Nhóm đe dọa mạng (APT) Dropping Elephant, được cho là có liên kết với Ấn Độ, đã triển khai một cuộc tấn công mạng phức tạp nhắm vào lĩnh vực quốc phòng Pakistan. Chiến dịch này sử dụng một trojan truy cập từ xa (RAT) dựa trên Python, được ngụy trang tinh vi bên trong một dropper MSBuild. Cuộc tấn công đa giai đoạn này được chuyên gia Idan Tarab nhận diện, cho thấy khả năng kỹ thuật cao trong việc khai thác các mục tiêu nhạy cảm.
Chiến dịch đặc biệt nhắm vào các đơn vị nghiên cứu và phát triển quân sự cùng các cơ sở mua sắm có liên quan đến Tổng công ty Phát thanh và Viễn thông Quốc gia Pakistan (National Radio and Telecommunication Corporation). Mục tiêu cụ thể hóa rủi ro từ các nhóm đe dọa mạng tiên tiến đối với cơ sở hạ tầng quốc phòng khu vực.
Kỹ Thuật Tấn Công Mạng Của Dropping Elephant
Vector Xâm Nhập Ban Đầu
Giai đoạn đầu của cuộc tấn công bắt đầu với một email lừa đảo (phishing) được thiết kế tinh vi. Email này chứa một tệp nén ZIP archive độc hại. Khi người dùng tải xuống và giải nén, bên trong sẽ có một tệp dự án MSBuild (Microsoft Build Engine) đóng vai trò là dropper ban đầu, cùng với một tệp PDF mồi nhử giả mạo để tạo sự hợp pháp.
Việc sử dụng các tệp MSBuild hợp pháp để thực thi mã độc là một kỹ thuật thường thấy trong các cuộc tấn công của nhóm đe dọa mạng tiên tiến. Kỹ thuật này được biết đến là lạm dụng các nhị phân ‘living-off-the-land’ (LoLBins) để né tránh phát hiện.
Cơ Chế Dropper và Duy Trì Truy Cập
Khi tệp dự án MSBuild được thực thi, nó sẽ bắt đầu quá trình tải xuống nhiều thành phần độc hại vào thư mục Windows Tasks của hệ thống bị xâm nhập. Để đảm bảo duy trì quyền truy cập (persistence), dropper tạo ra các tác vụ theo lịch (scheduled tasks) với các tên có vẻ hợp pháp, chẳng hạn như KeyboardDrivers và MsEdgeDrivers.
Kỹ thuật này cho phép mã độc khởi chạy lại sau khi hệ thống khởi động lại hoặc theo các khoảng thời gian nhất định, cung cấp khả năng chiếm quyền điều khiển liên tục. Việc ngụy trang dưới tên các dịch vụ hệ thống hợp pháp giúp mã độc ẩn mình và khó bị phát hiện bởi các công cụ bảo mật tiêu chuẩn.
Kỹ Thuật Né Tránh Phát Hiện Nâng Cao
Nhóm Dropping Elephant đã áp dụng các kỹ thuật che giấu (obfuscation) phức tạp trong toàn bộ chuỗi lây nhiễm. Một trong số đó là sử dụng phương pháp mã hóa UTF-reverse để tái cấu trúc các chuỗi dữ liệu. Điều này làm cho việc phân tích tĩnh trở nên cực kỳ khó khăn, gây cản trở cho các nhà nghiên cứu bảo mật và công cụ phát hiện.
Bên cạnh đó, nhóm này còn sử dụng kỹ thuật phân giải API động để tránh bị các công cụ bảo mật phát hiện. Thay vì gọi trực tiếp các hàm API hệ thống, mã độc sẽ tìm kiếm và tải các hàm này trong thời gian chạy. Điều này giúp mã độc giảm thiểu dấu vết có thể bị các giải pháp bảo mật dựa trên chữ ký nhận diện.
Triển Khai Backdoor Python Tinh Vi
Trung tâm của chiến dịch là việc triển khai một môi trường runtime Python nhúng hoàn chỉnh vào thư mục AppData của hệ thống mục tiêu. Trong thư mục này, một tệp DLL giả mạo có tên python2_pycache_.dll thực chất lại chứa bytecode Python đã được marshal hóa, chứ không phải là mã thư viện hợp pháp.
Payload này được thực thi thông qua pythonw.exe, một tiện ích của Windows cho phép chạy các script Python mà không hiển thị cửa sổ giao diện người dùng. Điều này cung cấp khả năng ẩn mình sâu rộng, giúp backdoor hoạt động mà không gây ra bất kỳ dấu hiệu trực quan nào cho người dùng hoặc các biện pháp phát hiện xâm nhập.
Để biết thêm về các kỹ thuật lạm dụng nhị phân hệ thống, bạn có thể tham khảo tại MITRE ATT&CK – MSBuild.
Chức Năng và Khả Năng Chiếm Quyền Điều Khiển
Backdoor Python được thiết kế theo cấu trúc module, bao gồm các thành phần chính như client, commands, remote_module và base.py. Các module này cùng nhau cung cấp khả năng kiểm soát hệ thống toàn diện và thu thập thông tin từ các máy bị xâm nhập. Đây là một công cụ mạnh mẽ để chiếm quyền điều khiển hoàn toàn các máy chủ mục tiêu.
Mã độc duy trì liên lạc với máy chủ điều khiển và ra lệnh (Command-and-Control – C2) thông qua các miền như nexnxky.info, upxvion.info và soptr.info. Mã nguồn của backdoor chứa các tên biến bị che giấu nặng nề và các cấu trúc lệnh được mã hóa Base64, khiến việc phân tích thủ công trở nên vô cùng thách thức.
Nhóm đe dọa mạng này đã sử dụng các đường dẫn tệp và các mục nhập của bộ lập lịch tác vụ cụ thể để bắt chước các hoạt động Windows hợp pháp. Điều này cho phép backdoor hòa nhập liền mạch vào hoạt động hệ thống thông thường, duy trì trạng thái ngủ đông cho đến khi nhận được lệnh từ cơ sở hạ tầng do kẻ tấn công kiểm soát.
Chỉ Số Thỏa Hiệp (IOCs)
Các miền Command-and-Control (C2) được xác định là:
nexnxky.infoupxvion.infosoptr.info
Khuyến Nghị Phòng Ngừa và Phát Hiện
Để chống lại các chiến dịch tương tự từ các nhóm đe dọa mạng tiên tiến, các tổ chức nên triển khai các biện pháp phòng ngừa và phát hiện xâm nhập sau:
- Tăng cường Giám sát Thực thi MSBuild: Theo dõi chặt chẽ các trường hợp thực thi MSBuild bất thường hoặc đáng ngờ trên hệ thống, đặc biệt là khi chúng không liên quan đến các quy trình phát triển hoặc xây dựng phần mềm hợp pháp.
- Phát hiện Triển khai Python Runtime Bất thường: Giám sát việc triển khai các môi trường runtime Python bất thường trong các thư mục hệ thống hoặc thư mục người dùng (ví dụ:
AppData). - Kiểm soát Chặt chẽ Cơ chế Chống Phishing: Thực hiện các biện pháp kiểm soát nghiêm ngặt đối với các cơ chế phòng thủ chống lừa đảo, bao gồm đào tạo người dùng thường xuyên, triển khai các giải pháp lọc email tiên tiến và xác thực đa yếu tố.
- Phân tích Hành vi Mạng: Sử dụng các hệ thống phát hiện xâm nhập (IDS) và phân tích hành vi mạng để nhận diện lưu lượng truy cập C2 đến các miền đáng ngờ.
