗi tấn công bắt đầu bằng các script PowerShell tải xuống và thực thi các gói cập nhật giả mạo này, thiết lập vector thỏa hiệp ban đầu cho phép các hoạt động độc hại tiếp theo.
Chỉ Số Thỏa Hiệp (IOCs)
Dưới đây là chỉ số thỏa hiệp liên quan đến chiến dịch tấn công này:
- Miền Cybersquatting:
notepad-plus-plu[.]org
