Các tác nhân đe dọa đang ngày càng tinh vi trong việc che giấu dấu vết của mình. Một chiến dịch mã độc Remcos RAT mới được phát hiện là minh chứng rõ ràng cho xu hướng này. Cuộc tấn công không chỉ dựa vào một tệp độc hại duy nhất được thả vào hệ thống mà thay vào đó, sử dụng một chuỗi tấn công đa giai đoạn được xây dựng cẩn thận. Chuỗi này bắt đầu bằng một email lừa đảo (phishing) đơn giản và kết thúc bằng việc chiếm quyền điều khiển hệ thống hoàn toàn trong bộ nhớ, để lại rất ít dấu vết trên đĩa.
Remcos RAT, viết tắt của Remote Control and Surveillance, là một mối đe dọa đã được biết đến trong nhiều năm. Kẻ tấn công sử dụng nó để đánh cắp dữ liệu, ghi lại thao tác bàn phím (keystrokes), và điều khiển từ xa các máy tính bị nhiễm. Điều khiến chiến dịch mã độc Remcos RAT gần đây trở nên nổi bật là cách nó tiếp cận nạn nhân. Thay vì dựa vào các phương pháp phân phối dễ bị phát hiện, chiến dịch này kết hợp nhiều lớp làm rối mã (obfuscation), các công cụ Windows đáng tin cậy và một máy chủ C2 (Command and Control) trực tiếp để phân phối payload một cách chính xác.
Tổng quan về chiến dịch mã độc Remcos RAT
Các nhà phân tích và nghiên cứu tại Đội ngũ Tình báo Đe dọa LAT61 của Point Wild đã xác định chiến dịch này sau khi kiểm tra một tệp email độc hại (.eml). Họ phát hiện rằng cuộc tấn công mạng bắt đầu bằng một tệp đính kèm ZIP có tên “MV MERKET COOPER SPECIFICATION.zip”, được thiết kế giống như một tài liệu kinh doanh thông thường. Khi được mở, tệp này giải phóng một tệp JavaScript đã bị làm rối mã, lặng lẽ khởi động cuộc tấn công mà không kích hoạt các cảnh báo bảo mật tiêu chuẩn.
Tác động của chiến dịch là nghiêm trọng. Khi được triển khai hoàn toàn, Remcos RAT thiết lập một kết nối liên tục với máy chủ C2 từ xa tại 192[.]3[.]27[.]141:8087, chủ động gửi và nhận dữ liệu. Bằng chứng về việc thu thập dữ liệu đã được xác nhận thông qua việc tạo một tệp nhật ký tại C:\ProgramData\remcos\logs.dat, lưu trữ các thao tác bàn phím bị bắt giữ và thông tin hệ thống khác. Điều này cho thấy mã độc đang tích cực chuẩn bị dữ liệu để đánh cắp.
Đặc điểm nổi bật của chiến dịch
Điều khiến mối đe dọa này đặc biệt khó ngăn chặn là khả năng ẩn mình bên trong các công cụ mà người dùng Windows tin tưởng hàng ngày. Bằng cách lợi dụng các tệp nhị phân hệ thống hợp pháp và chạy hoàn toàn trong bộ nhớ, kẻ tấn công đã bỏ qua nhiều biện pháp phòng thủ bảo mật truyền thống. Kiểu tấn công mạng này cho thấy các tác nhân đe dọa đã tiến xa đến mức nào trong việc thiết kế các hoạt động hòa trộn vào hoạt động hệ thống thông thường.
Chuỗi lây nhiễm chi tiết
Giai đoạn 1: Khởi đầu bằng Phishing
Sự lây nhiễm bắt đầu ngay khi người dùng mở email lừa đảo và giải nén tệp ZIP. Bên trong tệp lưu trữ là một tệp JavaScript — MV MERKET COOPER SPECIFICATION.js — đã bị làm rối mã mạnh mẽ bằng cách sử dụng các hàm ánh xạ chuỗi (string-mapping functions) và các mảng được mã hóa để che giấu mục đích thực sự của nó.
Khi được thực thi thông qua Windows Script Host, script này tạo các đối tượng ActiveX để xử lý giao tiếp HTTP, thực thi lệnh và các hoạt động tệp. Sau đó, nó liên hệ với almacensantangel[.]com để tải xuống một script PowerShell từ xa có tên ENCRYPT.Ps1. Để biết thêm chi tiết về cách mã độc lợi dụng các kỹ thuật ẩn mình, có thể tham khảo nghiên cứu của Point Wild.
Giai đoạn 2: Tải và Giải mã Payload PowerShell
Trình tải PowerShell áp dụng nhiều lớp làm rối mã để xây dựng lại payload trong bộ nhớ. Dữ liệu được lưu trữ dưới dạng một chuỗi lớn được mã hóa Base64 bên trong biến $securecontainer, mà hàm $base64reconstruction chuyển đổi thành các mảng byte thô.
Một hàm XOR xoay vòng sau đó giải mã dữ liệu bằng cơ chế khóa dịch chuyển, và hàm $masterdecoder thực hiện việc giải mã hoàn chỉnh. Hàm $executionhandler cuối cùng chạy script đã được phục hồi thông qua Invoke-Expression với các phương thức dự phòng được tích hợp sẵn.
