Trung tâm Tình báo An ninh AhnLab (ASEC) đã phát hiện một chiến dịch tấn công mạng tinh vi, trong đó các tác nhân đe dọa đang tận dụng tài liệu Hangul Word Processor (.hwp) để phát tán trojan truy cập từ xa (RAT) RokRAT. Đây là một sự thay đổi đáng kể so với các phương pháp truyền thống vốn dựa vào các tệp phím tắt (LNK) nhúng nội dung đánh lừa và tập lệnh độc hại. Sự chuyển đổi sang sử dụng tệp .hwp, vốn phổ biến ở Hàn Quốc để xử lý tài liệu, cho phép kẻ tấn công khai thác hành vi hợp pháp của phần mềm để vượt qua các cơ chế phát hiện an ninh, bao gồm cả quét bằng phần mềm diệt virus và sự nghi ngờ của người dùng.
Kỹ thuật lây nhiễm và phân phối trong chiến dịch tấn công mạng
Các mẫu tệp độc hại được phát hiện bao gồm các tên như “250615_Operation status of grain store.hwp”, “Recent major portal site.hwpx” và “[Notice] Q1 VAT Return Filing Deadline (Final)”. Những tên tệp này được thiết kế để giả mạo các tài liệu kinh doanh hoặc hoạt động vô hại. Ví dụ, tệp “250615_Operation status of grain store.hwp” chứa nội dung chi tiết về các điểm phân phối ngũ cốc của Triều Tiên, phù hợp hoàn hảo với tên tệp để giảm sự cảnh giác của người dùng và nâng cao hiệu quả kỹ thuật xã hội.
Véc tơ lây nhiễm ban đầu
Chuỗi lây nhiễm bắt đầu khi nạn nhân mở tài liệu .hwp độc hại trong Hangul Word Processor. Nhúng bên trong tài liệu là các đối tượng Object Linking and Embedding (OLE). Các đối tượng OLE này tự động trích xuất và đặt các tệp như ShellRunas.exe và credui.dll vào thư mục %TEMP% của hệ thống ngay khi trang liên quan được hiển thị. Quá trình này được điều phối bởi chính tiến trình Hangul mà không yêu cầu tải xuống từ máy chủ chỉ huy và kiểm soát (C2).
Một siêu liên kết được đặt một cách chiến lược ở cuối tài liệu, có nhãn “[Appendix] Reference Materials.docx”, trỏ trực tiếp đến %TEMP%\ShellRunas.exe. Khi người dùng nhấp vào liên kết này, một cửa sổ cảnh báo sẽ xuất hiện, hỏi người dùng có muốn thực thi tệp hay không; hành động xác nhận sẽ kích hoạt việc triển khai mã độc.
Kỹ thuật DLL Side-Loading tinh vi
ShellRunas.exe là một tệp thực thi hợp pháp được ký bởi Microsoft, nhưng nó bị chiếm quyền điều khiển thông qua kỹ thuật DLL side-loading. Trong đó, nó vô tình tải tệp credui.dll độc hại nằm cùng đường dẫn. Kỹ thuật này khai thác các ưu tiên phân giải thư viện liên kết động (DLL) trong Windows, cho phép DLL giả mạo thực thi mã tùy ý dưới vỏ bọc của các tiến trình đáng tin cậy.
ASEC đã ghi nhận các trường hợp sử dụng tương tự của các chương trình hợp pháp khác, bao gồm accessenum.exe kết hợp với mpr.dll và hhc.exe với hha.dll. Điều này mở rộng bộ công cụ của kẻ tấn công để né tránh các hệ thống phát hiện và phản hồi điểm cuối (EDR).
Kỹ thuật ẩn náu và thực thi payload
Giải mã và thực thi RokRAT trong bộ nhớ
Khi được tải, credui.dll khởi tạo kết nối đến Dropbox để tìm nạp một tệp hình ảnh có vẻ vô hại tên là Father.jpg. Tuy nhiên, phân tích steganography đã tiết lộ shellcode được nhúng bên trong hình ảnh. Shellcode này sẽ giải mã và tiêm trực tiếp RokRAT vào bộ nhớ, tránh việc tạo ra các tệp ghi trên đĩa có thể kích hoạt cảnh báo pháp y. Việc thực thi trong bộ nhớ này cho phép RokRAT thực hiện các hoạt động trinh sát, trích xuất dữ liệu người dùng nhạy cảm như thông tin xác thực và thông tin hệ thống, cũng như thực thi các lệnh từ hạ tầng C2 của tác nhân đe dọa. Đây là một mối đe dọa đáng kể đối với an ninh mạng.
Khả năng và tác động của RokRAT
Thiết kế module của mã độc RokRAT hỗ trợ nhiều hành vi độc hại linh hoạt, bao gồm ghi nhật ký gõ phím (keylogging), chụp ảnh màn hình và thao tác tệp. Điều này biến nó thành một công cụ mạnh mẽ cho các mối đe dọa dai dẳng nâng cao (APTs), thường được cho là có liên quan đến các nhóm do Triều Tiên hậu thuẫn. Các hoạt động của RokRAT có thể dẫn đến đánh cắp dữ liệu, di chuyển ngang trong mạng (lateral movement) hoặc triển khai thêm các payload khác, gây ra hậu quả nghiêm trọng cho hệ thống bị xâm nhập.
Chiến dịch tấn công mạng này cho thấy sự tinh vi của kẻ tấn công trong việc khai thác các ứng dụng đáng tin cậy và lưu trữ đám mây cho các hoạt động tàng hình.
Chỉ số thỏa hiệp (IOCs)
ASEC đã công bố các giá trị băm MD5 cho các tệp liên quan để hỗ trợ việc săn lùng mối đe dọa và chặn dựa trên chữ ký:
a2ee8d2aa9f79551eb5dd8f9610ad557d5fe744b9623a0cc7f0ef6464c5530dae13c3a38ca58fb0fa9da753e857dd3d5e4813c34fe2327de1a94c51e630213d1
Khuyến nghị phòng ngừa và ứng phó với tấn công mạng
Các tổ chức, đặc biệt là những đơn vị thường xuyên xử lý tệp .hwp ở các khu vực như Hàn Quốc, được khuyến nghị thực hiện các biện pháp kiểm soát chặt chẽ đối với macro và siêu liên kết. Việc giám sát thư mục %TEMP% để phát hiện việc tạo tệp bất thường và sử dụng phân tích hành vi để phát hiện các bất thường trong kỹ thuật DLL side-loading là rất cần thiết. Sự tiến hóa trong phương thức phân phối RokRAT nhấn mạnh sự cần thiết của các lớp phòng thủ đa tầng chống lại các mối đe dọa dựa trên tệp, vì kẻ tấn công tiếp tục cải tiến kỹ thuật để khai thác các ứng dụng đáng tin cậy và lưu trữ đám mây cho các hoạt động tàng hình. Nâng cao an ninh mạng là ưu tiên hàng đầu.
