Poco RAT thông qua PDF vũ khí hóa
Tổng quan chiến dịch: Một biến thể mới của phần mềm độc hại, được đặt tên là “Poco RAT,” đã xuất hiện như một công cụ gián điệp mạnh mẽ trong một chiến dịch nhắm mục tiêu đến người dùng nói tiếng Tây Ban Nha ở Mỹ Latinh. Các nhà nghiên cứu bảo mật tại Trung tâm An ninh Chuyên gia Positive Technologies (PT ESC) đã liên kết phần mềm độc hại này với nhóm Dark Caracal khét tiếng, nổi tiếng với các hoạt động cyber-mercenary.
Phương pháp tấn công: Cuộc tấn công bắt đầu bằng các email lừa đảo chứa các tệp PDF độc hại được ngụy trang thành tài liệu tài chính hợp pháp. Những tệp giả mạo này thường giả danh hóa đơn hoặc xác nhận thanh toán từ các tổ chức nổi tiếng, lợi dụng hình ảnh mờ và thao tác siêu dữ liệu để tránh bị phát hiện.
Phân phối phần mềm độc hại: Khi được mở, các tệp PDF sẽ hướng dẫn nạn nhân tải xuống một lưu trữ `.rev` từ các dịch vụ đám mây hợp pháp như Google Drive hoặc Dropbox. Bên trong lưu trữ là một trình cài đặt thực thi Poco RAT trong khi tránh ghi vào ổ đĩa, làm cho nó khó bị phát hiện bởi các giải pháp antivirus truyền thống.
Khả năng của Poco RAT: Poco RAT là một cửa hậu tinh vi được xây dựng bằng các thư viện POCO C++, cho phép các cuộc tấn công thực hiện:
- Thực thi các lệnh hệ thống
- Chụp màn hình
- Duyệt hệ thống tệp
- Quản lý các quá trình hệ thống
Phần mềm độc hại cũng thu thập thông tin chi tiết về hệ thống, bao gồm tên người dùng, phiên bản hệ điều hành và bộ nhớ khả dụng, trước khi truyền tải nó đến các máy chủ chỉ huy và kiểm soát (C2).
Cobalt Strike: Mặc dù bài viết không đề cập cụ thể đến phần mềm độc hại Cobalt Strike được phân phối qua PDF vũ khí hóa, nhưng đáng lưu ý rằng Cobalt Strike thường được sử dụng trong các chiến dịch phần mềm độc hại khác nhau, bao gồm các cuộc tấn công lừa đảo và ransomware. Ví dụ, một bài viết từ Security Affairs đề cập đến Chiến dịch Morpheus, đã nhắm mục tiêu đến các máy chủ Cobalt Strike được sử dụng bởi các tội phạm mạng trong nhiều cuộc điều tra phần mềm độc hại và ransomware, bao gồm cả những điều tra về RYUK, Trickbot và Conti. Một bối cảnh khác, GBHackers đề cập rằng các beacon Cobalt Strike có thể được tải xuống như một phần của các nhiễm Gootloader, thường được khởi xướng thông qua các trang web chuyển đổi tệp giả mạo. Điều này làm nổi bật tính linh hoạt của Cobalt Strike trong các chuỗi phân phối phần mềm độc hại khác nhau.
Kết luận: Mặc dù bài viết không chi tiết việc phân phối phần mềm Cobalt Strike thông qua PDF vũ khí hóa, nhưng nó cung cấp cái nhìn tổng quan toàn diện về cơ chế phân phối Poco RAT thông qua PDF vũ khí hóa. Bối cảnh rộng hơn về việc sử dụng Cobalt Strike trong các chiến dịch phần mềm độc hại khác nhau, bao gồm cả các cuộc tấn công lừa đảo và ransomware, nhấn mạnh tầm quan trọng của việc cảnh giác trước những mối đe dọa mạng tinh vi.
