Một nhóm tin tặc quen thuộc đã quay trở lại với một chiến dịch tinh vi và nguy hiểm hơn, sử dụng tài liệu lừa đảo mang chủ đề Trung Quốc để triển khai một trojan truy cập từ xa (RAT) đã được làm lại lên các máy nạn nhân. Chiến dịch này được thiết kế để hoạt động ẩn mình, tránh các công cụ phát hiện và mang lại cho kẻ tấn công quyền kiểm soát hoàn toàn đối với các hệ thống bị xâm phạm. Điểm đáng chú ý là cách kẻ tấn công đã cập nhật sâu sắc phương pháp của họ trong khi vẫn giữ nguyên các đặc điểm cốt lõi có thể nhận dạng được.
Chiến dịch Tấn công Tinh vi
Chiến dịch bắt đầu bằng một tệp lối tắt độc hại có tên GRES3001.lnk, được ngụy trang dưới dạng một tệp PDF liên quan đến hợp đồng năng lượng công nghiệp. Khi người dùng mở tệp này, một tập lệnh PowerShell sẽ âm thầm được kích hoạt để tải xuống các mã độc bổ sung từ một máy chủ trung gian tại chinagreenenergy[.]org.
Một tài liệu giả mạo về hợp đồng máy bơm nước biển GRES-3 sẽ được hiển thị cho nạn nhân, trong khi cuộc tấn công vẫn tiếp diễn trong nền. Phân tích đã xác nhận hoạt động này là sự tiến hóa trực tiếp của các kỹ thuật đã biết, với các điểm trùng lặp trong mẫu phân phối, logic chụp ảnh màn hình, hành vi beaconing và cấu trúc lệnh-máy chủ.
Tấn công mạng qua Lỗ hổng Zero-day và Kỹ thuật Lừa đảo
Các nhà nghiên cứu đã tải xuống tất cả các tạo tác tấn công vì máy chủ trung gian vẫn đang hoạt động tại thời điểm phân tích. Các tệp được tải xuống bao gồm một tệp nhị phân hợp pháp của Microsoft có tên Fondue.exe, được sử dụng để tải theo cách side-load một bộ tải độc hại được ngụy trang dưới dạng APPWIZ.cpl.
Bộ tải này giải mã một tệp được mã hóa có tên editor.dat và chuyển kết quả cho một bộ tải shellcode Donut, ánh xạ RAT cuối cùng trực tiếp vào bộ nhớ mà không cần ghi ra đĩa. Việc tải hoàn toàn tải trọng vào bộ nhớ cho phép kẻ tấn công lách qua hầu hết các phương pháp phát hiện dựa trên tệp truyền thống, đây là một kỹ thuật quan trọng trong các cuộc tấn công mạng hiện đại.
Khai thác và Kỹ thuật Tinh vi
Sau khi được kích hoạt, RAT sẽ định danh máy nạn nhân và kết nối với máy chủ chỉ huy và kiểm soát (C2) tại gcl-power[.]org thông qua lưu lượng HTTPS được mã hóa trên cổng 443. Nó kiểm tra kết nối mỗi 10 giây và có khả năng thực thi lệnh, liệt kê tệp, chụp ảnh màn hình, tải lên tệp và tải xuống các công cụ bổ sung. Mức độ truy cập này cho phép kẻ điều khiển toàn quyền hiển thị và kiểm soát máy chủ bị nhiễm.
Cơ chế Duy trì Ổn định
Trước khi kết nối với máy chủ C2, RAT sẽ âm thầm ping các trang như google.com, yahoo.com và cloudflare.com để xác nhận quyền truy cập internet. Nó kiểm tra địa chỉ IP công cộng của máy chủ thông qua api.ipify.org và sử dụng ip2c.org để xác định quốc gia của nạn nhân. Tất cả các giao tiếp đều được mã hóa bằng thuật toán Salsa20 và được mã hóa Base64, khiến lưu lượng bị chặn rất khó phân tích.
