Chiến dịch Snake Keylogger: Khai thác Kỹ thuật Tinh vi và Bối cảnh Địa chính trị
Một chiến dịch tấn công đang diễn ra đã tiết lộ sự xuất hiện của Snake Keylogger, một malware đánh cắp thông tin được phát triển bằng .NET. Mã độc này được phân phối thông qua mô hình Malware as a Service (MaaS), nhắm mục tiêu vào nhiều đối tượng khác nhau, bao gồm các công ty, tổ chức chính phủ và cá nhân. Đặc biệt, chiến dịch này tập trung vào ngành dầu khí trong bối cảnh căng thẳng địa chính trị leo thang ở Trung Đông, cho thấy sự lựa chọn mục tiêu có chủ đích.
Phương thức Phân phối và Kỹ thuật Tấn công Ban đầu
Kẻ tấn công sử dụng các email spear-phishing tinh vi, ngụy trang thành các thư chào hàng sản phẩm dầu mỏ. Phương pháp này lợi dụng những lo ngại về xung đột giữa Iran và Israel, cũng như khả năng gián đoạn nguồn cung dầu mỏ toàn cầu nếu Eo biển Hormuz bị ảnh hưởng. Điều này làm tăng tính thuyết phục của mồi nhử lừa đảo.
Chiến dịch đặc biệt khéo léo khi nhúng mã độc vào các tệp đính kèm nén trong email spear-phishing. Những email này giả mạo một công ty dầu khí lớn có trụ sở tại Kazakhstan, LLP KSK PETROLEUM LTD OIL AND GAS. Việc lựa chọn một thực thể có uy tín trong ngành dầu khí tại một khu vực sản xuất dầu khí quan trọng như Trung Á đã tăng cường đáng kể tính hợp lệ của mồi nhử, từ đó nâng cao tỷ lệ thành công của các cuộc tấn công.
Kỹ thuật Khai thác DLL Sideloading Mới
Điểm đáng chú ý trong chiến dịch này là việc khai thác một công cụ Java hợp pháp: jsadebugd.exe. Đây là lần đầu tiên công cụ gỡ lỗi Java này được quan sát thấy trong bối cảnh độc hại. Kẻ tấn công lợi dụng lỗ hổng DLL sideloading trong jsadebugd.exe để tải một DLL độc hại có tên jli.dll. Sau đó, jli.dll sẽ tiêm mã độc Snake Keylogger vào tiến trình hợp pháp InstallUtil.exe.
Sự lạm dụng sáng tạo jsadebugd.exe này đánh dấu một bước tiến đáng kể trong phương thức tấn công của nhóm tội phạm mạng. Đã có 29 mẫu bổ sung được cho là của cùng một nhóm, triển khai các biến thể của Snake Keylogger, cho thấy một hoạt động đe dọa được phối hợp và dai dẳng.
Cơ chế Né tránh và Duy trì Quyền Truy cập
Để né tránh sự phát hiện của các công cụ bảo mật, tệp nhị phân chứa mã độc, được đặt trong một tệp có tên concrt141.dll, thực hiện một kỹ thuật độc đáo: nó thêm dữ liệu vào trước tiêu đề MZ header. Kỹ thuật này được thiết kế để gây nhầm lẫn cho các công cụ quét bảo mật, khiến việc phân tích và nhận diện mã độc trở nên khó khăn hơn.
Về khả năng duy trì quyền truy cập (persistence) trong hệ thống nạn nhân, mã độc sẽ sao chép payload của nó vào một thư mục hồ sơ người dùng. Đồng thời, một khóa registry được tạo để đảm bảo rằng mã độc sẽ tự động thực thi mỗi khi hệ thống khởi động, cho phép nó tiếp tục hoạt động ngay cả sau khi hệ thống được khởi động lại.
Thu thập và Trích xuất Dữ liệu
Snake Keylogger là một công cụ đánh cắp dữ liệu đáng gờm, có khả năng thu thập nhiều loại thông tin nhạy cảm. Mã độc này có thể trích xuất địa chỉ IP và dữ liệu định vị địa lý (geolocation data) thông qua các trang web hợp pháp như reallyfreegeoip.org. Ngoài ra, nó còn đánh cắp thông tin đăng nhập từ một danh sách rộng lớn các trình duyệt web, bao gồm Google Chrome, Mozilla Firefox, và Microsoft Edge, cũng như từ các ứng dụng phổ biến như Microsoft Outlook và FileZilla.
Không chỉ dừng lại ở đó, Snake Keylogger còn thu hoạch cả khóa sản phẩm Windows (Windows product keys). Toàn bộ dữ liệu bị đánh cắp sau đó được truyền ra ngoài (exfiltration) thông qua giao thức SMTP, sử dụng các địa chỉ email cụ thể để đảm bảo việc truyền tải dữ liệu thành công tới kẻ tấn công.
Ý nghĩa Địa chính trị và Tính Thích ứng của Kẻ Tấn công
Bối cảnh địa chính trị của các cuộc xung đột ở Trung Đông dường như là một chủ đề có chủ ý trong chiến lược kỹ thuật xã hội (social engineering) của chiến dịch này. Mục tiêu chính có thể là các tổ chức trong ngành dầu khí, đặc biệt trong bối cảnh lo ngại về sự gián đoạn chuỗi cung ứng.
Sự kết hợp giữa kỹ thuật tinh vi và việc khai thác các sự kiện thời sự đang diễn ra cho thấy khả năng thích ứng cao của các tác nhân đe dọa đứng sau Snake Keylogger. Chúng không ngừng tinh chỉnh chiến thuật của mình để tối đa hóa tác động và né tránh các biện pháp bảo mật truyền thống. Điều này đặt ra một rủi ro đáng kể đối với các ngành công nghiệp quan trọng trên toàn thế giới, yêu cầu các tổ chức phải tăng cường cảnh giác và áp dụng các biện pháp bảo mật đa lớp để đối phó với những mối đe dọa ngày càng phức tạp này.
