Một chiến dịch tấn công mạng phức tạp đã gây gián đoạn nghiêm trọng cho ngành công nghiệp IT Nga và các thực thể tại nhiều quốc gia khác. Chiến dịch này sử dụng các kỹ thuật né tránh tiên tiến để triển khai Beacon của công cụ Cobalt Strike.
Các đối tượng tấn công đã khéo léo che giấu thông tin tải trọng độc hại (payload) trong các hồ sơ người dùng trên những nền tảng hợp pháp như GitHub, Microsoft Learn Challenge, Quora và các mạng xã hội của Nga. Dữ liệu độc hại được hòa trộn vào nội dung do người dùng tạo ra, giúp vượt qua các cơ chế phát hiện bảo mật. Cách tiếp cận này cho phép chúng xây dựng một chuỗi thực thi phức tạp cho Cobalt Strike, một công cụ hậu khai thác được sử dụng rộng rãi.
Chiến dịch đạt đỉnh điểm vào tháng 11 và 12 năm 2024, kéo dài đến tháng 4 năm 2025, và tiếp tục hoạt động sau hai tháng tạm lắng với các biến thể mã độc được thay đổi tối thiểu. Đây là dấu hiệu của một chiến dịch có tổ chức và khả năng thích ứng cao.
Kỹ thuật Khai thác và Lây nhiễm Ban đầu
Vector Lây nhiễm Spear-Phishing
Vectơ lây nhiễm ban đầu dựa vào các email spear-phishing mạo danh liên lạc từ các công ty dầu khí lớn thuộc sở hữu nhà nước. Những email này dụ dỗ nạn nhân bằng cách giả vờ quan tâm đến sản phẩm của họ, khuyến khích mở tệp đính kèm.
Các email chứa tệp lưu trữ RAR được cấu trúc tinh vi với một tệp LNK độc hại có tên “Требования.lnk”. Kèm theo đó là các tệp PDF giả mạo như “Company Profile.pdf” và “List of requirements.pdf”, cùng một thư mục ẩn chứa các tệp thực thi ngụy trang thành PDF. Cấu trúc này nhằm mục đích đánh lừa người dùng và các hệ thống bảo mật cơ bản.
Kỹ thuật DLL Hijacking (MITRE T1574.001)
Sau khi được kích hoạt, tệp LNK độc hại sẽ sao chép và đổi tên các tệp này vào thư mục “%public%\Downloads” dưới dạng “nau.exe” (một tiện ích báo cáo lỗi BugSplat hợp pháp, ban đầu là BsSndRpt.exe) và “BugSplatRc64.dll” (DLL độc hại). Tiếp theo, nó sẽ khởi chạy “nau.exe”.
Quá trình này khai thác kỹ thuật DLL Hijacking, buộc tiện ích hợp pháp “nau.exe” phải tải DLL độc hại “BugSplatRc64.dll” thay vì DLL hợp pháp tương ứng của nó. Việc sử dụng các tiện ích hợp pháp như BugSplat để thực hiện hành vi độc hại là một chiến thuật phổ biến trong các tấn công mạng tinh vi nhằm né tránh phát hiện và làm giảm sự nghi ngờ.
Cơ chế Né tránh và Triển khai Cobalt Strike
Giải quyết API Động (MITRE T1027.007)
DLL độc hại sử dụng giải quyết API động thông qua một thuật toán băm tùy chỉnh tương tự CRC (Cyclic Redundancy Check). Các giá trị băm này được mã hóa XOR, và địa chỉ của các hàm API được xóa khỏi bộ nhớ sau khi gọi. Kỹ thuật này khiến việc phân tích tĩnh trở nên cực kỳ khó khăn, gây cản trở cho các công cụ bảo mật tự động trong việc xác định các hàm API mà mã độc đang tương tác.
Móc API và Tải Shellcode Hai Giai đoạn
Mã độc thực hiện việc móc (hooking) các hàm API quan trọng như MessageBoxW trong tiến trình hợp pháp. Các cuộc gọi đến hàm bị móc sẽ được chuyển hướng đến một hàm tùy chỉnh của kẻ tấn công. Hàm tùy chỉnh này khởi tạo một quy trình tải shellcode gồm hai giai đoạn.
Ở giai đoạn đầu, hàm độc hại này truy xuất nội dung HTML từ các URL được mã hóa, thường là từ các hồ sơ người dùng trên các nền tảng đáng tin cậy như techcommunity.microsoft.com hoặc quora.com. Từ nội dung HTML đó, mã độc trích xuất các chuỗi được mã hóa Base64 và XOR, trong đó chứa các liên kết tải xuống tiếp theo từ các kho lưu trữ GitHub.
