Một chiến dịch tấn công mạng hiện tại đang nhắm mục tiêu vào người dùng Microsoft Windows bằng phần mềm đánh cắp thông tin NordDragonScan, một mối đe dọa nghiêm trọng đối với an ninh mạng. Mối đe dọa có mức độ nghiêm trọng cao này khai thác một chuỗi lây nhiễm phức tạp để xâm nhập hệ thống, thu thập dữ liệu nhạy cảm và tẩu tán chúng đến máy chủ Command-and-Control (C2) để sử dụng trong các cuộc tấn công tiếp theo.
Chuỗi Lây Nhiễm Ban Đầu
Vectơ Lây Nhiễm Khởi Đầu
Cuộc tấn công bắt đầu với một vectơ ban đầu có tính chất lừa đảo, sử dụng các URL rút gọn như hxxps://cutt[.]ly/4rnmskDe. Các URL này chuyển hướng người dùng đến hxxps://secfileshare[.]com. Tại đây, người dùng bị nhắc tải xuống một kho lưu trữ RAR độc hại. Kho lưu trữ này được đặt tên theo chủ đề Ukraina để tăng tính thuyết phục và giảm nghi ngờ, chứa một tệp LNK shortcut có khả năng gây hại.
Kỹ thuật sử dụng tệp LNK shortcut trong kho lưu trữ nén là một phương pháp phổ biến để vượt qua các biện pháp bảo mật ban đầu, vì tệp LNK có thể thực thi các lệnh phức tạp mà không cần người dùng trực tiếp chạy một tệp thực thi.
Kích Hoạt và Triển Khai Payload
Khi tệp LNK shortcut được thực thi bởi nạn nhân, nó sẽ kích hoạt mshta.exe. mshta.exe là một tiện ích hợp pháp của Windows dùng để thực thi các tệp HTML Application (HTA). Trong trường hợp này, mshta.exe được dùng để chạy một script HTA độc hại có tên 1.hta, được tải xuống từ cùng máy chủ mà kho lưu trữ RAR được tải về.
Script HTA này hoạt động tinh vi, giả mạo một tiến trình hợp pháp bằng cách sao chép PowerShell.exe sang một đường dẫn đã bị che giấu. Đồng thời, để đánh lạc hướng người dùng, script hiển thị một tài liệu nhử vô hại bằng tiếng Ukraina. Trong khi đó, payload chính là adblocker.exe được âm thầm triển khai vào thư mục tạm thời của nạn nhân. Cách tiếp cận có hệ thống này, sử dụng các tệp nhử khác nhau nhưng cùng một tệp thực thi, cho thấy nỗ lực của kẻ tấn công nhằm né tránh sự phát hiện và tối đa hóa tỷ lệ lây nhiễm trên nhiều mục tiêu khác nhau.
Cơ Chế Hoạt Động Của NordDragonScan
Kỹ Thuật Che Giấu và Khởi Tạo
Sau khi được cài đặt, NordDragonScan hoạt động như một tệp thực thi dựa trên .NET. Tệp này chứa một đường dẫn PDB (Program Database) nhúng, trỏ đến C:\Users\NordDragon\Documents\visual studio, một chi tiết có thể cung cấp manh mối về môi trường phát triển của kẻ tấn công.
Để che giấu các chuỗi mã cứng (hardcoded strings) khỏi phân tích tĩnh, NordDragonScan sử dụng các kỹ thuật mã hóa chuỗi tùy chỉnh thông qua các phép toán XOR và hoán đổi byte (byte-swapping). Điều này làm cho việc đảo ngược kỹ thuật (reverse engineering) trở nên khó khăn hơn.
Malware này cũng thiết lập một thư mục làm việc có tên NordDragonScan trong thư mục dữ liệu ứng dụng cục bộ của người dùng (local app data folder) để lưu trữ các thông tin đã đánh cắp trước khi tẩu tán.
Duy Trì Quyền Truy Cập (Persistence)
Để đảm bảo khả năng duy trì quyền truy cập trên hệ thống bị nhiễm, NordDragonScan thiết lập một mục nhập trong sổ đăng ký Windows. Mục nhập này có tên NordStar, được tạo dưới khóa CurrentVersion\Run của Windows. Việc này cho phép phần mềm độc hại tự động khởi chạy mỗi khi hệ thống khởi động lại, đảm bảo hoạt động liên tục ngay cả sau khi nạn nhân khởi động lại máy tính.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\NordStarGiao Tiếp Với Máy Chủ C&C
NordDragonScan giao tiếp với máy chủ C2 của nó, kpuszkiev.com. Quá trình giao tiếp này sử dụng các HTTP headers tùy chỉnh để truyền dữ liệu. Để xác nhận kết nối và nhận các URL động phục vụ cho việc tẩu tán dữ liệu, malware sử dụng địa chỉ MAC của nạn nhân làm một định danh duy nhất. Việc sử dụng địa chỉ MAC giúp máy chủ C2 phân biệt và quản lý từng nạn nhân cụ thể.
