Một mối đe dọa mạng mới đầy tinh vi đang âm thầm lan rộng, bỏ qua hầu hết các công cụ bảo mật truyền thống. Các nhà nghiên cứu đã phát hiện một loại mã độc chưa từng được biết đến trước đây, có khả năng ngụy trang thành các tài liệu kinh doanh hàng ngày như đơn đặt hàng, báo giá hoặc yêu cầu đề xuất.
Sau khi một nhân viên không nghi ngờ mở tệp đính kèm, những kẻ tấn công sẽ âm thầm giành được quyền truy cập liên tục vào toàn bộ mạng lưới công ty. Mã độc này, được đặt tên là JS.MonoGlyphRAT, được phân phối dưới dạng một tệp JavaScript thông thường được đính kèm trong các email lừa đảo (phishing emails).
Tổng Quan về JS.MonoGlyphRAT
JS.MonoGlyphRAT đang tích cực nhắm mục tiêu vào các tổ chức trên nhiều lĩnh vực, với các nạn nhân đã được xác nhận trong ngành công nghệ, nhà cung cấp dịch vụ bảo mật được quản lý (MSSPs), viễn thông và giáo dục.
Các trường hợp nhiễm mã độc cũng đã được phát hiện tại nhiều quốc gia khác, cho thấy đây là một mối lo ngại ngày càng tăng trên phạm vi toàn cầu. Các nhà phân tích tại ANY.RUN đã xác định cụm mã độc này và công bố một báo cáo chi tiết về nó. Bạn có thể tham khảo báo cáo gốc tại đây: ANY.RUN Report on MonoGlyphRAT.
Đặc Điểm Nổi Bật của JS.MonoGlyphRAT
Đội ngũ nghiên cứu đã đặt tên cho mã độc này dựa trên phương pháp che giấu mã độc đặc trưng của nó.
Trong phương pháp này, tên biến và tên hàm được xây dựng từ các ký tự lặp lại với các chữ cái viết hoa và viết thường xen kẽ, ví dụ như IiIiIiIiiIII hoặc KkkKKKkKkK.
Điều này làm cho mã nguồn trở nên cực kỳ khó đọc và phân tích bằng các công cụ bảo mật tiêu chuẩn, gây khó khăn đáng kể cho việc điều tra pháp y.
Khả Năng Lẩn Tránh Phát Hiện
Điều làm cho JS.MonoGlyphRAT đặc biệt nguy hiểm là hiện tại nó được hiển thị là “Unknown malware” (mã độc không xác định) trên các nền tảng thông tin tình báo về mối đe dọa lớn như VirusTotal và ThreatFox.
Các chương trình chống virus tiêu chuẩn, vốn dựa vào các chữ ký đã biết, không thể phát hiện được mã độc này. Phương pháp đáng tin cậy duy nhất để phát hiện JS.MonoGlyphRAT là giám sát các hành vi đáng ngờ trên hệ thống theo thời gian thực, thay vì chỉ so khớp các tệp với cơ sở dữ liệu chữ ký đã biết.
Cơ Chế Tấn Công và Lây Nhiễm
Cuộc tấn công bắt đầu bằng một email duy nhất. Nhân viên trong các bộ phận mua hàng, bán hàng hoặc tài chính nhận được một tin nhắn có chứa một tệp JavaScript với tên gọi tương tự như PURCHASE ORDER_12258.js hoặc QUOTE_B2026.js.
Những tên tệp này được thiết kế để trông giống như các tài liệu kinh doanh thông thường mà những người làm trong vai trò mua hoặc bán hàng sẽ mở mà không một chút nghi ngờ.
Phương Thức Phân Phối Ban Đầu
Mã độc JS.MonoGlyphRAT sử dụng kỹ thuật lừa đảo (phishing) làm vector lây nhiễm chính.
Nó lợi dụng sự tin tưởng của người dùng vào các tài liệu kinh doanh hợp pháp để thuyết phục họ mở các tệp đính kèm độc hại, khởi đầu chuỗi tấn công vào hệ thống mục tiêu.
Thiết Lập Duy Trì Quyền Truy Cập
Khi tệp JavaScript độc hại được thực thi thông qua Windows Script Host (WSH), nó sẽ âm thầm sao chép chính nó vào một thư mục con trong thư mục hồ sơ người dùng.
