Phân tích gần đây đã làm sáng tỏ hoạt động của PureHVNC RAT, một trojan truy cập từ xa do nhóm PureCoder phát triển. Điều đáng chú ý là nhóm này đang lợi dụng các kho lưu trữ GitHub để lưu trữ các thành phần quan trọng và mã nguồn plugin cho dòng mã độc Pure của họ. Phương thức này đại diện cho một hình thái mới trong các chiến dịch tấn công mạng, nơi các tác nhân đe dọa sử dụng nền tảng phát triển hợp pháp để phân phối và quản lý malware.
Chiến Dịch ClickFix và Sự Xuất Hiện của PureHVNC RAT
Phân tích pháp y của Check Point Research về chiến dịch xâm nhập ClickFix kéo dài 8 ngày đã tiết lộ chi tiết về cách thức PureHVNC RAT được triển khai. Máy chủ Command-and-Control (C&C) của mã độc đã gửi các URL GitHub tới các máy bị nhiễm, một kỹ thuật chưa từng thấy rõ ràng trong các chiến dịch trước đây của nhóm này.
Khai Thác Ban Đầu và Phương Thức Xâm Nhập
Chiến dịch bắt đầu bằng một cuộc tấn công lừa đảo (phishing) sử dụng kỹ thuật kỹ thuật xã hội ClickFix. Nạn nhân bị lừa thực thi một payload PowerShell sau khi truy cập một danh sách việc làm giả mạo. Payload này đóng vai trò là trình tải ban đầu, được viết bằng Rust, cài đặt PureHVNC RAT với các định danh chiến dịch là “2a” và “amazon3”.
Giai Đoạn Xâm Nhập và Thiết Lập Duy Trì Quyền Truy Cập
Trong suốt 8 ngày xâm nhập, kẻ tấn công đã sử dụng các tệp JavaScript độc hại, triển khai hai phiên bản PureHVNC RAT. Sau đó, chúng thiết lập tính bền vững trên hệ thống của nạn nhân và cuối cùng thực thi framework Command and Control (C2) Sliver. RAT này duy trì quyền truy cập thông qua các tác vụ đã lên lịch (scheduled tasks).
Thu Thập và Rò Rỉ Thông Tin Hệ Thống
PureHVNC RAT sử dụng giao tiếp được bảo mật bằng SSL để trích xuất thông tin hệ thống. Dữ liệu bao gồm các sản phẩm chống virus đã cài đặt, quyền người dùng, chi tiết hệ điều hành và thời gian không hoạt động. Các payload này được nén, chia thành từng đoạn và có kích thước lên tới 16 KB.
Cơ Chế Hoạt Động Kỹ Thuật của PureHVNC
Các nhà điều tra đã trích xuất bộ lệnh đầy đủ, lược đồ cấu hình và cơ chế plugin của PureHVNC RAT. Mã độc này sử dụng dữ liệu plugin được nén, lưu trữ trong registry, sau đó được đảo ngược và giải nén động trong thời gian chạy. Điều này cho phép mở rộng chức năng linh hoạt.
Tích Hợp PureCrypter và Khả Năng Tùy Chỉnh
Phân tích builder của PureHVNC đã tiết lộ sự tích hợp với PureCrypter. Điều này cho phép khách hàng lựa chọn các tùy chọn mã hóa, phương pháp duy trì quyền truy cập và kỹ thuật chèn mã (code injection). Bộ công cụ tích hợp này nhấn mạnh triết lý thiết kế mô-đun của bộ mã độc Pure, cho phép các tác nhân đe dọa tùy chỉnh việc triển khai cho nhiều mục tiêu khác nhau.
Kỹ Thuật Né Tránh AMSI
Mã độc này có khả năng vô hiệu hóa các khả năng quét thời gian chạy của Antimalware Scan Interface (AMSI). Bằng cách này, PureHVNC RAT né tránh được sự phát hiện và phân tích của các sản phẩm bảo mật dựa vào AMSI để kiểm tra malware theo thời gian thực. Trình tải Rust tạo một vùng heap, sao chép vùng đệm payload đã giải mã vào đó và thực thi shellcode.
GitHub: Nền Tảng Phát Triển Bị Khai Thác bởi PureCoder
Một phát hiện quan trọng là khi PureHVNC RAT liên hệ với C&C của nó, ba URL GitHub khác biệt đã được tải xuống. Ban đầu, người ta cho rằng các tài khoản này thuộc về khách hàng phân phối các payload bổ sung. Tuy nhiên, phân tích ngược builder quản trị của PureRAT đã làm rõ rằng các URL được mã hóa cứng này là một phần nội tại của chính builder.