Khả Năng Thu Thập và Đánh Cắp Dữ Liệu
Thu Thập Thông Tin Hệ Thống
Khả năng do thám của NordDragonScan rất rộng lớn. Nó thu thập thông tin chi tiết về hệ thống thông qua các lệnh gọi WMI (Windows Management Instrumentation) và các hàm .NET. Các thông tin được thu thập bao gồm tên máy tính, phiên bản hệ điều hành, cấu hình phần cứng chi tiết (CPU, RAM, card đồ họa). Ngoài ra, malware còn quét các bộ điều hợp mạng để lập bản đồ mạng cục bộ bằng cách dò tìm các địa chỉ IP trong cùng mạng con. Điều này giúp kẻ tấn công hiểu rõ hơn về môi trường mạng của nạn nhân.
Đánh Cắp Tập Tin và Dữ Liệu Nhạy Cảm
Ngoài dữ liệu hệ thống, NordDragonScan còn chuyên biệt trong việc đánh cắp các tệp có phần mở rộng cụ thể như .docx, .pdf và .txt từ các thư mục quan trọng của người dùng như Desktop, Documents và Downloads. Quan trọng hơn, nó còn đánh cắp toàn bộ hồ sơ người dùng của trình duyệt Chrome và Firefox, bao gồm các thông tin đăng nhập và phiên làm việc, có thể bị lợi dụng để truy cập vào các tài khoản trực tuyến của nạn nhân.
Chụp Ảnh Màn Hình và Tẩu Tán Dữ Liệu
Để tăng cường mức độ thu thập thông tin, NordDragonScan có khả năng chụp ảnh màn hình của hệ thống bị nhiễm. Các ảnh chụp màn hình này được lưu dưới tên SPicture.png. Tất cả các dữ liệu nhạy cảm đã thu thập, bao gồm thông tin hệ thống, tệp tin và ảnh chụp màn hình, được đóng gói lại và tải lên máy chủ C2. Quá trình tẩu tán này cũng sử dụng các HTTP headers tùy chỉnh để chỉ rõ loại thông tin đang được exfiltrated, giúp kẻ tấn công dễ dàng phân loại và sử dụng dữ liệu.
Các Chỉ Số Thỏa Hiệp (IOCs)
Các chỉ số thỏa hiệp sau đây có thể được sử dụng để phát hiện và ngăn chặn hoạt động của NordDragonScan:
- Tên Malware: NordDragonScan
- C2 Server:
kpuszkiev.com - URL Ban Đầu:
hxxps://cutt[.]ly/4rnmskDe - URL Chuyển Hướng:
hxxps://secfileshare[.]com - Tệp Thực Thi Payload:
adblocker.exe - Script HTA Độc Hại:
1.hta - Khóa Đăng Ký Duy Trì:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\NordStar - Đường Dẫn PDB Nhúng:
C:\Users\NordDragon\Documents\visual studio - Thư Mục Làm Việc Cục Bộ:
NordDragonScan(trong thư mục local app data) - Tên Tệp Ảnh Chụp Màn Hình:
SPicture.png - Phần Mở Rộng Tệp Bị Nhắm Mục Tiêu:
.docx,.pdf,.txt - Trình Duyệt Bị Nhắm Mục Tiêu: Chrome, Firefox
Biện Pháp Phòng Ngừa và Bảo Vệ
Để chống lại mối đe dọa này, các giải pháp bảo mật như FortiGuard Antivirus và dịch vụ Content Disarm and Reconstruction (CDR) của Fortinet đang chủ động chặn đứng mối đe dọa này trên các nền tảng FortiGate, FortiMail, FortiClient và FortiEDR. Người dùng được khuyến nghị hết sức thận trọng khi tiếp xúc với các tệp LNK shortcut không đáng tin cậy và các kho lưu trữ nén, vì mạng lưới phân phối của NordDragonScan vẫn đang hoạt động rất hiệu quả. Việc duy trì các bản cập nhật bảo mật mới nhất và nâng cao nhận thức về các kỹ thuật lừa đảo là rất quan trọng để giảm thiểu rủi ro.
