Phân Tích Chiến Dịch DCRat Nhắm Mục Tiêu Colombia: Nguy Cơ Tiềm Ẩn

02/07/2025
6 mins read
Nội dung
Tổng quan về Chiến dịch DCRat nhắm mục tiêu vào Colombia
Chuỗi tấn công chi tiết
Giai đoạn 1: Lừa đảo qua Email (Phishing Email)
Giai đoạn 2: Tải và Giải mã Payload
Giai đoạn 3: Triển khai và Duy trì DCRat
Chức năng và Khả năng của DCRat
Các Tính năng Độc hại Chính
Kỹ thuật Né tránh và Duy trì Quyền truy cập
Tác động của cuộc tấn công
Chỉ số Nhận dạng Sự cố (IOCs)
Biện pháp Phòng ngừa và Phát hiện
Giải pháp Bảo mật của Fortinet
Khuyến nghị cho Tổ chức

Tổng quan về Chiến dịch DCRat nhắm mục tiêu vào Colombia

Nhóm FortiMail IR gần đây đã phát hiện một chiến dịch tấn công qua email tinh vi, phân tán mã độc Remote Access Trojan (RAT) có tên là DCRat. Chiến dịch này đặc biệt nhắm mục tiêu vào các tổ chức tại Colombia. Những kẻ tấn công đã mạo danh một thực thể chính phủ Colombia, sử dụng các kỹ thuật né tránh tiên tiến để xâm nhập vào các hệ thống Microsoft Windows. Với mức độ nghiêm trọng cao, mối đe dọa này nhằm mục đích kiểm soát các thiết bị bị lây nhiễm và thu thập thông tin nhạy cảm, gây ra rủi ro đáng kể cho người dùng bị ảnh hưởng.

Chuỗi tấn công chi tiết

Giai đoạn 1: Lừa đảo qua Email (Phishing Email)

Chuỗi tấn công bắt đầu bằng các email lừa đảo (phishing email), thường đặt người nhận vào trường BCC (Blind Carbon Copy) để che giấu danh sách phân phối. Những email này chứa một tệp nén ZIP được bảo vệ bằng mật khẩu. Việc sử dụng tệp ZIP được bảo vệ bằng mật khẩu là một kỹ thuật phổ biến để vượt qua các bộ lọc email thông thường, vì chúng không thể quét được nội dung bên trong nếu không có mật khẩu.

Giai đoạn 2: Tải và Giải mã Payload

Bên trong tệp ZIP là một tệp .bat (batch file) độc hại. Khi được thực thi, tệp .bat này sẽ kích hoạt quá trình tải xuống một script VBS (Visual Basic Script) đã bị làm rối (obfuscated) từ một trang web giống như pastebin. Script VBS được lưu trữ trong thư mục C:\Windows\Temp. Fortinet đã báo cáo rằng script này, chứa nhiều đoạn mã rác và kỹ thuật làm rối, thực thi một payload được mã hóa Base64. Payload này cuối cùng sẽ truy xuất một thư viện .NET ẩn được nhúng trong một tệp ảnh thông qua kỹ thuật steganography. Kỹ thuật steganography cho phép kẻ tấn công che giấu dữ liệu độc hại trong các tệp đa phương tiện vô hại, khiến việc phát hiện trở nên khó khăn hơn.

Giai đoạn 3: Triển khai và Duy trì DCRat

Giai đoạn cuối cùng của cuộc tấn công liên quan đến việc tải xuống một tệp thực thi RAT (Remote Access Trojan) từ một URL đã bị đảo ngược (reversed URL) về thư mục C:\Users\Public\Downloads. Tệp RAT này sau đó được giải mã bằng cách sử dụng một khóa AES256 được mã hóa cứng (hardcoded AES256 key). Sau khi giải mã và thực thi thành công, DCRat được triển khai trên hệ thống nạn nhân.

Để duy trì quyền truy cập dai dẳng (persistence), DCRat sử dụng một trong hai phương pháp chính:

  • Đặt lịch tác vụ thông qua lệnh schtasks, cho phép mã độc chạy định kỳ hoặc khi có sự kiện cụ thể.
  • Thiết lập các mục đăng ký (registry entries) trong khóa HKCU\Software\Microsoft\Windows\CurrentVersion\Run. Điều này đảm bảo rằng DCRat sẽ tự động khởi động mỗi khi người dùng đăng nhập vào hệ thống.