Sau đó, JS.MonoGlyphRAT tự đăng ký vào Windows Registry. Điều này cung cấp cho kẻ tấn công một điểm truy cập vĩnh viễn (persistence), vì mã độc sẽ tự động khởi động mỗi khi máy tính khởi động lại mà không hiển thị bất kỳ dấu hiệu nào cho người dùng.
Một ví dụ điển hình về cách mã độc thiết lập tính bền vững thông qua registry có thể là thêm một khóa vào đường dẫn HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run hoặc các vị trí tương tự.
Ví dụ, một lệnh CLI để tạo khóa registry có thể trông như sau, mặc dù chi tiết cụ thể sẽ khác nhau tùy theo biến thể mã độc:
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v "MalwareService" /t REG_SZ /d "C:\Users\[USERNAME]\AppData\Roaming\Malware\payload.js" /f
Lệnh này sẽ thêm một mục vào registry để tự động chạy tệp payload.js mỗi khi người dùng đăng nhập.
Giao Tiếp Command-and-Control (C2)
Sau khi thiết lập quyền truy cập, mã độc sẽ liên hệ với máy chủ Command-and-Control (C2) của nó qua giao thức HTTP trên các cổng không chuẩn để tránh bị phát hiện.
Tất cả giao tiếp C2 của JS.MonoGlyphRAT đều chạy qua các HTTP response headers tùy chỉnh: header X-S mang ID phiên hoạt động và header X-A truyền mã lệnh.
Dữ liệu được trao đổi giữa máy tính bị nhiễm và kẻ tấn công được mã hóa bằng AES-128 và mã hóa XOR, với một phần của khóa được mã hóa cứng trực tiếp vào mã độc. Cách tiếp cận đa lớp này làm cho việc điều tra pháp y trở nên khó khăn hơn đáng kể.
Khả Năng Vận Hành của JS.MonoGlyphRAT
Mã độc JS.MonoGlyphRAT thể hiện nhiều khả năng vận hành tiên tiến, cho phép kẻ tấn công kiểm soát và thao túng hệ thống bị xâm nhập một cách rộng rãi.
Thu Thập Thông Tin và Thực Thi Mã Độc
Nó thu thập các chi tiết hệ thống quan trọng bao gồm tên người dùng, tên miền, phiên bản hệ điều hành và hồ sơ phần cứng, sau đó gửi dữ liệu đó trở lại kẻ tấn công và chuyển sang trạng thái chờ đợi thầm lặng, sẵn sàng nhận các lệnh tiếp theo.
Một khi kết nối được thiết lập, kẻ tấn công có thể tải xuống các payload bổ sung, chạy các lệnh PowerShell được mã hóa, tải mã độc hoàn toàn vào bộ nhớ (in-memory) mà không để lại tệp trên đĩa, và từ xa cập nhật hoặc gỡ bỏ phần mềm độc hại.
Mã độc JS.MonoGlyphRAT cũng có thể vá các tính năng quét bảo mật tích hợp của Windows để ngăn chặn các nỗ lực phát hiện trong tương lai. Điều này làm tăng đáng kể khả năng sống sót và hoạt động của mã độc trên hệ thống.
Tác Động và Rủi Ro An Ninh Mạng
Hậu quả tài chính của một cuộc tấn công thành công bởi JS.MonoGlyphRAT có thể lên tới hàng triệu đô la. Các tổ chức phải đối mặt với nhiều rủi ro bao gồm triển khai mã độc tống tiền (ransomware), đánh cắp dữ liệu, các khoản phạt theo quy định, lừa đảo email doanh nghiệp (BEC) và thời gian ngừng hoạt động kéo dài.
Vì JS.MonoGlyphRAT có khả năng tải xuống và triển khai các payload độc hại bổ sung, ngay cả một máy tính bị xâm nhập duy nhất cũng có thể trở thành điểm khởi đầu cho một cuộc tấn công lớn hơn và tốn kém hơn cho toàn bộ tổ chức.
Việc chiếm quyền điều khiển một máy trạm ban đầu có thể dẫn đến leo thang đặc quyền và di chuyển ngang trong mạng, cuối cùng ảnh hưởng đến các tài nguyên quan trọng và cơ sở hạ tầng cốt lõi.
Kỹ Thuật Phát Hiện Xâm Nhập và Giảm Thiểu
Để chống lại các mối đe dọa như JS.MonoGlyphRAT, các đội ngũ bảo mật được khuyến nghị mạnh mẽ nên giám sát các tín hiệu hành vi thay vì chỉ dựa vào chữ ký chống virus. Đây là một nguyên tắc cốt lõi trong chiến lược an ninh mạng hiện đại.
