Tấn công mạng tinh vi: Nguy hiểm từ mã độc RokRAT ẩn trong sự kiện học thuật

Tấn công mạng tinh vi: Nguy hiểm từ mã độc RokRAT ẩn trong sự kiện học thuật

Một chiến dịch tấn công mạng tinh vi đang lợi dụng thông tin chi tiết về các sự kiện học thuật có thật để lừa các nhà nghiên cứu mở tệp độc hại. Hoạt động này phân phối một biến thể của RokRAT thông qua một gói tệp giả mạo, có vẻ liên quan đến một hội thảo thực tế.

Kỹ thuật Tấn công Mạo danh Sự kiện Học thuật

Những kẻ tấn công đã sử dụng thông tin từ một sự kiện học thuật thực tế để làm cho email trông có vẻ bình thường và đáng tin cậy. Người nhận được hướng tới một tệp ISO được lưu trữ trên đám mây, có vẻ ngoài như một tệp tải xuống tài liệu hội nghị thông thường, làm tăng khả năng nó sẽ được mở.

Chiến dịch Lừa đảo Sử dụng Chi tiết Sự kiện Thực tế

Chiến dịch này cho thấy cách các tác nhân đe dọa có thể biến thông tin sự kiện công khai thành một mồi nhử thuyết phục. Thay vì dựa vào các thông điệp rõ ràng đáng ngờ, những kẻ điều hành đã sử dụng bối cảnh chuyên nghiệp quen thuộc, khiến cuộc tấn công khó bị phát hiện hơn đối với các nhà nghiên cứu và nhân viên bận rộn trước khi mở tệp.

Các email lừa đảo tuyên bố phân phối tài liệu cho Diễn đàn Du lịch Honsan Kalma, một sự kiện được tổ chức tại Seoul vào ngày 9 tháng 6. Những kẻ tấn công đã mạo danh một tổ chức riêng biệt và đóng khung email như một thông báo kinh doanh tiêu chuẩn chứa các tài liệu liên quan đến hội nghị.

Cơ chế Phân phối Độc hại

Thay vì đính kèm một tài liệu thông thường, email đã hướng người nhận đến một ảnh ISO được lưu trữ trên Dropbox. Tệp ISO này sử dụng tên tệp giống với một cuốn sách nhỏ của hội thảo và chứa một chương trình được ngụy trang dưới dạng PDF. Kỹ thuật này khai thác việc Windows có thể ẩn các phần mở rộng tệp đã biết khỏi người dùng.

Sau khi được khởi chạy, tệp giả mạo hiển thị tài liệu học thuật dự kiến trong khi hoạt động độc hại vẫn tiếp tục ở chế độ nền. Cách tiếp cận kép này giúp giảm nghi ngờ vì nạn nhân nhìn thấy tài liệu có vẻ liên quan đến thông điệp họ nhận được.

Cấu trúc Đa tầng của Mã độc

Tệp thực thi hoạt động như một bộ nạp đa tầng, trích xuất thêm nội dung được nhúng trước khi bắt đầu giai đoạn tiếp theo. Các nhà phân tích phát hiện ra rằng tài liệu lừa đảo có nội dung liên quan đến sự kiện thực tế, trong khi chi tiết tạo tệp cho thấy sự sai lệch về thời gian, cho thấy tệp không phải là tài liệu sự kiện chính hãng.

Bộ nạp khôi phục mã shell trong bộ nhớ và tiêm tải trọng RokRAT vào explorer.exe, một tiến trình Windows thông thường. Việc chạy bên trong một tiến trình hợp pháp có thể làm cho hành vi độc hại kém rõ ràng và phức tạp hóa việc phát hiện chỉ dựa trên các chương trình mới được tạo.

Khả năng và Chức năng của RokRAT

Sau khi thực thi, mã độc thu thập thông tin chi tiết hệ thống và chuẩn bị cho việc liên lạc dựa trên đám mây. Các báo cáo cho thấy sự hỗ trợ cho các dịch vụ Dropbox, pCloud và Yandex, với các kênh riêng biệt để nhận lệnh và tải lên thông tin đã thu thập.

RokRAT có khả năng:

  • Chụp ảnh màn hình.
  • Thu thập tệp.
  • Liệt kê các ổ đĩa.
  • Thu thập thông tin tiến trình.
  • Thực thi các lệnh do người điều hành ban hành.

Nó cũng có thể xóa các dấu vết đã chọn, bao gồm các tệp được tạo trong các vị trí tạm thời và thư mục Startup, sau khi nhận được chỉ thị dọn dẹp.

Liên kết với Gia đình Mã độc RokRAT vàattribution

Các nhà nghiên cứu đã liên kết chiến dịch này với gia đình RokRAT rộng lớn hơn thông qua thiết kế dịch vụ đám mây, xử lý lệnh và các điểm tương đồng về mã với các hoạt động trước đó. Họ đánh giá hoạt động này có khả năng liên quan đến một nhóm tin tặc nhất định, đồng thời lưu ý rằng việc quy kết nên xem xét cơ sở hạ tầng, các mẫu nạn nhân, chiến thuật và các bằng chứng khác.

Khuyến nghị Bảo mật

Các tổ chức nên xác minh các email có nội dung sự kiện bất ngờ thông qua các kênh chính thức trước khi mở liên kết hoặc tệp. Các nhóm bảo mật cũng nên theo dõi các hoạt động bất thường như:

  • Tải xuống tệp ISO bất thường.
  • Các tệp thực thi giống tài liệu.
  • Tiêm tiến trình bất thường.
  • Kết nối dịch vụ đám mây theo sau các hoạt động email đáng ngờ.

Việc áp dụng các biện pháp phòng ngừa chủ động mạnh mẽ hơn có thể giúp ngăn chặn các sự cố nghiêm trọng và tổn thất tài chính.