Mối Đe Dọa An Ninh Mạng Tàng Hình: Remcos và AsyncRAT Trong Tệp JPG

Gần đây, mối đe dọa an ninh mạng liên quan đến một chiến dịch tàng hình (steganographic) phân phối nhiều biến thể malware, bao gồm Remcos và AsyncRAT, bằng cách ẩn chúng trong các tệp JPG tưởng chừng vô hại.

Chuỗi lây nhiễm

1. Email lừa đảo: Cuộc tấn công bắt đầu với một email lừa đảo chứa tài liệu Excel độc hại khai thác một lỗ hổng đã biết, CVE-2017-0199.
2. Yêu cầu HTTP: Khi mở tài liệu Excel, nó sẽ phát ra một yêu cầu HTTP để tải xuống một tệp .hta chứa mã VBScript.
3. Tạo tệp Batch: VBScript ghi một tệp batch kết nối đến URL để tải xuống một mã VBScript khác đã được mã hóa.
4. Triển khai tệp JPG: VBScript sau đó tải xuống một tệp JPG, mà trông vô hại nhưng chứa một loader độc hại được mã hóa bằng base64.
5. Thực thi loader: Việc sử dụng kỹ thuật tàng hình cho phép tệp JPG ẩn giấu malware một cách hiệu quả, làm cho việc phát hiện trở nên khó khăn. Loader được giải mã và thực thi, dẫn đến việc triển khai payload cuối cùng.

Các biến thể malware

1. Remcos: Remcos là một Trojan truy cập từ xa (RAT) với khả năng bao gồm giao tiếp điều khiển và kiểm soát, ghi lại nhấn phím và thực thi payload bổ sung. Nó đã là một mối đe dọa dai dẳng kể từ khi ra mắt vào năm 2016, nổi tiếng với các tính năng điều khiển và kiểm soát mạnh mẽ.
2. AsyncRAT: AsyncRAT cũng là một RAT được viết bằng C#, cung cấp các chức năng tương tự như Remcos với khả năng thêm là tránh bị phát hiện thông qua các kỹ thuật như thực thi bị trì hoãn.

Chi tiết kỹ thuật và kỹ thuật lẩn tránh

1. Hollowing tiến trình: Malware sử dụng kỹ thuật hollowing tiến trình để tiêm mã độc hại vào các tiến trình hợp pháp, đảm bảo tính ổn định và tránh xa phần mềm bảo mật.
2. Obfuscation DLL: Các DLL liên quan được mã hóa, với một số tên hàm .NET phổ biến bị che giấu, làm cho việc kỹ thuật hồi tiếp trở nên khó khăn hơn.
3. Kỹ thuật giả mạo: Cuộc tấn công sử dụng kỹ thuật giả mạo, nơi các script độc hại được ngụy trang như các tệp hoặc script hệ thống hợp pháp, như “prnmngr.vbs,” được sử dụng để quản lý máy in, vì vậy tránh bị nghi ngờ.
4. Máy chủ điều khiển và kiểm soát: Các máy chủ điều khiển và kiểm soát cho các biến thể malware này có khả năng triển khai thêm các payload, làm suy yếu thêm hệ thống của nạn nhân.

Khuyến nghị thực tiễn

1. Cảnh giác của người dùng: Người dùng được khuyến nghị nên cảnh giác và áp dụng các biện pháp tốt nhất để bảo vệ hệ thống và tính toàn vẹn dữ liệu của họ.
2. Biện pháp an ninh mạnh mẽ: Triển khai các biện pháp an ninh mạng mạnh mẽ, bao gồm cập nhật phần mềm thường xuyên, sử dụng phần mềm diệt virus, và cẩn thận với các tệp đính kèm email và liên kết có thể giúp giảm thiểu các cuộc tấn công như vậy.

Ngữ cảnh bổ sung

• Tàng hình trong tệp JPG: Việc sử dụng tàng hình trong các tệp JPG nhấn mạnh tính chất tiến hóa của các mối đe dọa mạng và nhu cầu về các biện pháp an ninh mạng mạnh mẽ để bảo vệ khỏi những cuộc tấn công tinh vi như vậy.
• Các mối đe dọa gần đây khác: Các mối đe dọa gần đây khác bao gồm Trojan Necro, đã lây nhiễm cho hơn 11 triệu thiết bị bằng cách ẩn trong các ứng dụng phổ biến và mod trò chơi, và malware ClearFake, đã khai thác các khả năng Web3 để nâng cao hoạt động độc hại của nó.