Sau khi chuẩn bị tất cả các tệp cần thiết trong thư mục C:\Users\Public\, tập lệnh PowerShell sẽ tạo một tác vụ định kỳ có tên GoogleErrorReport. Tác vụ này được cấu hình để chạy Fondue.exe mỗi phút, đảm bảo mã độc sẽ tự động khởi động lại và duy trì hoạt động ngay cả khi bị gián đoạn.
Tên GoogleErrorReport được lựa chọn cẩn thận để hòa lẫn với các hoạt động hệ thống thông thường và tránh gây nghi ngờ. Sau đó, tập lệnh sẽ xóa tệp lối tắt ban đầu, loại bỏ dấu vết dễ thấy nhất của cuộc tấn công ban đầu. Kể từ đó, tác vụ định kỳ trở thành cơ chế duy trì duy nhất, liên tục kích hoạt chuỗi side-loading DLL để tải RAT vào bộ nhớ. Đây là một kỹ thuật phổ biến trong các lỗ hổng bảo mật nghiêm trọng.
Phát hiện và Phòng chống
RAT cuối cùng được thiết kế để gây khó khăn cho các nhà nghiên cứu bảo mật và vượt qua các công cụ phát hiện. Nó sử dụng kỹ thuật control-flow flattening để làm rối cấu trúc mã, kiểm tra các tiến trình liên quan đến trình gỡ lỗi và sandbox, phân giải các hàm API của nó tại thời điểm chạy và vá các tính năng bảo mật của Windows bao gồm AMSI, WLDP và ETW trước khi thực thi tải trọng của nó. Các lớp che giấu này làm cho cả phân tích tĩnh và động trở nên khó khăn hơn đáng kể.
Các nhà nghiên cứu khuyến nghị rằng các chuyên gia phòng thủ nên chú ý đến một tác vụ định kỳ có tên chính xác này, chạy các tệp nhị phân từ C:\Users\Public, vì đây là một trong những cơ hội phát hiện rõ ràng nhất trong chiến dịch này. Thay vì chỉ dựa vào các Chỉ số Khai thác (IoCs), các nhóm nên tập trung vào các tín hiệu hành vi như các tệp lối tắt khởi tạo PowerShell, các tệp được lưu trữ trong C:\Users\Public và bất kỳ tác vụ định kỳ nào có tên GoogleErrorReport đang chạy các tệp nhị phân bên ngoài thư mục Windows hợp pháp.
Các công cụ đầu cuối cũng nên được xem xét về khả năng phát hiện các tải trọng cư trú trong bộ nhớ và sự can thiệp trong tiến trình với các cơ chế kiểm soát như AMSI và ETW. Việc cập nhật bản vá và nâng cao khả năng phát hiện dựa trên hành vi là chìa khóa để chống lại các mối đe dọa ngày càng tinh vi này.
Chỉ số Khai thác (IoCs)
Lưu ý: Địa chỉ IP và tên miền được cố tình làm biến dạng (ví dụ: […]) để ngăn chặn phân giải hoặc liên kết ngẫu nhiên. Chỉ khôi phục định dạng gốc trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
- Domain: chinagreenenergy[.]org
- Domain: gcl-power[.]org
- Domain: api.ipify.org
- Domain: ip2c.org
- Scheduled Task Name: GoogleErrorReport
- Staging Folder: C:\Users\Public\
- Legitimate Binary Used for Sideloading: Fondue.exe
- Malicious DLL disguised as: APPWIZ.cpl
- Decoy Document: GRES-3 seawater pump contract
- Persistence File: GRES3001.lnk
- Encryption Cipher: Salsa20
- Process Names (Indicators of RAT activity): Processes involving Fondue.exe and APPWIZ.cpl interaction, especially when initiated by the GoogleErrorReport scheduled task.
Việc hiểu rõ các kỹ thuật tấn công và áp dụng các biện pháp phòng thủ dựa trên hành vi là rất quan trọng để bảo vệ hệ thống trước các chiến dịch nâng cao như thế này. Theo dõi các tin tức bảo mật mới nhất giúp các tổ chức cập nhật thông tin về các mối đe dọa mới nổi và các phương pháp phòng chống hiệu quả.