Liên Kết Trực Tiếp với PureCoder
Khám phá này trực tiếp liên kết các tài khoản GitHub — một tài khoản có tên testdemo345 và một tài khoản khác được dán nhãn DFfe9ewf/PURE-CODER-1 — với PureCoder. Điều này cho thấy các tài khoản này thuộc về nhà phát triển, không phải các nhà điều hành trung gian hoặc khách hàng crimeware.
Các kho lưu trữ này chứa các mô-đun thực thi và tệp nguồn plugin cho các tiện ích mở rộng TwitchBot và YoutubeBot. Những tiện ích này cho phép thực hiện các hoạt động tăng lượt theo dõi, lượt thích và nhấp vào quảng cáo trên các nền tảng phát trực tuyến.
Dấu Vết Địa Lý và Kỹ Thuật Độc Đáo
Siêu dữ liệu từ các commit Git chỉ ra các dấu thời gian tương ứng với UTC+0300. Điều này gợi ý rằng PureCoder hoạt động trong múi giờ này, có khả năng đặt vị trí của họ ở Đông Âu hoặc Tây Á. Việc lưu trữ các thành phần mã độc công khai trên một nền tảng phát triển phổ biến thách thức các phương pháp tác chiến thông thường của các tác nhân đe dọa.
Check Point cũng đã xác định một builder và console quản trị của PureRAT hỗ trợ nhiều ngôn ngữ (tiếng Anh, tiếng Nga và tiếng Trung).
Lợi Ích và Rủi Ro của Việc Lạm Dụng GitHub
- Tính sẵn sàng và dự phòng cao: Lưu trữ mô-đun trên GitHub mang lại độ tin cậy.
- Quản lý phiên bản đơn giản: Giúp các nhà phát triển malware dễ dàng cập nhật và sửa đổi.
- Né tránh lọc mạng cơ bản: Bằng cách tận dụng lưu lượng HTTPS hợp pháp, mã độc có thể tránh được các hệ thống lọc mạng đơn giản.
Tuy nhiên, phương pháp này cũng tạo ra một dấu vết có thể theo dõi. Các nhà điều tra có thể giám sát việc tạo kho lưu trữ, các mẫu commit và hoạt động tài khoản để dự đoán các bản cập nhật trong tương lai hoặc xác định các dự án liên quan. Tìm hiểu thêm về phân tích của Check Point tại: Under the Pure Curtain: From RAT to Builder to Coder.
Phát Hiện Xâm Nhập: Chỉ Báo Thỏa Hiệp (IOCs) và Phương Pháp
Mặc dù việc xác định chính xác danh tính vẫn còn khó khăn, các chỉ số sau đây cung cấp thông tin hữu ích cho các đội ngũ thực thi pháp luật và tình báo về mối đe dọa. Việc sớm phát hiện xâm nhập là cực kỳ quan trọng.
Chỉ Báo Thỏa Hiệp (IOCs)
- Định danh chiến dịch:
2a,amazon3 - Tài khoản GitHub liên quan:
testdemo345,DFfe9ewf/PURE-CODER-1 - Múi giờ hoạt động: UTC+0300
Hành Động Phát Hiện và Giám Sát
Các tổ chức nên ưu tiên giám sát nhật ký mạng để tìm kiếm các lệnh gọi API GitHub bất thường và các bản sao kho lưu trữ bất thường bắt nguồn từ các điểm cuối. Các công cụ phát hiện điểm cuối (endpoint detection tools) nên gắn cờ các tác vụ đã lên lịch tham chiếu tải xuống từ GitHub, đặc biệt khi kết hợp với các luồng SSL được mã hóa tới các cổng không chuẩn.
Thực hiện các bài tập săn tìm mối đe dọa (threat hunting) chủ động tập trung vào các biến thể mới nổi của PureCrypter và PureLogs có thể phát hiện sớm các chỉ báo thỏa hiệp trong các môi trường bị nhắm mục tiêu bởi các chiến dịch PureHVNC RAT.
Chiến Lược Bảo Mật Mạng và Ứng Phó Hiệu Quả
Khi dòng mã độc Pure tiếp tục phát triển, các nhà phát triển của nó có khả năng đa dạng hóa các giải pháp lưu trữ, có thể di chuyển sang các nền tảng chia sẻ mã thay thế hoặc nhúng payload trực tiếp vào giao diện builder. Điều này đòi hỏi các đội ngũ bảo mật mạng phải liên tục thích nghi.
Áp Dụng Chiến Lược Phát Hiện Thích Ứng
Các đội ngũ bảo mật phải áp dụng các chiến lược phát hiện thích ứng, kết hợp các kiểm soát dựa trên chữ ký (signature-based controls) với phân tích dựa trên hành vi (behavior-based analytics). Bằng cách hiểu các phương pháp vận hành và sở thích hạ tầng của nhà phát triển, các nhà phòng thủ có thể giành được lợi thế chiến lược trước tác nhân đe dọa dễ thích nghi và ngày càng phổ biến này.
