Trung tâm Tình báo An ninh AhnLab (ASEC) đã phát hiện các trường hợp phân phối proxyware mới, được thực hiện bởi các tác nhân đe dọa sử dụng quảng cáo lừa đảo trên các trang web cung cấp phần mềm miễn phí (freeware sites).
Tổng Quan về Proxyjacking và Chiến Dịch Proxyware
Tiếp nối các báo cáo trước đây, như phân tích “DigitalPulse Proxyware Being Distributed Through Ad Pages”, chiến dịch này tiếp tục khai thác người dùng không nghi ngờ tại Hàn Quốc. Các công cụ chia sẻ băng thông trái phép như DigitalPulse và Honeygain đã được cài đặt lên hệ thống của nạn nhân.
Các cuộc tấn công này là ví dụ điển hình của proxyjacking. Đây là hình thức mà các tác nhân độc hại triển khai proxyware một cách lén lút để kiếm tiền từ tài nguyên internet của nạn nhân mà không có sự đồng ý. Kỹ thuật này phản ánh việc khai thác tài nguyên tương tự như cryptojacking, nhưng tập trung vào băng thông mạng thay vì năng lực tính toán cho hoạt động đào tiền điện tử.
Proxyjacking liên quan đến việc cài đặt trái phép proxyware, một phần mềm được thiết kế để phân bổ một phần băng thông của hệ thống cho các thực thể bên ngoài để đổi lấy tiền bồi thường. Khi được triển khai mà không có sự đồng thuận, nó dẫn đến hành vi trộm cắp băng thông, với lợi nhuận được chuyển đến những kẻ tấn công.
Các tiền lệ lịch sử bao gồm một chiến dịch năm 2023 do LevelBlue ghi lại. Chiến dịch này đã xâm phạm hơn 400.000 hệ thống Windows thông qua DigitalPulse. Hoạt động giám sát của ASEC tiết lộ các hoạt động liên tục tại Hàn Quốc. Các ca lây nhiễm gần đây sử dụng các chiến thuật tương tự nhưng kết hợp các biến thể như proxyware của Honeygain.
Kỹ Thuật Phát Tán và Chuỗi Lây Nhiễm
Phương Thức Phát Tán Ban Đầu
Các tác nhân đe dọa đang ngụy trang mã độc dưới dạng trình tải xuống video YouTube hợp pháp. Chúng tận dụng việc người dùng tìm kiếm các công cụ miễn phí thông qua công cụ tìm kiếm. Nạn nhân nhập URL video sẽ gặp phải các trang web có vẻ vô hại, cung cấp nút “Download Now”. Nút này thực chất chuyển hướng đến các trang chứa đầy quảng cáo hoặc trực tiếp tải xuống mã độc.
Sử Dụng GitHub làm Vector Tấn Công
Sử dụng các kho lưu trữ GitHub làm vector phân phối, những kẻ tấn công tải lên các tệp thực thi. Các tệp này khởi đầu chuỗi lây nhiễm. Mã độc, thường được ngụy trang dưới tên “QuickScreenRecorder.exe”, thực thi một script PowerShell.
Script PowerShell này thực hiện các kiểm tra chống phân tích để phát hiện môi trường sandbox và máy ảo trước khi tiến hành cài đặt proxyware.
# Ví dụ đoạn mã PowerShell giả định (không có trong nội dung gốc, chỉ minh họa cơ chế)
function CheckSandbox {
$processes = Get-Process -ErrorAction SilentlyContinue | Select-Object -ExpandProperty ProcessName
$sandboxProcesses = "vmtoolsd", "vboxservice", "wireshark", "procmon"
foreach ($p in $sandboxProcesses) {
if ($processes -contains $p) {
Write-Host "Sandbox environment detected. Exiting."
exit
}
}
}
CheckSandbox
Chuỗi Lây Nhiễm và Cơ Chế Né Tránh
Luồng lây nhiễm vẫn nhất quán với các sự cố trước đây. Sau các quy trình né tránh, script cài đặt NodeJS, tìm nạp JavaScript độc hại và lên lịch các tác vụ với tên như “DefragDiskCleanup”. Điều này nhằm duy trì sự hiện diện và hoạt động của mã độc trên hệ thống.
