Các nhà nghiên cứu mối đe dọa mạng đã phát hiện một chiến dịch malware tinh vi, sử dụng một bộ tải (loader) phổ biến được chia sẻ giữa nhiều nhóm tác nhân đe dọa. Hoạt động này nhắm mục tiêu vào các tổ chức sản xuất và chính phủ tại Italy, Phần Lan, và Ả Rập Xê Út, với các cuộc tấn công được thiết kế chính xác để trích xuất dữ liệu công nghiệp và đánh cắp thông tin đăng nhập quản trị nhạy cảm.
Tổng quan chiến dịch và các vector lây nhiễm
Chiến dịch này thể hiện kỹ thuật tấn công tiên tiến thông qua nhiều vector lây nhiễm đa dạng. Chúng bao gồm các tài liệu Office độc hại khai thác lỗ hổng CVE-2017-11882, các tệp SVG độc hại, và các kho lưu trữ ZIP chứa shortcut LNK.
Mỗi phương thức phân phối đều dẫn đến một bộ tải phổ biến thống nhất. Bộ tải này đóng vai trò là nền tảng để phân phối các Remote Access Trojans (RATs) và phần mềm đánh cắp thông tin (information-stealing malware).
Kỹ thuật lẩn tránh đa tầng và phức tạp
Điểm khác biệt của chiến dịch này là phương pháp lẩn tránh phòng thủ tinh vi với nhiều lớp. Các kỹ thuật bao gồm steganography, thư viện mã nguồn mở bị trojan hóa, và một quy trình lẩn tránh bốn giai đoạn tùy chỉnh.
Mục tiêu là giảm thiểu dấu vết pháp y và nâng cao khả năng lẩn tránh các hệ thống phát hiện. Các email lừa đảo mạo danh là thông báo Đơn đặt hàng hợp lệ từ các đối tác kinh doanh đáng tin cậy.
Chuỗi lây nhiễm chi tiết
Giai đoạn ban đầu: JavaScript và PowerShell ẩn
Khi người nhận mở các tệp đính kèm, một chuỗi lây nhiễm được dàn dựng cẩn thận sẽ bắt đầu. Các nhà phân tích của Cyble đã xác định được mã độc sau giai đoạn thực thi thứ hai, cho phép họ lập bản đồ quy trình tấn công hoàn chỉnh.
Chuỗi lây nhiễm khởi đầu bằng các tệp JavaScript chứa trong kho lưu trữ RAR. Các tệp này thực thi mã bị che giấu mạnh mẽ nhằm né tránh các hệ thống phát hiện.
JavaScript tạo ra các tiến trình PowerShell ẩn bằng cách sử dụng Windows Management Instrumentation (WMI). Mã độc sử dụng nhiều lớp che giấu, bao gồm mã hóa base64 và kỹ thuật thao tác chuỗi. Đồng thời, một độ trễ năm giây được đưa vào để vượt qua phân tích sandbox tự động.
Giai đoạn hai: Steganography và thực thi không tệp
Giai đoạn thứ hai liên quan đến việc tải xuống các tệp hình ảnh PNG từ Archive.org. Các tệp này chứa các payload được nhúng bằng kỹ thuật steganography.
PowerShell sử dụng khớp mẫu biểu thức chính quy (regular expression) để trích xuất assembly .NET được mã hóa base64 bị ẩn. Việc trích xuất được thực hiện bằng cách sử dụng các dấu phân cách cụ thể.
Assembly này sau đó được tải vào bộ nhớ một cách phản xạ (reflectively) thông qua Reflection.Assembly::Load. Điều này đảm bảo payload cuối cùng được thực thi mà không chạm vào đĩa. Kỹ thuật thực thi không tệp này là một lợi thế quan trọng cho các tác nhân đe dọa, giảm đáng kể khả năng bị phát hiện và làm phức tạp các cuộc điều tra pháp y.
Để biết thêm chi tiết kỹ thuật về phát hiện mã độc trong chiến dịch tương tự, bạn có thể tham khảo phân tích của Cyble.
Giai đoạn ba: Thư viện Trojan hóa và Payload cuối cùng
Giai đoạn thứ ba tận dụng một phiên bản đã bị trojan hóa của thư viện mã nguồn mở hợp pháp TaskScheduler từ GitHub.
Các tác nhân đe dọa đã thêm các chức năng độc hại vào mã nguồn gốc và biên dịch lại. Điều này tạo ra một assembly giữ nguyên giao diện và chức năng xác thực nhưng lại nhúng các khả năng ẩn. Bộ tải tạo các tiến trình bị tạm dừng bằng RegAsm.exe, thực hiện inject tiến trình (process injection) và thực thi payload đã được giải mã.
Mã độc cuối cùng được phân phối là PureLog Stealer. Mã độc này được trích xuất bằng giải mã Triple DES ở chế độ CBC với PKCS7 padding và giải nén GZip. Sự nhất quán trong việc sử dụng steganography, đảo ngược chuỗi, mã hóa base64 và process hollowing qua các chiến dịch cho thấy bộ tải này đại diện cho một khung phân phối chung giữa nhiều tác nhân đe dọa.
Các chỉ số thỏa hiệp (IOCs)
Dựa trên phân tích kỹ thuật của chiến dịch tấn công mạng này, các chỉ số thỏa hiệp chính bao gồm:
- Lỗ hổng khai thác: CVE-2017-11882. Đây là một lỗ hổng thực thi mã từ xa trong Microsoft Office. Chi tiết về lỗ hổng có thể được tìm thấy tại NVD NIST.
- Malware được phân phối cuối cùng: PureLog Stealer. Đây là một loại mã độc chuyên đánh cắp thông tin.
- Kỹ thuật lẩn tránh chính: Steganography, mã hóa Base64, Process Hollowing, Trojanized open-source libraries (TaskScheduler).
- Vector lây nhiễm: Tài liệu Office độc hại, tệp SVG độc hại, kho lưu trữ ZIP chứa shortcut LNK, email lừa đảo mạo danh Đơn đặt hàng.
Kết luận về mối đe dọa mạng
Chiến dịch này minh họa sự phát triển trong kỹ thuật tấn công, nơi các tác nhân đe dọa kết hợp các kỹ thuật lẩn tránh tinh vi và các công cụ phổ biến. Việc sử dụng rộng rãi các kỹ thuật như steganography và thực thi không tệp đặt ra thách thức đáng kể cho các giải pháp phát hiện xâm nhập truyền thống. Các tổ chức cần áp dụng chiến lược bảo mật đa lớp và nâng cao khả năng phát hiện các mối đe dọa mạng phức tạp để bảo vệ dữ liệu nhạy cảm.