Giai đoạn 3: Tải và Tiêm nhiễm Remcos RAT
Script đã giải mã tiết lộ một .NET assembly có tên ALTERNATE.dll, được tải trực tiếp vào bộ nhớ thông qua các API .NET Reflection mà không có tệp nào được ghi vào đĩa. Một payload thứ cấp, Cqeqpvzeia.exe, được nhúng dưới dạng một mảng byte thô bắt đầu bằng chữ ký PE “MZ” và được tiêm vào aspnet_compiler.exe — một công cụ .NET hợp pháp của Microsoft — thông qua một kỹ thuật Living-off-the-Land.
Tiến trình bị lạm dụng này xử lý tất cả giao tiếp C2 đi ra, khiến lưu lượng độc hại xuất hiện như hoạt động hệ thống thông thường. Đây là một ví dụ điển hình về việc các tác nhân đe dọa sử dụng các công cụ có sẵn trên hệ thống để thực hiện xâm nhập mạng mà không cần cài đặt thêm phần mềm.
Kỹ thuật ẩn mình và Bỏ qua phòng thủ
Chiến dịch mã độc Remcos RAT này thể hiện sự tiến hóa trong các kỹ thuật né tránh phát hiện, tập trung vào việc hoạt động trong bộ nhớ và lạm dụng các tiến trình hệ thống.
Lợi dụng tiến trình Windows hợp pháp
Việc sử dụng aspnet_compiler.exe để thực hiện giao tiếp C2 là một chiến thuật hiệu quả. Điều này giúp mã độc hòa mình vào lưu lượng mạng hợp pháp, gây khó khăn cho các hệ thống phát hiện xâm nhập (IDS) và các công cụ giám sát mạng truyền thống. Việc một tiến trình hệ thống đáng tin cậy thực hiện các kết nối bất thường là một chỉ dấu quan trọng.
Thực thi trong bộ nhớ (In-Memory Execution)
Toàn bộ chuỗi lây nhiễm, đặc biệt là việc tải và giải mã payload PowerShell, cùng với việc tải ALTERNATE.dll và tiêm Cqeqpvzeia.exe, đều diễn ra chủ yếu trong bộ nhớ. Điều này làm giảm đáng kể dấu vết trên đĩa, khiến việc phân tích pháp y trở nên phức tạp hơn và gây khó khăn cho các giải pháp bảo mật dựa trên chữ ký tệp. Việc thực thi trong bộ nhớ giúp mã độc Remcos RAT tránh được sự phát hiện của nhiều phần mềm diệt virus truyền thống.
Chỉ số thỏa hiệp (IOCs)
Các tổ chức nên theo dõi các chỉ số thỏa hiệp sau đây để phát hiện xâm nhập tiềm ẩn từ chiến dịch mã độc Remcos RAT này:
- Địa chỉ IP C2:
192[.]3[.]27[.]141 - Cổng C2:
8087 - Tên miền C2:
almacensantangel[.]com - Tệp nhật ký:
C:\ProgramData\remcos\logs.dat - Tên tệp đính kèm:
MV MERKET COOPER SPECIFICATION.zip - Tên tệp JavaScript:
MV MERKET COOPER SPECIFICATION.js - Tên script PowerShell:
ENCRYPT.Ps1 - Tên .NET assembly:
ALTERNATE.dll - Tên payload thứ cấp:
Cqeqpvzeia.exe
Biện pháp phòng ngừa và phát hiện
Để bảo vệ hệ thống khỏi các mối đe dọa như mã độc Remcos RAT và tăng cường bảo mật mạng, các tổ chức cần triển khai các biện pháp phòng ngừa và phát hiện mạnh mẽ.
Giám sát thực thi PowerShell
Cần giám sát các sự kiện thực thi PowerShell một cách chặt chẽ, đặc biệt là những sự kiện liên quan đến các lệnh được mã hóa Base64 và các cờ bỏ qua chính sách thực thi (execution policy bypass flags). Ví dụ về lệnh giám sát có thể bao gồm:
Get-WinEvent -LogName 'Microsoft-Windows-PowerShell/Operational' | Where-Object { $_.Message -like '*EncodedCommand*' -or $_.Message -like '*Bypass*' }
Việc cảnh báo khi phát hiện các mẫu lệnh như trên có thể giúp ngăn chặn các cuộc tấn công mạng dựa trên PowerShell.
Giám sát kết nối mạng
Các kết nối đi ra từ các tiện ích hệ thống như aspnet_compiler.exe đến các máy chủ bên ngoài không xác định cần được coi là đáng ngờ. Các đội ngũ bảo mật nên triển khai giám sát mạng chuyên sâu để phát hiện xâm nhập bất thường.
netstat -ano | findstr "aspnet_compiler.exe"
Lệnh trên có thể giúp xác định các kết nối mạng liên quan đến tiến trình aspnet_compiler.exe và kiểm tra xem có kết nối nào bất thường không.
Phát hiện tệp độc hại và chặn IOCs
Các đội ngũ bảo mật cũng nên theo dõi tệp C:\ProgramData\remcos\logs.dat như một chỉ số thỏa hiệp quan trọng. Việc chặn các URL độc hại đã biết, hash tệp, và cơ sở hạ tầng C2 từ bảng IOCs là một bước quan trọng để ngăn chặn mối đe dọa này sớm. Cập nhật thường xuyên các danh sách chặn và chữ ký mã độc là yếu tố then chốt để tăng cường an ninh mạng.
