Tin tức bảo mật về RVTools cho thấy một bộ cài giả mạo đã bị vũ khí hóa để phát tán tải trọng độc hại trong môi trường VMware. Kẻ tấn công tạo ra phiên bản giả của RVTools, sau đó dùng chứng chỉ số hợp lệ để vượt qua cảnh báo bảo mật của Windows và giảm khả năng bị phát hiện ở giai đoạn đầu.
RVTools giả mạo và cơ chế lách kiểm tra
RVTools là công cụ phổ biến trong quản trị hạ tầng ảo, thường được IT administrator sử dụng hằng ngày để kiểm tra máy ảo và tài nguyên liên quan. Việc giả mạo một công cụ quen thuộc như vậy giúp chiến dịch có lợi thế lớn về mặt niềm tin, đặc biệt khi người dùng có quyền cao thường ít nghi ngờ các file cài đặt đã được ký số.
Theo báo cáo của K7 Security Labs, bộ cài độc hại sử dụng chứng chỉ code-signing do Sectigo cấp, đăng ký dưới một thực thể có vẻ là vỏ bọc. Tại thời điểm phát tán, chứng chỉ vẫn còn hiệu lực, khiến Windows SmartScreen và nhiều lớp kiểm soát đầu cuối không hiển thị cảnh báo rõ ràng.
Tham khảo báo cáo gốc tại: K7 Security Labs.
Chuỗi tấn công nhiều giai đoạn
Chiến dịch này được triển khai theo chuỗi ba giai đoạn. Bộ cài MSI chứa một VBScript ẩn trong binary table, sau đó script này khởi tạo một tiến trình PowerShell ẩn để tải xuống archive winp.zip từ Dropbox và giải nén vào thư mục AppData.
Để che giấu chỉ thị thực sự, script dùng mã hóa kiểu decimal-to-character encoding. Cách làm này làm giảm hiệu quả của một số cơ chế quét tĩnh, vì nội dung đáng ngờ không xuất hiện trực tiếp trong file cài đặt.
Sau khi cài đặt, archive chứa một môi trường Python di động cùng nhiều công cụ hợp lệ như VS Code, Spyder, Jupyter Lab và PowerShell. Việc trộn lẫn mã độc với các công cụ quen thuộc làm cho việc rà soát hệ thống tệp trở nên khó khăn hơn.
Hành vi sau khi cài đặt
Khi người dùng chấp nhận UAC và cấp quyền quản trị, bộ cài kích hoạt thêm cơ chế bền bỉ. Một prompt khởi động lại được ngụy trang như bước dọn dẹp file cài đặt, trong khi các thành phần hậu cài đặt âm thầm thiết lập môi trường duy trì truy cập từ xa.
Hai script Python là thành phần chính của payload. collector.py thu thập thông tin hệ thống, còn Pmanager.py xử lý mã hóa và giao tiếp với máy chủ điều khiển.
Hành vi kỹ thuật và ảnh hưởng hệ thống
collector.py thực hiện quét sâu trên máy nạn nhân, thu thập hostname, địa chỉ MAC, quyền người dùng, dịch vụ đang cài, tiến trình đang chạy và chi tiết Active Directory. Các dữ liệu này được băm thành một ID 8 ký tự để theo dõi nạn nhân kể cả khi địa chỉ IP thay đổi.
Dữ liệu thu thập được lưu vào file configA.json trong thư mục temp. Sau đó, Pmanager.py nén dữ liệu bằng zlib, mã hóa bằng RC4 và gửi ra một trong năm địa chỉ máy chủ command-and-control đã mã cứng bằng HTTP POST.
RAT beacon mỗi 300 giây và có khả năng nhận lệnh để chạy executable, thực thi PowerShell, tải payload bổ sung hoặc tự gỡ khỏi máy. Để tồn tại sau khởi động lại, nó tạo mục Windows Registry Run và một scheduled task chạy với quyền SYSTEM.
Trong môi trường quản trị VMware, đây là rủi ro an toàn thông tin đáng kể vì tài khoản quản trị có thể bị lợi dụng để mở rộng truy cập sang nhiều máy ảo và tài nguyên liên quan. Chuỗi xâm nhập không dựa vào khai thác lỗ hổng CVE cụ thể, mà dựa vào lạm dụng chữ ký số và thói quen tin cậy vào phần mềm đã ký.
IOC và dấu hiệu nhận biết
Phần IOC dưới đây được trích xuất trực tiếp từ nội dung phân tích kỹ thuật.
- File giả mạo: Bộ cài RVTools giả.
- Archive tải xuống: winp.zip.
- File thu thập dữ liệu: configA.json.
- Script chính: collector.py, Pmanager.py.
- Thư mục đích: AppData, thư mục temp.
- Kỹ thuật duy trì: Registry Run, Scheduled Task chạy quyền SYSTEM.
- Cơ chế kết nối: HTTP POST tới một trong 5 địa chỉ C2 hardcoded.
Hành vi cần giám sát
- File MSI đã ký nhưng có nguồn tải không xác thực.
- Tiến trình PowerShell ẩn được khởi tạo từ bộ cài.
- File winp.zip xuất hiện trong AppData.
- Python process chạy từ đường dẫn bất thường.
- Tác vụ theo lịch và Run key mới được tạo sau khi cài đặt.
Khuyến nghị phát hiện tấn công
Nhóm phòng thủ nên xác minh mọi bộ cài RVTools chỉ được tải trực tiếp từ website chính thức. Đồng thời, cần bật kiểm tra thu hồi chứng chỉ theo thời gian thực tại thời điểm thực thi, thay vì chỉ dựa vào chữ ký tĩnh.
Có thể đối chiếu thêm thông tin cảnh báo và khuyến nghị trên cơ sở dữ liệu NVD để phục vụ tra cứu và tương quan sự kiện trong hệ thống giám sát.
Các biện pháp giám sát phù hợp gồm tìm file winp.zip trong thư mục AppData, theo dõi Python process từ đường dẫn lạ, và chặn kết nối outbound đến các IP không xác định từ máy trạm quản trị. Điều này giúp giảm nguy cơ từ mối đe dọa mạng nhắm vào tài khoản có đặc quyền cao.
Với môi trường có nhu cầu kiểm soát chặt hơn, nên áp dụng phát hiện tấn công dựa trên hành vi: bộ cài signed MSI mở PowerShell ẩn, tải archive từ dịch vụ lưu trữ bên ngoài, tạo persistence qua Registry và Scheduled Task, rồi beacon định kỳ về C2.
