Kỹ Thuật Né Tránh Nâng Cao Bằng Tệp Polyglot và LNK
Trong bối cảnh các mối đe dọa mạng không ngừng phát triển, những kẻ tấn công đang ngày càng sử dụng các kỹ thuật ngụy trang tinh vi, chẳng hạn như tệp polyglot, để vượt qua bộ lọc email và gửi thành công tải trọng lừa đảo.
Polyglot File và Chiến Thuật Lừa Đảo
Tệp polyglot là các tệp có khả năng được giải thích đồng thời dưới nhiều định dạng khác nhau. Đặc tính này cho phép nội dung độc hại xuất hiện như tệp hợp lệ đối với các bộ quét bảo mật, từ đó né tránh cơ chế phát hiện. Sự chuyển đổi này đánh dấu một bước dịch chuyển so với phương pháp phân phối tài liệu độc hại truyền thống, khi những kẻ tấn công đang ưa chuộng các định dạng thay thế như tệp tắt của Windows (LNK) nhờ khả năng ẩn mình và hiệu quả thực thi.
Song song đó, các nhóm hacktivist đang chuyển hướng từ các chiến dịch mang tính tư tưởng sang các hoạt động phi pháp thông thường hơn, bao gồm gián điệp và khai thác tài chính. Chúng đang tích hợp các công cụ và phương pháp luận tiên tiến để nâng cao sự tinh vi trong hoạt động.
Chiến Dịch Tấn Công Gần Đây
Một chiến dịch gần đây minh họa rõ nét các chiến thuật này, trong đó những kẻ tấn công đã lợi dụng địa chỉ email của tổ chức bị xâm nhập để phát tán các tin nhắn lừa đảo. Các email này có tiêu đề giả mạo tài liệu kinh doanh hợp pháp, chẳng hạn như “Транспортная накладная ТТН № 391-44 от 26.06.2025” (Vận đơn WB số 391-44 ngày 26 tháng 6 năm 2025) và “Договор РН83-371” (Hợp đồng PH83-371).
Tệp đính kèm là các tệp .zip polyglot, đồng thời hoạt động như một thư viện liên kết động (DLL) PE32+. Các tệp polyglot này che giấu một tài liệu mồi (decoy document) và một kho lưu trữ ZIP được nhúng, trong đó chứa một tệp LNK.
Chuỗi Khai Thác LNK và Cơ Chế Hoạt Động
Kích Hoạt Tệp LNK
Khi được kích hoạt, tệp LNK bắt đầu chuỗi hành động tìm kiếm tệp polyglot: ưu tiên thư mục hiện hành, sau đó duyệt đệ quy trong %USERPROFILE% và %TEMP%. Tiếp theo, nó gọi tệp polyglot thông qua lệnh rundll32.exe, nhắm mục tiêu vào hàm EntryPoint được xuất.
Sau đó, nó trích xuất tệp mồi bằng cách đọc các offset byte cụ thể (ví dụ: bỏ qua 1,107,968 byte và lấy 3,280,549 byte tiếp theo) và lưu vào %TEMP%, trước khi mở tệp này bằng lệnh cmd /c start để duy trì sự hợp pháp giả tạo. Một ví dụ lệnh từ tệp LNK mẫu, như “Договор_РН83_37_изменения.pdf.lnk,” sử dụng PowerShell để xử lý việc phân giải đường dẫn, thực thi và trích xuất tài liệu mồi, đảm bảo hoạt động ẩn với các tham số như -WindowStyle hidden.
powershell -WindowStyle hidden -command "$LNKPath = $env:TEMP + '\Договор_РН83_37_изменения.pdf.lnk'; $DecoyPath = $env:TEMP + '\Договор_РН83_37_изменения.pdf'; rundll32.exe \"$LNKPath\",EntryPoint; cmd /c start \"$DecoyPath\""Lệnh trên chỉ là một ví dụ minh họa cách một tệp LNK có thể sử dụng PowerShell để thực hiện các bước điều khiển phức tạp, bao gồm gọi DLL thông qua `rundll32.exe` và mở tài liệu mồi, tất cả đều trong chế độ ẩn.