Triển khai Cobalt Strike Beacon (MITRE T1620)
Shellcode, đóng vai trò là một bộ nạp phản chiếu (reflective loader), sau đó tiêm Beacon của Cobalt Strike trực tiếp vào bộ nhớ. Hành động này giúp thiết lập liên lạc với các máy chủ Command-and-Control (C2) của kẻ tấn công, chẳng hạn như moeodincovo[.]com/divide/mail/SUVVJRQO8QRC. Việc tiêm vào bộ nhớ là một chiến thuật né tránh hiệu quả, khiến mã độc khó bị phát hiện bởi các giải pháp bảo mật truyền thống dựa trên dấu hiệu tệp.
Việc sử dụng các nền tảng đáng tin cậy như GitHub và Quora để lưu trữ các URL và payload giai đoạn hai làm tăng thêm độ phức tạp và khả năng né tránh của cuộc tấn công mạng này. Nó tận dụng sự tin cậy của người dùng và các hệ thống bảo mật đối với các dịch vụ hợp pháp.
Chỉ số Xâm nhập (IOCs) và Phạm vi Ảnh hưởng
Chỉ số Phát hiện Mã độc của Kaspersky
Các giải pháp bảo mật của Kaspersky đã xác định các mối đe dọa này dưới các phiên bản sau, cung cấp các chỉ dấu quan trọng cho việc phát hiện xâm nhập. Thông tin chi tiết có thể được tham khảo thêm tại báo cáo của Kaspersky Securelist: Kaspersky Securelist
- HEUR:Trojan.Win64.Agent.gen
- HEUR:Trojan.Win64.Kryptik.gen
- HEUR:Trojan.WinLNK.Starter.gen
- MEM:Trojan.Multi.Cobalt.gen
- HEUR:Trojan.Win32.CobaltStrike.gen
Máy chủ Command-and-Control (C2)
Máy chủ C2 được sử dụng trong chiến dịch này để điều khiển và nhận dữ liệu từ các hệ thống bị xâm nhập là:
moeodincovo[.]com/divide/mail/SUVVJRQO8QRC
Mối liên hệ và Phạm vi Tấn công
Việc gán nguồn gốc cho chiến dịch này liên quan đến các mô hình đã được quan sát trong hoạt động của nhóm APT EastWind. Điều này bao gồm việc sử dụng các URL được mã hóa XOR trong hồ sơ nền tảng và các mục tiêu trùng lặp trong các công ty IT của Nga. Mặc dù chủ yếu ảnh hưởng đến các doanh nghiệp lớn và vừa của Nga, các vụ lây nhiễm cũng đã mở rộng đáng kể sang Trung Quốc, Nhật Bản, Malaysia và Peru. Đây là một chiến dịch tấn công mạng có phạm vi địa lý rộng lớn và nhắm mục tiêu chiến lược.
Biện pháp Phòng ngừa và Phát hiện Xâm nhập Hiệu quả
Chiến dịch này nêu bật việc ngày càng tăng cường sử dụng kỹ thuật DLL Hijacking và các nền tảng hợp pháp để làm nơi ẩn náu cho mã độc, nhấn mạnh sự cần thiết của các biện pháp phòng thủ mạnh mẽ và liên tục.
Để bảo vệ tổ chức khỏi các tấn công mạng tinh vi tương tự, các doanh nghiệp cần thực hiện các biện pháp sau:
- Theo dõi chặt chẽ hạ tầng mạng và hệ thống endpoint để phát hiện hoạt động bất thường.
- Triển khai các giải pháp bảo mật email tiên tiến có khả năng phát hiện spear-phishing và tệp đính kèm độc hại.
- Thực hiện đào tạo nâng cao nhận thức an ninh mạng định kỳ cho nhân viên, đặc biệt về các mối đe dọa qua email và kỹ thuật lừa đảo.
- Sử dụng các hệ thống Phát hiện và Phản hồi Điểm cuối (EDR) để chặn các cuộc tấn công ở giai đoạn đầu và cung cấp khả năng hiển thị sâu rộng vào hoạt động của endpoint.
Chỉ số Phát hiện Sớm
Các chỉ số quan trọng để phát hiện xâm nhập bao gồm:
- Sự hiện diện của tệp “BugSplatRc64.dll” không được ký số trên hệ thống.
- Các tiện ích BugSplat hợp pháp bị đổi tên hoặc di chuyển đến các thư mục không điển hình.
- Truy cập mạng từ các quy trình hợp pháp đến các URL đáng ngờ hoặc máy chủ C2 đã biết.
- Hoạt động đáng ngờ liên quan đến việc tải động thư viện DLL hoặc móc API.
Việc chủ động giám sát, phân tích các hành vi bất thường và áp dụng các giải pháp bảo mật đa lớp là chìa khóa để chống lại các tấn công mạng có tính che giấu cao như chiến dịch này.
