Trung tâm điều hành an ninh toàn cầu (GSOC) của Cybereason đã phát hiện một chiến dịch tinh vi của các tác nhân đe dọa, khai thác các trang web WordPress bị xâm nhập để phân phối các phiên bản độc hại của công cụ truy cập từ xa (RAT) hợp pháp NetSupport Manager.
Chiến dịch này sử dụng các email lừa đảo (phishing), tệp đính kèm PDF và cả các trang web trò chơi để lôi kéo người dùng không nghi ngờ vào một chuỗi tấn công nhiều giai đoạn, được thiết kế để triển khai tải trọng NetSupport RAT. Việc sử dụng phức tạp JavaScript độc hại và các kỹ thuật thao túng DOM (Document Object Model) cho thấy năng lực kỹ thuật ngày càng tăng của tội phạm mạng nhằm thâm nhập hệ thống để thực hiện trinh sát và khai thác sâu hơn.
Chi tiết chuỗi tấn công
Giai đoạn tấn công ban đầu và lây nhiễm
Cuộc tấn công bắt đầu khi nạn nhân bị chuyển hướng đến một trang WordPress độc hại thông qua một trong các phương thức phân phối đã đề cập. Các tác nhân đe dọa nhúng JavaScript độc hại vào phần mô tả meta và các thẻ neo (anchor tags) của trang web, kích hoạt tải xuống một tập lệnh có tên “j.js” từ các miền như islonline[.]org.
Tập lệnh này, có thể thay đổi tùy thuộc vào trạng thái hoạt động của kẻ tấn công, nhắm mục tiêu vào người dùng Windows bằng cách xác định chi tiết trình duyệt, ghi lại dấu thời gian truy cập và tạo một iframe để tải một tệp PHP từ một miền độc hại. Để tránh bị phát hiện, tập lệnh sử dụng bộ nhớ cục bộ (local storage) để theo dõi những khách truy cập lặp lại, tránh việc tạo iframe thừa.
Kỹ thuật DOM Manipulation và ClickFix
Giai đoạn tiếp theo liên quan đến việc thao túng DOM động thông qua một tệp có tên “index.php”, tệp này sẽ tiêm một tập lệnh khác, “select.js”, chịu trách nhiệm hiển thị một trang CAPTCHA giả mạo được tạo kiểu bằng Tailwind CSS. Trang lừa đảo này sao chép một lệnh độc hại vào clipboard của người dùng bằng cách sử dụng API navigator.clipboard, lừa người dùng thực thi nó thông qua hộp thoại Windows Run.
Cái gọi là “Kỹ thuật ClickFix” này cuối cùng sẽ tải xuống một tệp tin hàng loạt (batch file) để triển khai NetSupport RAT.
Triển khai NetSupport RAT và thiết lập Persistence
Tệp tin hàng loạt, được mã hóa bằng dữ liệu rác trong các khối bình luận (comment blocks), sẽ giải nén một kho lưu trữ ZIP chứa NetSupport Client (client32.exe) và các tệp hỗ trợ vào thư mục %AppData%\\Roaming của người dùng. Nó thiết lập tính năng duy trì (persistence) thông qua một khóa đăng ký Windows Registry Run và kết nối với một máy chủ do tác nhân đe dọa kiểm soát, thường được lưu trữ trong khối mạng 94.158.245[.]0/24 do MivoCloud SRL tại Moldova quản lý.
Ví dụ cấu hình của tệp client32.ini có thể bao gồm các chi tiết kết nối đến cổng (gateway) do kẻ tấn công kiểm soát. Mặc dù không được cung cấp chi tiết cấu hình cụ thể, nhưng tệp này đóng vai trò quan trọng trong việc chỉ định các tham số kết nối cho RAT.
Hoạt động sau lây nhiễm
Sau khi lây nhiễm, kẻ tấn công tận dụng bộ tính năng mạnh mẽ của NetSupport cho việc truyền tệp và thực thi lệnh từ xa. Trong vòng vài giờ sau khi xâm nhập, chúng thường truy vấn Active Directory để thực hiện trinh sát trong mạng mục tiêu. Chiến dịch này làm nổi bật bản chất kép của NetSupport Manager, một công cụ quản lý từ xa hợp pháp bị biến thành RAT độc hại, hiện đang xếp thứ bảy trong số các mối đe dọa phổ biến nhất vào năm 2024.
Indicators of Compromise (IOCs)
Các chỉ số xâm nhập liên quan đến chiến dịch này bao gồm:
- Miền phân phối mã độc:
islonline[.]org
- Phạm vi IP của máy chủ C2 (Command and Control):
94.158.245[.]0/24(được quản lý bởi MivoCloud SRL ở Moldova)
- Tên tệp và thành phần liên quan:
j.js(tập lệnh tải xuống ban đầu)select.js(tập lệnh hiển thị CAPTCHA giả mạo)client32.exe(tệp thực thi NetSupport Client)client32.ini(tệp cấu hình NetSupport Client)
- Vị trí cài đặt persistence:
- Khóa Windows Registry Run
- Thư mục
%AppData%\\Roaming
Biện pháp giảm thiểu rủi ro
Để giảm thiểu rủi ro từ chiến dịch này và các mối đe dọa tương tự, các tổ chức cần thực hiện các biện pháp sau:
- Cách ly các điểm cuối bị lây nhiễm: Ngay lập tức cô lập các hệ thống bị nghi ngờ hoặc xác định là đã bị xâm nhập để ngăn chặn sự lây lan.
- Chặn IOCs đã xác định: Triển khai các quy tắc tường lửa, bộ lọc DNS, và các giải pháp bảo mật mạng để chặn tất cả các IOCs được xác định, bao gồm các miền và địa chỉ IP của máy chủ C2.
- Đặt lại thông tin đăng nhập: Đặt lại tất cả thông tin đăng nhập liên quan đến các hệ thống bị ảnh hưởng hoặc các tài khoản có nguy cơ bị xâm phạm.
- Khôi phục hệ thống (Reimage systems): Các hệ thống bị lây nhiễm nên được làm sạch và khôi phục lại từ các bản sao lưu sạch hoặc cài đặt lại hoàn toàn để đảm bảo loại bỏ hoàn toàn mã độc.
- Nâng cao nhận thức người dùng về lừa đảo: Tổ chức các buổi đào tạo thường xuyên để giáo dục người dùng về các kỹ thuật lừa đảo (phishing) và các dấu hiệu nhận biết email, liên kết hoặc trang web độc hại.
- Phân tích pháp y tức thì: Khuyến nghị thực hiện phân tích pháp y ngay lập tức để đánh giá phạm vi rò rỉ dữ liệu và hoạt động của tác nhân đe dọa.