Backdoor PhantomRemote: Phân Tích Kỹ Thuật
Tổng Quan về PhantomRemote
Cốt lõi của cơ chế phân phối phần mềm độc hại này là backdoor PhantomRemote, một DLL PE32+ được phát triển bằng C++. Logic độc hại của nó được nhúng trong hàm DllMain. Hàm EntryPoint được xuất chứa một cơ chế kiểm tra biến toàn cục; nếu biến này được đặt thành 1, backdoor sẽ đi vào một vòng lặp vô hạn với các lệnh Sleep() kéo dài 5 giây, nhằm mục đích gây khó khăn cho quá trình phân tích động.
Thu Thập Thông Tin Hệ Thống
PhantomRemote bắt đầu bằng việc thu thập thông tin hệ thống: nó tạo một GUID thông qua CoCreateGuid() (mặc định là “UNKNOWN” nếu thất bại), truy xuất tên máy tính bằng GetComputerNameW() và lấy tên miền qua GetComputerNameExW(ComputerNameDnsDomain).
Nó thiết lập một thư mục làm việc trong %PROGRAMDATA%, được đặt tên là “YandexCloud” hoặc “MicrosoftAppStore” trên các mẫu khác nhau, để lưu trữ các tệp đã tải xuống.
Cơ Chế Giao Tiếp C2 và Thực Thi Lệnh
Giao tiếp với máy chủ command-and-control (C2) diễn ra qua HTTP, bắt đầu bằng yêu cầu GET tới các URL như “91.239.148[.]21/poll?id=&hostname=&domain=”. Dữ liệu thu thập được truyền đi dưới các tiêu đề User-Agent như “YandexCloud/1.0” hoặc “MicrosoftAppStore/2001.0.”
Backdoor xử lý các lệnh ở các định dạng sau:
- cmd:<cmdCommand>|<commandID>: Để thực thi các lệnh shell thông qua cmd.exe (với đầu ra được chuyển từ stdout và stderr, đôi khi sử dụng mã hóa Unicode qua /u và chcp 65001).
- download:<URL>|<commandID>: Để tải các tệp bằng các hàm WinHTTP.dll, lưu chúng vào thư mục làm việc.
Sau khi thực thi, các phản hồi được gửi qua POST đến các điểm cuối “/result”, chi tiết về thành công hoặc thất bại (ví dụ: “Download successful: %PROGRAMDATA%\\YandexCloud” hoặc “Download failed”). Giữa các chu kỳ, phần mềm độc hại sẽ ngủ 10 giây nếu thành công hoặc 1 giây nếu thất bại, nhằm duy trì tính bền bỉ và khả năng hiển thị thấp.
Khả Năng Mở Rộng
Thiết kế dạng module của backdoor PhantomRemote cho phép tải thêm các tệp thực thi từ C2, từ đó gia tăng các mối đe dọa như trích xuất dữ liệu (data exfiltration) hoặc di chuyển ngang (lateral movement).
Chỉ Số Thỏa Hiệp (IOCs)
Dưới đây là các chỉ số thỏa hiệp (IOCs) liên quan đến chiến dịch này:
- Địa chỉ IP C2:
91.239.148[.]21
- User-Agent:
YandexCloud/1.0MicrosoftAppStore/2001.0
- Thư mục làm việc:
%PROGRAMDATA%\YandexCloud%PROGRAMDATA%\MicrosoftAppStore
- Tiêu đề email lừa đảo (ví dụ):
- “Транспортная накладная ТТН № 391-44 от 26.06.2025”
- “Договор РН83-371”
- Kỹ thuật và loại tệp:
- Tệp Polyglot (ZIP/DLL)
- Tệp Windows Shortcut (LNK)
- Backdoor PhantomRemote (PE32+ DLL)
Biện Pháp Phòng Ngừa và Phát Hiện
Các chiến dịch này nhấn mạnh sự cần thiết phải tăng cường bảo vệ cổng email chống lại các bất thường của tệp polyglot và phân tích hành vi đối với các hoạt động thực thi do LNK kích hoạt.
Các đội ngũ bảo mật nên giám sát:
- Việc tải DLL bất thường thông qua rundll32.
- Lưu lượng HTTP với các User-Agent cụ thể đã nêu.
Việc triển khai các giải pháp bảo mật nâng cao có khả năng phát hiện các kỹ thuật né tránh đa dạng và phân tích hành vi phức tạp là rất quan trọng để đối phó hiệu quả với các mối đe dọa như PhantomRemote.
