Tin tức bảo mật mới ghi nhận một chiến dịch tấn công mạng lợi dụng HWMonitor, công cụ giám sát phần cứng phổ biến của CPUID, để phát tán STX RAT thông qua kỹ thuật DLL sideloading. Mục tiêu là tải mã độc từ một gói tải xuống trông như phần mềm hợp lệ, từ đó vượt qua nghi ngờ ban đầu của người dùng và xâm nhập vào hệ thống.
Chuỗi phát tán qua tệp nén giả mạo
Chiến dịch bắt đầu bằng một archive trojanized được phân phối qua liên kết tải xuống đã bị chiếm quyền. Khi nạn nhân mở liên kết, họ nhận được một file ZIP có vẻ chứa bộ cài HWMonitor hợp lệ.
Sau khi giải nén, gói tin thả đồng thời HWMonitor_x64.exe hợp lệ và một DLL độc hại tên CRYPTBASE.dll vào cùng thư mục. Cách đặt tệp này cho phép kẻ tấn công lợi dụng hành vi tìm kiếm thư viện của Windows để ép ứng dụng tin cậy nạp mã do chúng kiểm soát.
DLL sideloading trong chiến dịch STX RAT
Kỹ thuật DLL sideloading là nền tảng của cuộc tấn công mạng này. Khi HWMonitor_x64.exe khởi chạy, Windows sẽ ưu tiên tìm CRYPTBASE.dll trong thư mục ứng dụng trước khi kiểm tra đường dẫn hệ thống.
Kẻ tấn công khai thác cơ chế này bằng cách đặt DLL độc hại vào cùng thư mục với file thực thi hợp lệ. Kết quả là tiến trình đáng tin cậy vô tình tải mã độc thay vì thư viện hệ thống Windows hợp pháp.
Theo phân tích của Gurucul, gói độc hại được phân phối qua một URL lưu trữ trên Cloudflare R2. Báo cáo kỹ thuật mô tả chuỗi thực thi nhiều giai đoạn nhằm tránh phát hiện và đưa payload cuối cùng của STX RAT vào bộ nhớ mà không cần ghi file xuống đĩa. Xem báo cáo gốc tại: Gurucul Security Blog.
Thực thi nhiều giai đoạn và nạp mã trong bộ nhớ
Sau khi DLL sideloading hoàn tất, mã độc chuyển sang quy trình reflective loading nhiều giai đoạn. Payload cuối cùng của STX RAT được nạp hoàn toàn trong memory, không tạo ra artifact rõ ràng trên disk.
DLL độc hại trích xuất dữ liệu bị làm rối từ mục .rdata, cấp phát vùng nhớ thực thi bằng VirtualAlloc, sau đó chuyển qua nhiều bước giải mã trước khi đi đến payload cuối. Cách triển khai này làm giảm hiệu quả của các phương pháp phát hiện dựa trên file.
VirtualAlloc(..., PAGE_EXECUTE_READWRITE);Trong bối cảnh này, STX RAT được triển khai như một chuỗi tải mã nhiều lớp, kết hợp sideloading, giải mã nội bộ và thực thi trong bộ nhớ để né kiểm tra tĩnh.
Khả năng của STX RAT
Khi hoạt động trên máy nạn nhân, STX RAT mở rộng quyền điều khiển từ xa và thu thập dữ liệu hệ thống phục vụ giám sát lâu dài. Mã độc sử dụng API hashing để phân giải hàm Windows tại thời gian chạy, làm khó phân tích tĩnh vì bảng import không hiển thị rõ ràng.
Mã độc còn kiểm tra Process Environment Block để phát hiện cờ debugger, qua đó nhận biết môi trường phân tích. Ngoài ra, nó liệt kê các sản phẩm bảo mật đã cài đặt như Avast, Bitdefender, SentinelOne và CarbonBlack.
Các chức năng quan sát được gồm:
- Chụp ảnh màn hình âm thầm.
- Thu thập hostname, username và thông tin hệ điều hành.
- Giao tiếp với máy chủ điều khiển qua JSON-based messages trên HTTPS.
- Duy trì điều khiển từ xa và giám sát thiết bị mục tiêu.
Những đặc điểm này cho thấy đây là một chiến dịch mối đe dọa mạng có khả năng duy trì hiện diện lâu dài trên hệ thống bị xâm nhập, đồng thời hạn chế khả năng phân tích của phòng thủ truyền thống.
