Một chiến dịch tấn công mạng mới đã xuất hiện, lợi dụng **mã độc Formbook** với các chiến thuật lây nhiễm đa tầng tinh vi. Sự phức tạp này nhấn mạnh tầm quan trọng của việc phân tích toàn bộ chuỗi lây nhiễm, không chỉ giới hạn ở các tệp thực thi. Khi đào sâu vào lĩnh vực đảo ngược mã độc, đặc biệt trong các khóa học như SANS FOR610, việc phân tích áp dụng cho mọi thành phần trong chuỗi lây nhiễm là cực kỳ thiết yếu, không chỉ riêng các tệp nhị phân PE hay ELF. Con đường tấn công gần đây chính là minh chứng rõ ràng cho nguyên tắc này.
Giai Đoạn Lây Nhiễm Ban Đầu: Email Phishing và Tệp VBS Obfuscated
Cuộc tấn công bắt đầu với một email lừa đảo (phishing) chứa tệp đính kèm dạng lưu trữ ZIP. Bên trong tệp ZIP này có một script duy nhất, được đặt tên một cách đánh lừa: Payment_confirmation_copy_30K__202512110937495663904650431.vbs.
Tệp VBS và Kỹ Thuật Chống Phân Tích Ban Đầu
Bản chất được mã hóa (obfuscated) của tệp VBS này, cùng với tỷ lệ phát hiện thấp từ các công cụ antivirus (chỉ 17 trên 65 công cụ trên VirusTotal gắn cờ), cho thấy khả năng né tránh tinh vi của mối đe dọa.
Khi mở tệp VBS, các kỹ thuật chống phân tích cổ điển được tiết lộ. Script khởi động với một vòng lặp trì hoãn tùy chỉnh, được triển khai bằng cách sử dụng các hàm DateAdd và Wscript.Sleep.
Khoảng thời gian trì hoãn 9 giây này có vai trò quan trọng trong việc vượt qua các cơ chế phát hiện, vốn thường gắn cờ hàm sleep tiêu chuẩn là đáng ngờ. Sau khi kết thúc thời gian trì hoãn, script bắt đầu xây dựng một payload PowerShell được mã hóa mạnh mẽ.
Tạo Payload PowerShell Obfuscated
Việc nối chuỗi (string concatenation) được sử dụng để che giấu lệnh thực tế, ẩn các từ khóa như "PowerShell" đằng sau các phép toán số học trên mã ký tự. Thông qua phương pháp này, script dần dần xây dựng một loạt các lệnh mới được dự định thực thi thông qua Shell.Application, làm phức tạp thêm quá trình phân tích tĩnh.
Kỹ Thuật Obfuscation Nâng Cao trong Payload PowerShell
Khi được thực thi, script PowerShell được tạo ra tiếp tục mô hình mã hóa. Đáng chú ý, hai hàm Microcoulomb và Blokbogstavers65 là trung tâm của sự phức tạp này.
Chức Năng Tái Cấu Trúc Chuỗi (Microcoulomb)
Hàm Microcoulomb tái cấu trúc các chuỗi một cách khéo léo bằng cách trích xuất các ký tự cụ thể từ đầu vào của nó, tạo ra các từ khóa quan trọng cần thiết cho các hoạt động payload tiếp theo.
Ví dụ, biến được tái cấu trúc, sau nhiều lần xử lý, tiết lộ "nET.wEBClIent" — một thành phần cốt lõi cho việc giao tiếp mạng. Sự phân tách và tái hợp này giúp che giấu mục đích thực sự của mã độc khỏi các công cụ phân tích tự động.
Chức Năng Thực Thi Động (Blokbogstavers65)
Hàm Blokbogstavers65 đơn giản hóa mọi việc bằng cách phục vụ như một điểm truy cập vào Invoke-Expression, thực thi các đoạn mã được tạo động. Lớp mã hóa này cho phép kẻ tấn công né tránh cả sự giám sát tự động và thủ công.
Giai Đoạn Tải Payload Cuối Cùng và Chèn Mã Độc
Cơ chế tải payload nằm trong một vòng lặp liên tục cố gắng tìm nạp một tệp từ một URL cụ thể.
URL tải xuống được giám sát là: hxxps://drive[.]google[.]com/uc?export=download&id=1jFn0CatcuICOIjBsP_WxcI_faBI9WA9S.