Giao Tiếp C2 và Triển Khai Proxyware
JavaScript độc hại này giao tiếp với các máy chủ Command-and-Control (C&C). Nó chuyển tiếp dữ liệu đo từ xa (telemetry) của hệ thống và nhận các lệnh PowerShell để triển khai proxyware. Đây là một điểm trọng yếu trong các mối đe dọa mạng hiện nay.
Trong hầu hết các trường hợp, DigitalPulse được cài đặt. Tuy nhiên, các biến thể mới giới thiệu “hgsdk.dll” của Honeygain cùng với một trình khởi chạy “FastCleanPlus.exe”, được đăng ký trong trình lập lịch tác vụ. Trình khởi chạy này gọi hàm hgsdk_start() của DLL bằng API key của kẻ tấn công, cho phép chia sẻ băng thông. Phân tích chi tiết cho thấy thiết kế mô-đun của mã độc, với các script PowerShell xử lý việc tải xuống và thực thi.
Phân Tích Kỹ Thuật các Biến Thể Proxyware
DigitalPulse và Honeygain
Hai loại proxyware chính được sử dụng trong chiến dịch này là DigitalPulse và Honeygain. DigitalPulse đã được ghi nhận trong các cuộc tấn công trước đây, ảnh hưởng đến hàng trăm nghìn hệ thống. Honeygain, một dịch vụ chia sẻ băng thông hợp pháp, bị lạm dụng bởi những kẻ tấn công để thực hiện proxyjacking.
Cơ Chế Hoạt Động của Honeygain
Khi Honeygain được triển khai một cách độc hại, “hgsdk.dll” đóng vai trò cốt lõi. DLL này là một thư viện liên kết động chứa các chức năng cần thiết để thiết lập kết nối proxy và quản lý việc sử dụng băng thông. “FastCleanPlus.exe” hoạt động như một trình khởi chạy, kích hoạt “hgsdk.dll” và cấp quyền truy cập vào API key của kẻ tấn công. API key này là yếu tố quan trọng để liên kết hoạt động chia sẻ băng thông với tài khoản của kẻ tấn công, đảm bảo lợi nhuận được chuyển về cho chúng.
Các phản hồi từ máy chủ C&C thường bao gồm các lệnh để tìm nạp các tệp lưu trữ nén chứa các thành phần của Honeygain. Điều này cho phép kẻ tấn công linh hoạt thay đổi và cập nhật các công cụ được sử dụng trong chiến dịch tấn công mạng.
Chữ Ký Phát Hiện và Biện Pháp Phòng Ngừa
Chữ Ký Phát Hiện của ASEC
Các chữ ký phát hiện từ ASEC bao gồm:
- Dropper/Win.Proxyware.C5783593
- Execution/MDP.Powershell.M2514
Các chữ ký này nhấn mạnh sự cần thiết của việc bảo vệ điểm cuối (endpoint protection) mạnh mẽ. Việc giám sát các hành vi đáng ngờ và các tệp có chữ ký này là rất quan trọng để phát hiện xâm nhập.
Khuyến Nghị Bảo Mật
Chiến dịch này một lần nữa nhấn mạnh rủi ro khi tải xuống từ các nguồn không chính thức, vốn thường tràn ngập quảng cáo và cửa sổ bật lên. Người dùng nên xác minh tính xác thực của trang web trước khi tải xuống bất kỳ phần mềm nào. Đồng thời, việc sử dụng các giải pháp an ninh mạng toàn diện như V3 để quét tìm các lây nhiễm là cần thiết.
Tầm Quan Trọng của Threat Intelligence và IOC
Khi proxyjacking phát triển, hòa trộn với các họ mã độc đã được thiết lập, việc chủ động giám sát các chỉ số xâm phạm (IoC) là rất quan trọng để ngăn chặn các mối đe dọa khai thác tài nguyên này. Các IoC cụ thể bao gồm tên tệp đáng ngờ, các lệnh PowerShell không mong muốn, các tác vụ được lên lịch bất thường, và lưu lượng mạng đến các máy chủ C&C không xác định. Việc tích hợp threat intelligence vào hệ thống phòng thủ giúp nâng cao khả năng phản ứng trước các mối đe dọa mạng mới nổi.