Phân Tích Dựa Trên Sandbox Tương Tác
Sử dụng các nền tảng sandbox tương tác, các nhà phân tích có thể thực thi an toàn các tệp đính kèm JavaScript đáng ngờ và ngay lập tức quan sát các hành vi độc hại liên quan đến JS.MonoGlyphRAT.
Các hành vi này bao gồm việc thực thi wscript.exe, khởi tạo các tiến trình PowerShell, thiết lập duy trì quyền truy cập dựa trên registry, giao tiếp C2 và các nỗ lực phân phối payload.
Bạn có thể xem phiên sandbox mẫu về hoạt động của mã độc này tại: ANY.RUN JS.MonoGlyphRAT Sandbox Session.
Dấu Hiệu Nhận Biết Quan Trọng (IOCs)
Các dấu hiệu cảnh báo chính mà các tổ chức cần chú ý để phát hiện xâm nhập bao gồm:
- Tiến trình
wscript.exethực thi các tệp JavaScript từ các thư mục người dùng. - Các tiến trình PowerShell được khởi chạy với cờ lệnh được mã hóa (encoded command flags).
- Các khóa registry
Runmới trỏ đến các tệp.js. - Lưu lượng HTTP POST đến các cổng bất thường với các mẫu như
a=iz&b=.
Các dấu hiệu này là những chỉ báo quan trọng giúp các hệ thống phát hiện hành vi độc hại (behavioral detection systems) nhận diện và ngăn chặn sự lây nhiễm của JS.MonoGlyphRAT.
Chỉ Dẫn Bảo Mật
Để củng cố an ninh mạng và bảo vệ tổ chức khỏi JS.MonoGlyphRAT, cần áp dụng một chiến lược phòng thủ đa lớp.
Ưu tiên hàng đầu là triển khai và duy trì các giải pháp giám sát hành vi endpoint (EDR) có khả năng phân tích hoạt động hệ thống theo thời gian thực. Điều này cho phép phát hiện các hoạt động bất thường mà các công cụ chống virus truyền thống bỏ qua.
Thực hiện đào tạo nhận thức về bảo mật định kỳ cho nhân viên, đặc biệt tập trung vào các kỹ thuật lừa đảo qua email và cách nhận biết các tệp đính kèm đáng ngờ. Giáo dục người dùng là một lớp phòng thủ quan trọng, giúp họ trở thành tuyến đầu trong việc ngăn chặn các cuộc tấn công ban đầu.
Triển khai các chính sách bảo mật email nghiêm ngặt, bao gồm lọc nội dung, quét tệp đính kèm nâng cao và kiểm tra liên kết. Cấu hình hệ thống để chặn hoặc gắn cờ các tệp JavaScript đáng ngờ được gửi qua email. Sử dụng các cổng không chuẩn trong giao tiếp HTTP là một dấu hiệu cảnh báo mạnh mẽ cho các hệ thống giám sát mạng.
Đảm bảo rằng các bản vá bảo mật mới nhất được áp dụng cho tất cả các hệ thống và phần mềm, đặc biệt là hệ điều hành và các ứng dụng có nguy cơ cao. Điều này giúp giảm thiểu các lỗ hổng mà kẻ tấn công có thể khai thác để leo thang đặc quyền sau khi đã có quyền truy cập ban đầu.
Thực hiện sao lưu dữ liệu thường xuyên và đảm bảo khả năng phục hồi dữ liệu hiệu quả. Trong trường hợp xảy ra một cuộc tấn công ransomware hoặc mất dữ liệu do JS.MonoGlyphRAT, khả năng phục hồi từ các bản sao lưu sạch sẽ là tối quan trọng để giảm thiểu tác động.
Giám sát chặt chẽ lưu lượng mạng để phát hiện các mẫu giao tiếp C2 bất thường. Điều này bao gồm việc theo dõi các kết nối đến các cổng không chuẩn và phân tích các HTTP headers tùy chỉnh như X-S và X-A mà JS.MonoGlyphRAT sử dụng.
Tích hợp các nền tảng thông tin tình báo về mối đe dọa (threat intelligence platforms) để cập nhật thông tin về các mối đe dọa mới và các kỹ thuật tấn công đang phát triển. Điều này giúp tổ chức chủ động hơn trong việc phòng ngừa và ứng phó với các mối đe dọa.
