Một chiến dịch phát tán mã độc mới và tinh vi đã được phát hiện, biến một tiện ích mở rộng trình duyệt thông thường thành công cụ nguy hiểm để xâm phạm hệ thống. Kẻ tấn công sử dụng tiện ích độc hại trên Microsoft Edge để vượt qua các ranh giới bảo mật tích hợp của trình duyệt, cho phép chúng truy cập trực tiếp vào máy tính của nạn nhân. Chiến dịch này được cho là liên quan đến một nhà môi giới truy cập ban đầu (initial access broker) có liên hệ với nhóm ransomware Payouts King, làm dấy lên lo ngại về sự phát triển của các cuộc tấn công dựa trên trình duyệt, một dạng mối đe dọa mạng mới nổi.
Phương thức Tấn công Tinh vi qua Microsoft Teams
Điểm đặc biệt của chiến dịch này nằm ở cách thức kẻ tấn công tiếp cận mục tiêu. Nạn nhân được liên hệ thông qua tin nhắn trên Microsoft Teams, nơi kẻ mạo danh nhân viên IT yêu cầu cập nhật bộ lọc thư rác. Nạn nhân sau đó bị dẫn đến một trang web giả mạo của Microsoft, cung cấp các nút tải xuống có nhãn là gói cập nhật Outlook. Mục đích là âm thầm triển khai mã độc lên máy mục tiêu mà không gây ra cảnh báo tức thời.
Phân tích Mã độc Edgecution
Các nhà phân tích tại Zscaler ThreatLabz đã theo dõi chặt chẽ chiến dịch này và đặt tên cho mã độc là “Edgecution”. Theo báo cáo của Zscaler, mã độc được xây dựng dựa trên thiết kế hai phần, hoạt động cùng nhau để kẻ tấn công có toàn quyền kiểm soát hệ thống nạn nhân. Từng phần riêng lẻ có thể không gây nghi ngờ, nhưng khi kết hợp lại, chúng tạo thành một cửa hậu (backdoor) mạnh mẽ và khó bị phát hiện.
Cơ chế Triển khai
Trang cập nhật giả mạo cung cấp cho nạn nhân ba phương thức để kích hoạt lây nhiễm, bao gồm một tập lệnh AutoHotKey, một tập lệnh batch của Windows và một tập lệnh PowerShell. Bất kể phương thức nào được chọn, kết quả đều giống nhau: một trình duyệt Microsoft Edge ẩn chạy nền, âm thầm tải tiện ích độc hại mà không có cảnh báo nào cho người dùng. Máy tính bị nhiễm hiện nằm dưới sự kiểm soát của kẻ tấn công, trong khi nạn nhân không nhận thấy bất kỳ điều bất thường nào trên màn hình.
Khả năng của Edgecution
Khi hoạt động, Edgecution cho phép kẻ tấn công thu thập dữ liệu hệ thống, duyệt các tệp của nạn nhân, chạy các lệnh tùy ý và thực thi PowerShell trên máy. Chiến dịch này cho thấy rõ ràng cách kỹ thuật xã hội kết hợp với việc lạm dụng trình duyệt có thể vượt qua các biện pháp kiểm soát bảo mật truyền thống một cách rất khó bị phát hiện theo thời gian thực.
Lạm dụng Native Messaging Protocol
Giao thức Chrome Native Messaging được thiết kế để cho phép các tiện ích trình duyệt trao đổi với các ứng dụng đáng tin cậy đã cài đặt trên thiết bị của người dùng. Edgecution lạm dụng tính năng này để truyền lệnh từ tiện ích trực tiếp đến một cửa hậu dựa trên Python đang chạy trên máy chủ, cho phép kẻ tấn công thoát ra khỏi môi trường sandbox của trình duyệt. Môi trường sandbox này thường có nhiệm vụ ngăn chặn bất kỳ tiện ích nào truy cập hệ điều hành rộng hơn.
Cấu hình Manifest Giả mạo
Các tập lệnh thiết lập tạo ra một tệp manifest native messaging, đăng ký một ứng dụng giả mạo có tên “Edge Monitoring Agent”. Điều này thông báo cho trình duyệt rằng nó có thể gửi tin nhắn đến tập lệnh Python trên máy nạn nhân. Tiện ích sử dụng lệnh gọi API của Chrome là chrome.runtime.sendNativeMessage để chuyển tiếp các lệnh từ máy chủ C2 của kẻ tấn công thẳng đến cửa hậu đó.
Hoạt động của Cửa hậu
Từ đó, cửa hậu thực hiện các tác vụ độc hại vượt xa khả năng của bất kỳ tiện ích trình duyệt tiêu chuẩn nào. Cửa hậu Python hỗ trợ các lệnh bao gồm thực thi shell, ghi tệp, thực thi PowerShell, liệt kê tiến trình và chạy mã Python tùy chỉnh do kẻ tấn công gửi. Nó đọc từng lệnh ở định dạng JSON, xử lý, gửi phản hồi và tắt cho đến khi lệnh tiếp theo được nhận. Mẫu hoạt động ngắn hạn này giúp nó tránh các công cụ bảo mật đang tìm kiếm các tiến trình đáng ngờ tồn tại dai dẳng.
Che giấu Dấu vết
Để che giấu dấu vết, mã độc lưu trữ một khóa giải mã trong Windows registry. Nếu không có khóa này, các chuỗi của cửa hậu sẽ bị xáo trộn. Tiện ích chạy trong cửa sổ Edge không giao diện người dùng (headless), hoàn toàn vô hình với người dùng. Toàn bộ lưu lượng C2 đều đi qua các tên miền phụ của Amazon CloudFront, tạo vẻ ngoài giống như hoạt động đám mây thông thường, gây khó khăn cho việc phát hiện tấn công.
Khuyến nghị Bảo mật
Zscaler khuyến nghị các tổ chức cần giám sát cẩn thận các cài đặt tiện ích mở rộng trình duyệt và thực thi các kiểm soát nghiêm ngặt đối với cấu hình host native messaging. Đào tạo người dùng cũng cực kỳ quan trọng để giúp nhân viên nhận diện các tin nhắn đáng ngờ mạo danh nhân viên IT nội bộ. Một tư thế phòng thủ nhiều lớp vẫn là biện pháp bảo vệ đáng tin cậy nhất chống lại các chiến dịch như Edgecution, vốn kết hợp kỹ thuật xã hội với các phương pháp phân phối kỹ thuật tiên tiến.
Indicators of Compromise (IoCs)
Lưu ý: Địa chỉ IP và tên miền được làm cho “mất tác dụng” (ví dụ: [.]) để ngăn chặn việc phân giải hoặc liên kết tự động. Chỉ tái tạo lại định dạng gốc trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
- (Thông tin IoCs cụ thể không được cung cấp trong nội dung gốc)
Chiến dịch này là một lời nhắc nhở rõ ràng về sự tiến hóa không ngừng của các mối đe dọa mạng, đặc biệt là cách các vector tấn công mới tận dụng các công nghệ quen thuộc để xâm nhập hệ thống. Việc cập nhật bản vá thường xuyên và nâng cao nhận thức về an ninh mạng cho người dùng là cực kỳ quan trọng để giảm thiểu rủi ro.
