Một chuỗi tấn công mới được ghi nhận, liên quan đến nhóm tin tặc UAC-0226, đang gây ra rủi ro bảo mật nghiêm trọng cho người dùng Windows. Chiến dịch này sử dụng các tệp nén WinRAR độc hại, luồng tệp ẩn và kỹ thuật nạp mã vào bộ nhớ tinh vi để phân phối GIFTEDCROOK, một loại malware đánh cắp thông tin nhạy cảm.
Phân tích chuỗi tấn công GIFTEDCROOK
Chiến dịch nhắm mục tiêu rõ ràng vào các nhân sự liên quan đến quân sự, sử dụng các tài liệu lừa đảo thuyết phục, được thiết kế để trông giống như hồ sơ quân sự nội bộ. Cuộc tấn công bắt đầu bằng một tệp WinRAR có vẻ bình thường, nhưng ẩn chứa nhiều hơn một tài liệu đơn giản.
Sử dụng Alternate Data Streams (ADS)
Kẻ tấn công tận dụng tính năng Alternate Data Streams (ADS) để che giấu nhiều tệp bên trong tệp nén. Bao gồm một tệp PDF giả mạo và một tệp shortcut (LNK). Khi tệp LNK được mở, nó sẽ âm thầm sao chép nội dung của nó vào các vị trí hệ thống quan trọng.
Người dùng nhấp vào một tài liệu quân sự hợp pháp, mà không hề nhận ra cuộc tấn công thực sự đã bắt đầu chạy âm thầm trong nền.
Vai trò của PowerShell và kỹ thuật nạp mã trong bộ nhớ
Các nhà phân tích bảo mật đã xác định được toàn bộ chuỗi tấn công này khi theo dõi hoạt động của các công cụ thuộc nhóm UAC-0226. Chuỗi này bao gồm tệp RAR ban đầu, tệp PDF giả mạo, tệp LNK, các tập lệnh PowerShell bị làm rối mã, một payload được mã hóa thêm và cuối cùng là GIFTEDCROOK stealer.
Tệp nén sẽ giải nén hai tệp vào hệ thống: một bộ tải PowerShell bị làm rối mã hóa nặng tại C:\ProgramData\WC3 và payload được mã hóa tại C:\ProgramData\wt1.
Một shortcut khởi động được đặt trong thư mục Startup của Windows đảm bảo GIFTEDCROOK chạy tự động mỗi khi người dùng đăng nhập lại. Điều này mang lại cho kẻ tấn công quyền truy cập dai dẳng mà không cần thêm nỗ lực nào.
Kỹ thuật né tránh phát hiện
Bộ tải PowerShell trong WC3 được chôn vùi dưới hàng ngàn dòng mã vô nghĩa, tên hàm ngẫu nhiên và các lời gọi đầu ra không liên quan, nhằm mục đích gây nhầm lẫn cho các công cụ phân tích.
Logic thực thi đọc payload được mã hóa từ wt1, giải mã nó bằng cách trừ 72 cho mỗi byte, và nạp kết quả trực tiếp vào bộ nhớ bằng các lời gọi Windows API cấp thấp. Kỹ thuật này hoàn toàn tránh được việc tạo ra một tệp thực thi có thể nhận dạng trên đĩa.
Payload được giải mã là một tệp PE tùy chỉnh không có tiêu đề (headless PE), nghĩa là nó thiếu tiêu đề chuẩn mà các máy quét bảo mật thường tìm kiếm. Một bộ nạp phản xạ chuyên dụng có tên Main.dll!Func sẽ xây dựng lại cấu trúc DLL trong bộ nhớ, giải quyết tất cả các hàm cần thiết và chuyển quyền thực thi cho GIFTEDCROOK mà không tương tác lại với hệ thống tệp. Cách tiếp cận này làm cho việc phát hiện dựa trên tệp truyền thống phần lớn trở nên không hiệu quả.
Hoạt động của GIFTEDCROOK trên hệ thống bị nhiễm
Khi hoạt động, GIFTEDCROOK di chuyển âm thầm trên máy bị nhiễm. Nó nhắm mục tiêu vào các trình duyệt như Google Chrome, Microsoft Edge, Opera và Firefox, trích xuất dữ liệu đăng nhập, cookie và các tệp phiên đã lưu.
Malware cũng tìm kiếm các cấu hình VPN, cơ sở dữ liệu KeePass và tệp email. Tất cả thông tin thu thập được sẽ được gom vào một tệp ZIP trước khi gửi đến cơ sở hạ tầng do kẻ tấn công kiểm soát.
Thu thập và exfiltrate dữ liệu
GIFTEDCROOK thực hiện quét môi trường tiến trình để định vị các thư mục cấu hình trình duyệt mà không thực hiện các lời gọi API rõ ràng có thể kích hoạt cảnh báo phát hiện hành vi. Nó giải mã thông tin trình duyệt nhạy cảm bằng cách sử dụng hàm CryptUnprotectData của Windows, nhắm mục tiêu vào các kho lưu trữ thông tin xác thực của Chrome, Edge, Opera và Firefox một cách có hệ thống và toàn diện.
Các tệp thu thập được được tổ chức vào một thư mục staging và đóng gói vào một tệp lưu trữ ZIP trước khi gửi đến máy chủ điều khiển và chỉ huy tại hxxps://142.111.194[.]73:8640/dj5FZEiLnA/.
Malware cũng lưu trữ một mã định danh ổn định cho mỗi lần lây nhiễm trong một tệp tạm thời. Điều này cho phép kẻ tấn công theo dõi các nạn nhân riêng lẻ qua các phiên mà không cần dựa vào registry của Windows.
Khuyến nghị phòng chống
Các nhóm bảo mật nên giám sát các sửa đổi thư mục khởi động, các hoạt động thực thi PowerShell bất thường liên quan đến lệnh IEX, và các kết nối đi đến các cổng không chuẩn.
Việc chặn thực thi LNK dựa trên tệp nén và thực thi các chính sách PowerShell nghiêm ngặt hơn có thể giảm thiểu đáng kể nguy cơ phơi nhiễm với loại chuỗi tấn công này. Việc hiểu rõ các mối đe dọa mạng mới nhất là rất quan trọng để duy trì an ninh.
Các chỉ số xâm nhập (IoCs)
- IP máy chủ C2:
142.111.194[.]73 - Cổng máy chủ C2:
8640 - URL C2:
hxxps://142.111.194[.]73:8640/dj5FZEiLnA/ - Tệp loader PowerShell:
C:\ProgramData\WC3 - Tệp payload được mã hóa:
C:\ProgramData\wt1 - Tệp DLL nạp phản xạ:
Main.dll(tên hàmFunc) - Vị trí shortcut khởi động: Windows Startup folder
- Tệp lưu trữ dữ liệu tạm thời: Sử dụng tệp tạm thời để lưu trữ mã định danh lây nhiễm.
Nâng cao khả năng phòng vệ chủ động của bạn trước các cuộc tấn công. Truy cập 5 chiến thuật săn lùng mối đe dọa đã được chứng minh mà bạn có thể triển khai trong SOC của mình. Việc cập nhật các bản vá bảo mật mới nhất cũng là một biện pháp quan trọng.
