Một chiến dịch tấn công mới vừa phơi bày một tệp thực thi Windows ít được chú ý. Kẻ tấn công đang lạm dụng Fondue.exe, một tiện ích hợp pháp của Microsoft tích hợp sẵn trong hệ điều hành Windows, để tải một tệp bảng điều khiển độc hại có tên APPWIZ.cpl và âm thầm triển khai phần mềm độc hại nguy hiểm lên các máy nạn nhân. Kỹ thuật này đánh lừa hiệu quả vì nó hoàn toàn dựa vào một tệp nhị phân hệ thống đáng tin cậy, khiến các công cụ bảo mật tiêu chuẩn khó phát hiện hơn.
Chiến dịch tấn công Fondue.exe: Kỹ thuật và Mục tiêu
Chuỗi tấn công bắt đầu bằng một trình cài đặt MSI độc hại, được ngụy trang dưới dạng một ứng dụng phần mềm hợp pháp. Trình cài đặt này được phân phối đến người dùng mục tiêu thông qua các trang web lừa đảo mô phỏng các công cụ phát triển thực tế.
Triển khai Mã độc thông qua Tệp Nhị phân Hợp pháp
Sau khi nạn nhân chạy trình cài đặt, nó sẽ âm thầm đặt nhiều tệp vào một thư mục ẩn trên máy bị xâm nhập. Các tệp này bao gồm tệp nhị phân hợp pháp Fondue.exe và một phiên bản độc hại của APPWIZ.cpl, được đóng gói với các công cụ làm rối mã (obfuscation). Mục tiêu của kẻ tấn công là làm cho toàn bộ quá trình trông giống như hoạt động hệ thống bình thường ngay từ đầu.
Các nhà nghiên cứu bảo mật đã ghi nhận xu hướng lạm dụng các tệp nhị phân Windows hợp pháp như một chiến thuật ngày càng hiệu quả trong các nhóm tấn công nâng cao. Điều này cho phép kẻ tấn công vượt qua các biện pháp kiểm soát bảo mật bằng cách ẩn mình sau các tiến trình đáng tin cậy.
Mục tiêu và Lừa đảo Tinh vi
Nhóm đứng sau chiến dịch Fondue.exe đã thể hiện khả năng sử dụng Trí tuệ Nhân tạo (AI) tạo sinh để đẩy nhanh quá trình phát triển công cụ tấn công của chúng, phản ánh sự tiến hóa đáng lo ngại về năng lực của đối thủ. Chiến dịch này chủ yếu nhắm mục tiêu vào các tổ chức chính phủ, nhân viên quân sự và các cá nhân liên quan đến sản xuất và kỹ thuật máy bay không người lái.
Kẻ tấn công đã sử dụng các dịch vụ đăng ký thiết bị Starlink giả mạo và các ứng dụng đào tạo phi công máy bay không người lái làm mồi nhử để lừa nạn nhân chạy các trình cài đặt độc hại. Các mồi nhử kỹ thuật xã hội này được thiết kế để trông hoàn toàn đáng tin cậy đối với các đối tượng mục tiêu, khiến chúng đặc biệt nguy hiểm trong môi trường hoạt động có tính rủi ro cao.
Một khi đã xâm nhập vào hệ thống, phần mềm độc hại thiết lập khả năng duy trì hoạt động, liên lạc với máy chủ do kẻ tấn công kiểm soát và định vị bản thân cho các hoạt động gián điệp dài hạn. Kẻ tấn công đã chứng tỏ sự hiểu biết tinh vi về các mục tiêu của họ, tạo ra các ứng dụng giả mạo thuyết phục, phù hợp chặt chẽ với các công cụ và quy trình làm việc mà nạn nhân sử dụng hàng ngày.
Chi tiết Kỹ thuật và Phương thức Tấn công
Fondue.exe là một tiện ích hệ thống Windows hợp pháp, có tên chính thức là ứng dụng “Features on Demand UX”, phiên bản 10.0.19041.1. Mục đích thông thường của nó là bật hoặc tắt các thành phần tùy chọn của hệ điều hành Windows. Kẻ tấn công đã khai thác thực tế rằng khi Fondue.exe chạy, nó sẽ tìm kiếm tệp APPWIZ.cpl trong thư mục cục bộ của nó trước khi kiểm tra các đường dẫn hệ thống Windows tiêu chuẩn.
Khai thác Lỗ hổng Side-loading CPL
Bằng cách đặt một bản sao độc hại của APPWIZ.cpl vào cùng một thư mục ẩn với Fondue.exe, kẻ tấn công buộc tệp nhị phân đáng tin cậy phải tải tệp giả mạo của chúng thay vì tệp thực. Tệp APPWIZ.cpl độc hại được đóng gói bằng nén UPX và được bảo vệ thêm bằng Oreans Code Virtualizer, một công cụ thường được sử dụng để làm cho việc kỹ thuật đảo ngược trở nên cực kỳ khó khăn.