Một khi đã thiết lập, DCRat còn tiến hành vô hiệu hóa Windows Antimalware Scan Interface (AMSI) bằng cách vá bộ đệm bộ nhớ (patching memory buffers). Hành động này nhằm mục đích làm suy yếu khả năng phát hiện của các giải pháp chống mã độc dựa trên AMSI. Để duy trì kết nối liên tục với máy chủ command-and-control (C2), DCRat sử dụng một vòng lặp vô hạn, đảm bảo liên lạc liên tục cho việc khai thác và điều khiển tiếp theo.

Chức năng và Khả năng của DCRat

Kiến trúc mô-đun của DCRat cho phép kẻ tấn công tùy chỉnh hành vi của nó bằng cách thêm các plugin cho các hoạt động độc hại cụ thể. Điều này làm cho DCRat trở thành một công cụ đa năng và nguy hiểm trong tay của kẻ tấn công.

Các Tính năng Độc hại Chính

Các khả năng toàn diện của DCRat bao gồm:

  • Kiểm soát hệ thống từ xa: Cho phép kẻ tấn công thực hiện các thao tác quản trị trên thiết bị bị nhiễm.
  • Quản lý tệp và quy trình: Bao gồm khả năng liệt kê, tải lên, tải xuống, xóa tệp và quản lý các quy trình đang chạy trên hệ thống.
  • Thu thập dữ liệu trình duyệt: Trích xuất lịch sử duyệt web, cookie, dấu trang và các dữ liệu nhạy cảm khác từ các trình duyệt đã cài đặt.
  • Đánh cắp thông tin đăng nhập: Thu thập tên người dùng và mật khẩu được lưu trữ trên hệ thống, bao gồm cả từ các trình duyệt, ứng dụng và hệ thống quản lý thông tin đăng nhập.
  • Keylogging: Ghi lại tất cả các phím bấm của người dùng, cho phép kẻ tấn công thu thập các thông tin nhạy cảm như mật khẩu, tin nhắn, và các dữ liệu nhập liệu khác.
  • Chụp màn hình: Chụp ảnh màn hình của thiết bị bị nhiễm, cung cấp cho kẻ tấn công cái nhìn trực tiếp về hoạt động của người dùng.
  • Thao túng cài đặt hệ thống: Bao gồm các hành động như khởi động lại máy tính, thay đổi hình nền, hoặc tạo tài khoản người dùng mới với các đặc quyền khác nhau.

Kỹ thuật Né tránh và Duy trì Quyền truy cập

Ngoài các chức năng độc hại, DCRat còn áp dụng các kỹ thuật chống phân tích để né tránh việc phát hiện và gỡ bỏ:

  • Tạo mutex: Tạo các đối tượng mutex (mutual exclusion) để đảm bảo chỉ có một thể hiện của DCRat chạy trên hệ thống tại một thời điểm, đồng thời làm phức tạp quá trình phân tích mã độc.
  • Chấm dứt quy trình: Có khả năng chấm dứt các quy trình liên quan đến phần mềm bảo mật hoặc các công cụ phân tích.
  • Đánh dấu quy trình quan trọng: Nếu được cấu hình, DCRat có thể đánh dấu chính nó là một quy trình hệ thống quan trọng. Trong trường hợp này, nếu một người dùng có đặc quyền quản trị cố gắng chấm dứt quy trình của DCRat, nó có thể kích hoạt màn hình xanh chết chóc (Blue Screen of Death – BSOD), gây mất ổn định hệ thống và ngăn cản việc phân tích sâu hơn.

Kết nối liên tục với máy chủ C2 là một phần quan trọng trong chiến lược của DCRat. Thông qua địa chỉ 176.65.144.19:8848, mã độc có thể nhận lệnh mới, gửi dữ liệu đã thu thập và duy trì quyền kiểm soát từ xa trên thiết bị bị nhiễm.

Tác động của cuộc tấn công

Tác động của một cuộc lây nhiễm DCRat là vô cùng nghiêm trọng, cho phép kẻ tấn công:

  • Đánh cắp dữ liệu nhạy cảm: Bao gồm thông tin cá nhân, thông tin tài chính, sở hữu trí tuệ và bí mật kinh doanh.
  • Phá vỡ hoạt động: Gây gián đoạn các hệ thống và dịch vụ kinh doanh quan trọng, dẫn đến thiệt hại về năng suất và uy tín.
  • Thiệt hại tài chính: Trực tiếp thông qua việc lạm dụng thông tin đánh cắp hoặc gián tiếp thông qua chi phí khắc phục sự cố và hậu quả pháp lý.