Ảnh hưởng hệ thống và dấu hiệu cần chú ý
Tác động chính của chiến dịch là cho phép kẻ tấn công giành quyền điều khiển từ xa, theo dõi màn hình và thu thập thông tin hệ thống. Vì payload được đưa vào bộ nhớ, các công cụ phát hiện dựa trên file dễ bỏ sót chuỗi thực thi này.
Trong môi trường giám sát, một dấu hiệu đáng chú ý là tiến trình hợp lệ tải thư viện từ thư mục ứng dụng thay vì từ Windows system path. Đây là hành vi bất thường cần được kiểm tra trong quá trình phát hiện xâm nhập.
IOC liên quan đến chiến dịch
Thông tin gốc có đề cập đến Indicators of Compromise, nhưng không cung cấp danh sách IP, domain hoặc hash cụ thể trong phần nội dung được trích dẫn. Vì vậy, không thể xác định IOC chi tiết ngoài các thành phần kỹ thuật sau:
- HWMonitor_x64.exe – File thực thi hợp lệ bị lạm dụng.
- CRYPTBASE.dll – DLL độc hại được đặt cạnh file thực thi để sideloading.
- STX RAT – Payload cuối cùng được nạp trong bộ nhớ.
Giám sát và phát hiện xâm nhập
Để giảm rủi ro bảo mật, nhóm vận hành nên theo dõi các mẫu tải DLL bất thường, đặc biệt khi một thư viện hệ thống xuất hiện trong thư mục ứng dụng thay vì thư mục chuẩn của Windows. Đây là tín hiệu hữu ích cho IDS và các nền tảng phân tích hành vi.
Các bước phòng thủ được nêu trong phân tích gồm chặn DLL không được ký hoặc không mong đợi, bật phát hiện mối đe dọa dựa trên memory, và giám sát các kết nối outbound HTTPS bất thường đến endpoint lạ. Đây là các điểm kiểm soát phù hợp với chiến dịch STX RAT sử dụng nạp mã trong bộ nhớ.
Nhóm vận hành có thể tham chiếu thêm tài liệu của NVD để đối chiếu các phát hiện liên quan đến lỗ hổng CVE trong quá trình phân tích IOC và hành vi khai thác: NVD – National Vulnerability Database.
Điểm kỹ thuật cần ưu tiên trong điều tra
Trong điều tra cảnh báo CVE hoặc các vụ tin bảo mật mới nhất có dấu hiệu lạm dụng phần mềm hợp lệ, cần ưu tiên kiểm tra các thư mục cài đặt có file DLL trùng tên với thư viện hệ thống. Trường hợp này đặc biệt quan trọng khi tiến trình hợp lệ vẫn hoạt động bình thường nhưng lại gọi sang mã lạ.
Với chiến dịch này, đặc trưng đáng chú ý là:
- Chuỗi thực thi nhiều giai đoạn.
- Nạp payload trong memory.
- Dò tìm công cụ bảo mật đã cài đặt.
- Giao tiếp điều khiển qua HTTPS và JSON.
Những đặc điểm đó khiến STX RAT phù hợp với các chiến dịch xâm nhập lặng lẽ, nơi kẻ tấn công ưu tiên ẩn mình hơn là triển khai phá hoại tức thời. Với đặc tính lạm dụng ứng dụng hợp lệ, đây là một mẫu hình điển hình của zero-day vulnerability trong cách khai thác hành vi mặc định của hệ điều hành, dù nội dung gốc không nêu một CVE cụ thể.
Kiểm tra an toàn thông tin trên hệ thống
Khi rà soát an toàn thông tin, cần xem xét các tiến trình của HWMonitor hoặc ứng dụng tương tự nếu chúng xuất hiện cùng file DLL lạ trong cùng thư mục. Ngoài ra, việc theo dõi các tiến trình có hành vi cấp phát bộ nhớ thực thi và chuyển hướng sang luồng giải mã cũng là một chỉ báo hữu ích.
Đối với bảo mật thông tin, ưu tiên kiểm tra các dấu vết sau trong log và telemetry:
- Tiến trình hợp lệ load DLL từ thư mục cục bộ.
- Vùng nhớ thực thi được tạo bởi VirtualAlloc.
- Kết nối HTTPS đến endpoint không quen thuộc.
- Dấu hiệu dò quét phần mềm bảo mật trên máy trạm.
Việc kết hợp giám sát hành vi, kiểm tra load library bất thường và phân tích network telemetry sẽ hỗ trợ tốt hơn cho phát hiện tấn công trong các chiến dịch tương tự STX RAT.