Sau khi được tải vào không gian bộ nhớ của Fondue.exe, tệp bảng điều khiển giả mạo này triển khai một implant thuộc framework Sliver. Sliver là một công cụ mô phỏng đối thủ mã nguồn mở, cung cấp cho kẻ tấn công một điểm tựa mạnh mẽ trên máy bị nhiễm, cho phép chúng thực thi lệnh từ xa và di chuyển dễ dàng qua các mạng bị xâm nhập.
Cơ chế Duy trì Hoạt động
Để duy trì hoạt động, applet độc hại tạo một tác vụ định kỳ (scheduled task) trong Windows Task Scheduler, tác vụ này sẽ chạy mỗi phút. Tên của tác vụ được đặt theo một định dạng nhằm hòa lẫn với hoạt động cập nhật Windows hợp pháp, chẳng hạn như MicrosoftEdgeUpdateTaskMachineUA{GUID}, khiến nó dễ bị bỏ qua trong quá trình kiểm tra hệ thống định kỳ. Implant kết nối với máy chủ chỉ huy và kiểm soát (C2) của kẻ tấn công tại curtainbeatdisturbance[.]com và tạo một mutex có tên MediumTurquoiseBeige để tránh chạy các phiên bản trùng lặp trên cùng một máy.
Quy trình phân phối phần mềm độc hại có nhiều giai đoạn và được phân lớp cẩn thận. Trình cài đặt MSI ban đầu đặt một tập lệnh PowerShell, một tệp trợ giúp VBS và một trình tải .NET, các tệp này hoạt động cùng nhau để tải xuống và thực thi tải trọng giai đoạn tiếp theo mà không kích hoạt các cảnh báo rõ ràng.
Trình cài đặt Inno Setup nội bộ, có tên testexe.exe, chịu trách nhiệm giải nén các thành phần cuối cùng vào một thư mục ẩn dưới %PROGRAMDATA%, nơi cả Fondue.exe và tệp APPWIZ.cpl giả mạo được đặt một cách âm thầm.
Các Mối Đe Dọa Liên Quan và Khuyến nghị
Song song với đường dẫn tấn công dựa trên Fondue.exe, cùng một nhóm tấn công còn triển khai một trojan truy cập từ xa dựa trên JavaScript có tên là SoullessRAT chống lại các mục tiêu khác. SoullessRAT được báo cáo là được viết bằng AI tạo sinh và hỗ trợ một loạt các khả năng gián điệp, bao gồm thực thi lệnh từ xa, tải tệp lên máy chủ của kẻ tấn công, chụp ảnh màn hình và thu thập thông tin hệ thống.
Việc sử dụng mã phần mềm độc hại do AI tạo ra cho thấy rào cản để tạo ra các implant tùy chỉnh có khả năng đang giảm nhanh chóng đối với các tác nhân đe dọa. Các nhà nghiên cứu về threat intelligence khuyến nghị các tổ chức theo dõi việc thực thi bất thường của Fondue.exe từ các thư mục không chuẩn, đặc biệt là bên ngoài C:\Windows\System32.
Biện pháp Phát hiện và Phòng ngừa
Việc triển khai các giải pháp phát hiện điểm cuối (endpoint detection) có thể cảnh báo hành vi side-loading DLL và CPL, kết hợp với cảnh báo cho các tác vụ định kỳ mới sử dụng các mẫu đặt tên của Microsoft Edge hoặc Microsoft Office, có thể giúp các chuyên gia bảo mật phát hiện mối đe dọa này sớm. Người dùng và quản trị viên cũng nên tránh chạy các trình cài đặt phần mềm có nguồn gốc không chính thức, ngay cả khi các nguồn đó trông có vẻ thuyết phục.
Việc lạm dụng các tệp nhị phân Windows hợp pháp cho side-loading DLL và CPL tiếp tục là một trong những kỹ thuật hiệu quả nhất được sử dụng bởi các tác nhân đe dọa dai dẳng nâng cao (APT). Do đó, các phương pháp phát hiện nên tập trung vào các chỉ báo hành vi thay vì chỉ dựa vào chữ ký ở cấp độ tệp.
Chỉ số Tấn công (Indicators of Compromise – IoCs)
Lưu ý: Địa chỉ IP và tên miền đã được cố tình làm sai lệch (ví dụ: sử dụng [.]) để ngăn chặn việc phân giải hoặc tạo siêu liên kết ngẫu nhiên. Chỉ phục hồi định dạng gốc trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
- Tên Tệp Độc hại:
APPWIZ.cpl - Tệp Nhị phân Hợp pháp bị Lạm dụng:
Fondue.exe - Thư mục Cài đặt:
%PROGRAMDATA% - Tên Task Lặp kỳ:
MicrosoftEdgeUpdateTaskMachineUA{GUID} - Mutex:
MediumTurquoiseBeige - Máy chủ C2:
curtainbeatdisturbance[.]com - Tải trọng: Sliver Post-Exploitation Framework
- Phần mềm độc hại Kèm theo: SoullessRAT (JavaScript)