Việc truy cập trực tiếp vào các hệ thống bị xâm nhập mang lại cho kẻ tấn công khả năng kiểm soát hoàn toàn, mở ra cánh cửa cho nhiều hình thức tấn công và lạm dụng khác.

Chỉ số Nhận dạng Sự cố (IOCs)

Dưới đây là các chỉ số nhận dạng sự cố liên quan đến chiến dịch DCRat này:

  • Địa chỉ IP và Cổng C2: 176.65.144.19:8848
  • Tên mã độc được Fortinet phát hiện: MSIL/Agent.CFQ!tr
  • Phương thức duy trì quyền truy cập (Persistence):
    • Sử dụng schtasks để tạo các tác vụ đã lên lịch.
    • Thiết lập mục đăng ký tại HKCU\Software\Microsoft\Windows\CurrentVersion\Run.
  • Thư mục đích thường được sử dụng để tải payload:
    • C:\Windows\Temp (cho script VBS)
    • C:\Users\Public\Downloads (cho tệp RAT cuối cùng)

Biện pháp Phòng ngừa và Phát hiện

Giải pháp Bảo mật của Fortinet

Các giải pháp bảo vệ của Fortinet cung cấp khả năng phát hiện và ngăn chặn mã độc này. Cụ thể:

  • FortiMail: Phát hiện và chặn email lừa đảo chứa các tệp đính kèm độc hại.
  • FortiGate: Cung cấp khả năng bảo vệ mạng, bao gồm ngăn chặn các kết nối đến máy chủ C2 độc hại.
  • FortiClient và FortiEDR: Phát hiện và chặn mã độc MSIL/Agent.CFQ!tr thông qua dịch vụ FortiGuard Antivirus trên các điểm cuối. FortiEDR cung cấp khả năng phát hiện và phản ứng nâng cao trên điểm cuối, bao gồm giám sát hành vi và ngăn chặn các kỹ thuật né tránh.
  • FortiGuard CDR (Content Disarm and Reconstruction): Gỡ bỏ các nội dung độc hại từ tài liệu.
  • FortiGuard IP Reputation và Anti-Botnet services: Chủ động giảm thiểu các mối đe dọa liên quan bằng cách chặn các kết nối đến các địa chỉ IP và tên miền độc hại đã biết.

Khuyến nghị cho Tổ chức

Các tổ chức được khuyến nghị thực hiện các biện pháp sau để tăng cường khả năng phòng thủ trước các cuộc tấn công tương tự:

  • Đào tạo nhận thức về lừa đảo: Nâng cao nhận thức của người dùng về các mối đe dọa lừa đảo qua email. Fortinet cung cấp các khóa đào tạo NSE (Network Security Expert) miễn phí, giúp người dùng hiểu rõ hơn về các kỹ thuật tấn công và cách phòng tránh.
  • Thực thi chính sách mật khẩu mạnh: Khuyến khích hoặc bắt buộc sử dụng mật khẩu mạnh cho các tệp nén và các tài khoản người dùng để giảm thiểu rủi ro từ các cuộc tấn công bẻ khóa.
  • Cập nhật hệ thống và phần mềm: Đảm bảo tất cả các hệ thống và phần mềm đều được cập nhật các bản vá bảo mật mới nhất để khắc phục các lỗ hổng đã biết mà kẻ tấn công có thể khai thác.
  • Triển khai giải pháp bảo mật đa lớp: Sử dụng kết hợp các giải pháp bảo mật như tường lửa thế hệ mới (NGFW), hệ thống phát hiện/ngăn chặn xâm nhập (IDS/IPS), giải pháp bảo vệ điểm cuối (EPP/EDR), và cổng bảo mật email (SEG) để tạo ra một lớp phòng thủ toàn diện.
  • Sao lưu dữ liệu định kỳ: Thực hiện sao lưu dữ liệu quan trọng thường xuyên và kiểm tra tính toàn vẹn của bản sao lưu để đảm bảo khả năng phục hồi sau sự cố.
  • Liên hệ nhóm ứng phó sự cố: Nếu nghi ngờ hoặc xác định đã bị ảnh hưởng bởi cuộc tấn công, hãy liên hệ ngay với Global FortiGuard Incident Response Team hoặc đội ứng phó sự cố bảo mật của riêng tổ chức để được hỗ trợ kịp thời.