TerraStealerV2 và TerraLogger: Hai Gia Đình Malware Mới Từ Golden Chickens Đe Dọa An Ninh Mạng
Trong thế giới an ninh mạng, các mối đe dọa liên tục tiến hóa, và hai gia đình malware mới – TerraStealerV2 và TerraLogger – đã được phát hiện gần đây. Được phát triển bởi nhóm tội phạm mạng có động cơ tài chính Golden Chickens (hay còn gọi là Venom Spider), các công cụ này là một phần của nền tảng Malware-as-a-Service (MaaS) và hiện đang được sử dụng bởi các tổ chức tội phạm mạng tinh vi như FIN6, Cobalt Group, và Evilnum. Bài viết này sẽ phân tích chi tiết về khả năng kỹ thuật, phương thức hoạt động, cũng như đưa ra các khuyến nghị thực tiễn dành cho các chuyên gia IT và quản trị hệ thống.
Tổng Quan Về TerraStealerV2 và TerraLogger
TerraStealerV2 và TerraLogger là các công cụ malware được thiết kế để đánh cắp thông tin xác thực (credential theft) và ghi lại thao tác bàn phím (keylogging). Với khả năng thu thập dữ liệu nhạy cảm từ trình duyệt và ví tiền điện tử, chúng đã trở thành mối đe dọa nghiêm trọng đối với các tổ chức, đặc biệt là trong lĩnh vực tài chính.
Khả Năng Kỹ Thuật Của TerraStealerV2
TerraStealerV2 tập trung vào việc trích xuất dữ liệu từ trình duyệt Chrome, bao gồm thông tin đăng nhập, dữ liệu ví tiền điện tử (cryptocurrency wallet), và thông tin từ các tiện ích mở rộng (browser extensions). Quy trình hoạt động của nó bao gồm các bước sau:
- Nhắm mục tiêu cơ sở dữ liệu Chrome: Malware này nhắm đến cơ sở dữ liệu SQLite “Login Data” của Chrome. Nó liệt kê các tiến trình đang hoạt động, đóng tiến trình chrome.exe nếu phát hiện, và sao chép cơ sở dữ liệu vào thư mục tạm thời tại C:\ProgramData\Temp\LoginData.
- Trích xuất thông tin đăng nhập: Sử dụng thư viện SQLite được tích hợp tĩnh (statically linked), TerraStealerV2 thực thi truy vấn SQL
SELECT origin_url, username_value, password_value FROM loginsđể lấy thông tin đăng nhập đã lưu trong cơ sở dữ liệu của Chrome. - Hạn chế với ABE (Application Bound Encryption): Do cập nhật của Chrome sau tháng 7/2024, TerraStealerV2 không thể giải mã mật khẩu từ các trình duyệt đã áp dụng ABE. Điều này có nghĩa là dữ liệu thu thập được từ các phiên bản Chrome cập nhật sau ngày 24/07/2024 sẽ không thể khai thác được.
Quy Trình Trích Xuất và Truyền Dữ Liệu
Sau khi thu thập dữ liệu, TerraStealerV2 lưu thông tin đăng nhập từ trình duyệt và các thông điệp trạng thái vào tệp C:\ProgramData\file.txt. Các tệp này sau đó được sao chép đến %LOCALAPPDATA%\Packages\Bay0NsQIzx\p.txt. Nếu phát hiện các tiện ích mở rộng hoặc ví tiền điện tử, thư mục tương ứng sẽ được sao chép vào %LOCALAPPDATA%\Packages\Bay0NsQIzx. Một số hành động khác bao gồm:
- Gửi thông báo qua Telegram về số lượng ví tiền điện tử đã phát hiện.
- Nén toàn bộ nội dung thư mục %LOCALAPPDATA%\Packages\Bay0NsQIzx thành tệp output.zip trong cùng thư mục.
- Truyền dữ liệu đã nén tới một bot Telegram và một điểm điều khiển thứ cấp (secondary C2 endpoint) tại wetransfers[.]io.
Phương Thức Phát Tán
TerraStealerV2 sử dụng nhiều phương thức phát tán linh hoạt, bao gồm:
- Liên kết tắt của Windows (Windows shortcut links – LNK).
- Gói cài đặt (installer packages – MSI).
- Thư viện liên kết động (dynamic-link libraries – DLL).
- Tệp thực thi (executables – EXE).
Ảnh Hưởng và Tác Động Thực Tiễn
Sự xuất hiện của TerraStealerV2 và TerraLogger tạo ra mối đe dọa lớn đối với các tổ chức trên toàn cầu, đặc biệt là trong lĩnh vực tài chính. Khả năng đánh cắp thông tin ví tiền điện tử và dữ liệu nhạy cảm có thể dẫn đến tổn thất tài chính nghiêm trọng và ảnh hưởng đến uy tín doanh nghiệp. Nền tảng MaaS của Golden Chickens liên tục tiến hóa, cho thấy các mối đe dọa này sẽ còn tồn tại và có khả năng gia tăng trong tương lai.
Khuyến Nghị Bảo Mật Cho Các Tổ Chức
Để giảm thiểu rủi ro từ TerraStealerV2 và TerraLogger, các tổ chức và chuyên gia IT nên áp dụng các biện pháp sau:
- Cập nhật trình duyệt: Đảm bảo các trình duyệt dựa trên Chrome được cập nhật lên phiên bản mới nhất sau tháng 7/2024 để tận dụng cơ chế bảo vệ ABE.
- Giám sát hoạt động bất thường: Theo dõi thư mục %LOCALAPPDATA%\Packages để phát hiện sự xuất hiện của các tệp hoặc thư mục lạ.
- Tích hợp giải pháp EDR: Triển khai các giải pháp phát hiện và phản hồi điểm cuối (Endpoint Detection and Response – EDR) để nhận diện và ngăn chặn lây nhiễm malware.
- Đào tạo người dùng: Nâng cao nhận thức cho người dùng về nguy cơ từ việc nhấp vào liên kết đáng ngờ hoặc tải xuống tệp từ nguồn không rõ ràng.
- Phát hiện kỹ thuật bypass ABE: Xây dựng cơ chế phát hiện các kỹ thuật bypass ABE để giảm thiểu rủi ro từ các mối đe dọa tiềm ẩn.
Kết Luận
TerraStealerV2 và TerraLogger đại diện cho thế hệ mới của malware trong hệ sinh thái Malware-as-a-Service của Golden Chickens. Với các khả năng kỹ thuật tinh vi và phương thức phát tán đa dạng, chúng đặt ra thách thức lớn cho các tổ chức và chuyên gia bảo mật. Việc triển khai các biện pháp bảo vệ chủ động, cập nhật hệ thống thường xuyên và nâng cao nhận thức người dùng là chìa khóa để giảm thiểu nguy cơ từ những mối đe dọa này. Các quản trị viên hệ thống và chuyên viên bảo mật cần duy trì cảnh giác và theo dõi sát sao các diễn biến mới trong bối cảnh an ninh mạng ngày càng phức tạp.
