Các chiến dịch tấn công nhắm mục tiêu liên tục được phát hiện, và một trong số đó liên quan đến việc khai thác lỗ hổng Windows LNK zero-day thông qua một biến thể cụ thể của tệp tin độc hại. Cuộc tấn công này được liên kết với nhóm tác nhân đe dọa XDSpy, vốn đã được biết đến với các chiến thuật tinh vi và chuỗi lây nhiễm nhiều giai đoạn. Thông tin về lỗ hổng cụ thể này được công bố dưới định danh ZDI-CAN-25373, một mã định danh từ chương trình Zero Day Initiative (ZDI) của Trend Micro.
Lỗ hổng Windows LNK đang được khai thác là một vấn đề nghiêm trọng, cho phép kẻ tấn công thực thi mã độc bằng cách thao túng các tệp phím tắt. Điểm đặc biệt của kỹ thuật khai thác này là việc sử dụng kỹ thuật “excessive whitespace padding”. Kẻ tấn công thêm một lượng lớn ký tự khoảng trắng (whitespace) vào tệp LNK, ẩn các lệnh độc hại phía sau phần hiển thị ban đầu của tên tệp. Điều này khiến người dùng khó phát hiện ra rằng tệp tin thực sự chứa các lệnh bất chính, dẫn đến việc thực thi mã độc một cách không chủ ý khi tệp LNK được kích hoạt.
Chuỗi tấn công bắt đầu bằng các cuộc tấn công spearphishing được nhắm mục tiêu. Nạn nhân nhận được các email lừa đảo có chứa các tệp nén ZIP archives độc hại. Các tệp ZIP này thường có tên hấp dẫn như “dokazatelstva.zip” (bằng chứng) hoặc “proyekt.zip” (dự án), được thiết kế để dụ dỗ người dùng mở chúng. Bên trong các tệp ZIP này là các tệp LNK độc hại đã được chế tạo đặc biệt.
Khi nạn nhân nhấp vào tệp LNK độc hại, kỹ thuật whitespace padding cho phép lệnh ẩn được thực thi. Lệnh này sau đó sẽ kích hoạt giai đoạn tiếp theo của chuỗi lây nhiễm. Một trong những kỹ thuật lây nhiễm cốt lõi được sử dụng trong chiến dịch này là DLL sideloading. Trong kỹ thuật này, một DLL độc hại, cụ thể là ETDownloader, được đặt cùng thư mục với một tệp thực thi hợp pháp của Microsoft. Khi tệp thực thi hợp pháp này chạy, nó sẽ tự động tải ETDownloader DLL độc hại thay vì phiên bản hợp pháp, cho phép kẻ tấn công thực thi mã độc với các đặc quyền của ứng dụng hợp pháp. ETDownloader là một DLL được viết bằng C# .NET, đóng vai trò như một bộ tải (loader) hoặc trình tải xuống (downloader) cho các payload tiếp theo.
Sau khi ETDownloader được thực thi thông qua DLL sideloading, nó sẽ tiến hành triển khai một implant cuối cùng: XDigo. XDigo là một loại phần mềm độc hại được phát triển bằng ngôn ngữ Go (Golang). Việc sử dụng Go cho phép phần mềm độc hại có khả năng biên dịch thành các tệp nhị phân độc lập, dễ dàng ẩn mình và khó bị phát hiện bởi các giải pháp bảo mật truyền thống. XDigo hoạt động như một implant chính, cho phép tác nhân đe dọa XDSpy duy trì quyền truy cập vào hệ thống bị xâm nhập, thực hiện các hoạt động giám sát, trích xuất dữ liệu, hoặc triển khai các module bổ sung.
Toàn bộ chuỗi tấn công là một quá trình multi-stage infection phức tạp, bắt đầu từ một vector xâm nhập ban đầu (LNK file thông qua spearphishing), tiếp tục với kỹ thuật thực thi tinh vi (DLL sideloading), và kết thúc bằng việc triển khai một implant mạnh mẽ (XDigo). Hạ tầng được sử dụng trong chiến dịch này bao gồm tên miền vashazagruzka365[.]com, được sử dụng làm máy chủ chỉ huy và kiểm soát (C2) hoặc máy chủ phân phối mã độc.
Việc hiểu rõ các kỹ thuật và công cụ được sử dụng bởi các tác nhân đe dọa như XDSpy là rất quan trọng để xây dựng các biện pháp phòng thủ hiệu quả. Đặc biệt, lỗ hổng LNK và kỹ thuật DLL sideloading vẫn là những vector tấn công phổ biến mà các tổ chức cần phải đặc biệt chú ý.
Chỉ số thỏa hiệp (Indicators of Compromise – IOCs)
- Tên miền độc hại:
vashazagruzka365[.]com - Tệp ZIP độc hại:
dokazatelstva.zipproyekt.zip
Biện pháp khắc phục và phòng ngừa
Để bảo vệ hệ thống khỏi các cuộc tấn công tương tự, các tổ chức cần triển khai nhiều lớp phòng thủ:
- Cập nhật hệ thống: Đảm bảo rằng tất cả các hệ điều hành Windows và ứng dụng đều được vá lỗi và cập nhật thường xuyên, đặc biệt là các bản vá liên quan đến lỗ hổng LNK hoặc các vấn đề bảo mật khác.
- Kiểm soát thực thi ứng dụng: Sử dụng các giải pháp kiểm soát ứng dụng (ví dụ: AppLocker, Windows Defender Application Control) để ngăn chặn việc thực thi các tệp DLL hoặc tệp thực thi không được ủy quyền, qua đó hạn chế rủi ro từ DLL sideloading.
- Giải pháp bảo mật điểm cuối (Endpoint Security): Triển khai các giải pháp Endpoint Detection and Response (EDR) mạnh mẽ có khả năng phát hiện các hoạt động bất thường, bao gồm việc tạo tệp LNK đáng ngờ, thực thi lệnh ẩn, và các kỹ thuật DLL sideloading. Các giải pháp chống mã độc cần có khả năng phát hiện các phần mềm độc hại dựa trên Go.
- Giám sát mạng: Theo dõi lưu lượng mạng để phát hiện các kết nối đến các tên miền C2 đã biết hoặc đáng ngờ, như vashazagruzka365[.]com. Triển khai các quy tắc chặn ở cấp độ tường lửa hoặc proxy.
- Đào tạo nhận thức về bảo mật: Nâng cao nhận thức của người dùng về các mối đe dọa spearphishing và các kỹ thuật xã hội. Hướng dẫn người dùng cách nhận diện và xử lý các email đáng ngờ, đặc biệt là những email chứa tệp đính kèm không mong muốn hoặc liên kết lạ.
- Giám sát hệ thống: Thường xuyên kiểm tra nhật ký hệ thống (event logs) để tìm kiếm các dấu hiệu của việc thực thi mã độc, bao gồm các quy trình con được khởi tạo từ tệp LNK hoặc các tệp thực thi không mong muốn.
Việc kết hợp chặt chẽ các biện pháp kỹ thuật và đào tạo người dùng là chìa khóa để giảm thiểu rủi ro từ các mối đe dọa tinh vi như chiến dịch của XDSpy.