Sau khi được tải về, tệp này được lưu trữ dưới dạng C:\Users\REM\AppData\Roaming\budene.con. Giải mã tệp này tiếp tục hé lộ một script PowerShell khác, duy trì chuỗi mã hóa và trì hoãn việc phát hiện **mã độc Formbook**.
Kỹ Thuật Process Injection (Chèn Tiến Trình)
Bước cuối cùng sử dụng kỹ thuật chèn tiến trình (process injection). Script khởi chạy msiexec.exe, và sau đó chèn **mã độc Formbook** vào tiến trình hợp pháp này. Việc chèn mã độc vào một tiến trình hệ thống hợp lệ giúp Formbook ngụy trang tốt hơn, làm cho việc phát hiện trở nên khó khăn hơn đối với các giải pháp bảo mật truyền thống.
Thông Tin Mã Độc Formbook và Máy Chủ C2
Tệp nhị phân được chèn là C:\Users\REM\AppData\Local\Temp\bin.exe, với giá trị SHA256 là 12a0f592ba833fb80cc286e28a36dcdef041b7fc086a7988a02d9d55ef4c0a9d. Tệp này sau đó liên lạc với máy chủ điều khiển và ra lệnh (C2) tại 216[.]250[.]252[.]227:7719. Việc sử dụng các tiến trình hợp pháp và chèn vào bộ nhớ cho phép **mã độc Formbook** hoạt động một cách lén lút, vượt qua hầu hết các hệ thống phòng thủ điểm cuối truyền thống.
Indicators of Compromise (IOCs)
Các chỉ số xâm nhập sau đây có thể được sử dụng để phát hiện và ứng phó với chiến dịch **mã độc Formbook** này:
- Tên tệp khởi tạo:
Payment_confirmation_copy_30K__202512110937495663904650431.vbs - Vị trí tệp lưu trữ tạm thời:
C:\Users\REM\AppData\Roaming\budene.con - Tên tệp payload cuối cùng:
C:\Users\REM\AppData\Local\Temp\bin.exe - SHA256 của payload Formbook:
12a0f592ba833fb80cc286e28a36dcdef041b7fc086a7988a02d9d55ef4c0a9d - URL tải payload:
hxxps://drive[.]google[.]com/uc?export=download&id=1jFn0CatcuICOIjBsP_WxcI_faBI9WA9S - Địa chỉ IP và cổng C2:
216[.]250[.]252[.]227:7719
Phân Tích Sâu Rộng Chuỗi Lây Nhiễm Mã Độc Formbook
Chiến dịch này minh họa sự cần thiết của việc các nhà phân tích bảo mật phải áp dụng kỹ năng đảo ngược mã độc (reverse-engineering) xuyên suốt toàn bộ chuỗi lây nhiễm, từ các script VBS, payload PowerShell cho đến các tệp thực thi cuối cùng. Mã hóa, các kỹ thuật trì hoãn chống phân tích và việc thực thi script đa tầng làm phức tạp thêm các nỗ lực phát hiện và phân tích.
Điều này nhấn mạnh lý do tại sao các chuyên gia an ninh mạng phải kiểm tra kỹ lưỡng mọi tệp và tiến trình liên quan đến một sự cố. Chỉ bằng cách làm sáng tỏ từng lớp tấn công, các nhà phân tích mới có thể tiết lộ đầy đủ các chiến thuật, kỹ thuật và quy trình (TTPs) được sử dụng bởi các tác giả mã độc hiện đại, như những kẻ đứng sau **mã độc Formbook**.
Để hiểu rõ hơn về tầm quan trọng của việc phân tích chuỗi lây nhiễm đầy đủ, bạn có thể tham khảo thêm tại SANS Internet Storm Center – Reverse Engineering the Whole Infection Chain.
Cách tiếp cận này giúp các tổ chức xây dựng khả năng **phát hiện xâm nhập** mạnh mẽ hơn và ứng phó hiệu quả hơn với các mối đe dọa dai dẳng. Việc bỏ qua bất kỳ giai đoạn nào trong chuỗi lây nhiễm có thể dẫn đến việc đánh giá sai mức độ nghiêm trọng của cuộc tấn công và để lại các lỗ hổng chưa được khắc phục. Hiểu rõ từng chi tiết kỹ thuật của chiến dịch **mã độc Formbook** này là chìa khóa để triển khai các biện pháp phòng thủ hiệu quả, đảm bảo an ninh mạng toàn diện.
