Một chiến dịch tấn công độc hại mới đã xuất hiện, nhắm mục tiêu vào người dùng nói tiếng Trung thông qua các trình cài đặt giả mạo của các phần mềm phổ biến như WPS Office, Sogou và DeepSeek. Chiến dịch này được cho là do nhóm đối thủ Silver Fox có trụ sở tại Trung Quốc thực hiện, với mức độ tin cậy trung bình. Nhóm này tận dụng các trang web lừa đảo (phishing websites) bắt chước các cổng phần mềm hợp pháp để phân phối các payload độc hại, chủ yếu dưới dạng tệp MSI.
Các trình cài đặt đánh lừa này không chỉ cài đặt phần mềm chính hãng để duy trì ảo giác hợp pháp mà còn triển khai Sainbox RAT, một biến thể của Gh0stRAT khét tiếng, cùng với một phiên bản đã sửa đổi của rootkit mã nguồn mở Hidden. Điều này cho phép kẻ tấn công giành quyền kiểm soát hệ thống bị xâm nhập một cách lén lút và bền vững.
Chuỗi Tấn Công Chi Tiết
Khởi Đầu Lây Nhiễm và Phân Phối Payload
Quá trình lây nhiễm bắt đầu khi những người dùng không nghi ngờ truy cập các trang web giả mạo được thiết kế giống hệt các trang chính thức của phần mềm Trung Quốc được sử dụng rộng rãi. Khi nhấp vào nút tải xuống, nạn nhân sẽ bị chuyển hướng đến một URL độc hại, nơi cung cấp trình cài đặt giả mạo. Phân tích từ Netskope cho thấy hầu hết các trình cài đặt này là tệp MSI, với biến thể WPS Office là một tệp thực thi PE (Portable Executable).
Kỹ Thuật Side-Loading DLL và Khởi Tạo Payload
Đối với các tệp MSI, quá trình thực thi liên quan đến việc chạy một tệp nhị phân hợp pháp có tên “Shine.exe”. Tệp này thực hiện kỹ thuật side-loading một DLL độc hại có tên “libcef.dll”, đây là một phiên bản giả mạo của thư viện Chromium Embedded Framework. Đồng thời, trình cài đặt phần mềm chính hãng vẫn tiếp tục hoạt động bình thường để tránh gây nghi ngờ.
Trong quá trình này, một tệp có tên “1.txt” được thả xuống, chứa shellcode và một payload mã độc. Khi Shine.exe gọi hàm “cef_api_hash” trong DLL độc hại, nó thiết lập cơ chế persistence (duy trì truy cập) bằng cách thêm chính nó vào khóa Run của Windows Registry dưới tên “Management”.
Sau đó, nó đọc nội dung của “1.txt” vào bộ nhớ, chuyển quyền kiểm soát sang shellcode. Đoạn shellcode này có kích thước 0xc04 byte và được xây dựng dựa trên công cụ mã nguồn mở sRDI (reflective DLL injection). Shellcode này tiếp tục tải một DLL ẩn có tên “Install.dll” từ bên trong tệp 1.txt, sau đó gọi hàm xuất “Shellex” của nó để bắt đầu hoạt động độc hại chính.
Kích Hoạt Sainbox RAT và Triển Khai Rootkit
Netskopec tiếp tục kiểm tra và xác định payload DLL là Sainbox RAT. Sainbox RAT này nhúng một tệp nhị phân PE khác trong phần .data của nó – một trình điều khiển rootkit được phát triển từ dự án Hidden. Rootkit này được cài đặt như một dịch vụ có tên “Sainbox” thông qua hàm NtLoadDriver.
Rootkit sử dụng các mini-filter và callback kernel để ẩn các tiến trình, tệp và mục đăng ký (registry entries), đồng thời tự bảo vệ nó và các tiến trình liên quan khỏi bị chấm dứt. Cơ chế ẩn mình tinh vi này đảm bảo rằng RAT có thể hoạt động mà không bị phát hiện, cấp cho kẻ tấn công toàn quyền kiểm soát máy của nạn nhân để thực hiện các hoạt động như đánh cắp dữ liệu (data exfiltration) và triển khai các payload bổ sung.
Phân Tích TTPs (Tactics, Techniques, and Procedures) của Kẻ Tấn Công
Việc sử dụng các công cụ mã nguồn mở và mã độc phổ biến như các biến thể Gh0stRAT cho thấy kẻ tấn công có thể đạt được các cuộc tấn công tinh vi với mức độ phát triển tùy chỉnh tối thiểu. Các phòng thí nghiệm của Netskope Threat Labs tiếp tục theo dõi sự phát triển của Sainbox RAT và các chiến thuật, kỹ thuật, quy trình của Silver Fox.
Việc gán mức độ tin cậy trung bình cho nhóm này là do các mẫu hình nhất quán trong hạ tầng lừa đảo, mục tiêu và công cụ được sử dụng. Điều này cũng thừa nhận những thách thức cố hữu trong việc xác định chính xác đối thủ, do khả năng có các hoạt động cờ giả (false-flag operations) và tài nguyên được chia sẻ giữa các nhóm đe dọa khác nhau.
Chiến dịch này là một ví dụ điển hình về việc lạm dụng ngày càng tăng các thương hiệu phần mềm phổ biến và các công cụ AI làm mồi nhử trong tội phạm mạng.
Các Chỉ Số Thỏa Hiệp (Indicators of Compromise – IOCs)
Dựa trên phân tích, các IOCs liên quan đến chiến dịch này bao gồm:
- Tên mã độc:
- Sainbox RAT
- Gh0stRAT (biến thể)
- Hidden rootkit (phiên bản sửa đổi)
- Tên tệp:
Shine.exelibcef.dll(giả mạo)1.txtInstall.dll(ẩn)
- Khóa Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Management
- Tên dịch vụ:
- Sainbox (được cài đặt bởi rootkit)
- Hàm API/Kỹ thuật:
cef_api_hash(được gọi bởiShine.exetrong DLL độc hại)Shellex(hàm xuất từInstall.dll)NtLoadDriver(được sử dụng để cài đặt rootkit)- Reflective DLL Injection (sử dụng sRDI)
Người dùng cần luôn cảnh giác và xác minh kỹ lưỡng các nguồn tải xuống để tránh trở thành nạn nhân của các chiến dịch lừa đảo tương tự.
