XWorm Remote Access Trojan (RAT) là một công cụ độc hại đã tồn tại lâu đời và được ưa chuộng bởi các tác nhân đe dọa trong không gian mạng. Gần đây, XWorm đã thể hiện sự tiến hóa đáng kể trong phương pháp tấn công của mình, sử dụng một loạt các stager và loader phức tạp để né tránh các biện pháp phát hiện và xâm nhập hệ thống mục tiêu một cách hiệu quả.
Giới thiệu về XWorm RAT
XWorm nổi tiếng với khả năng độc hại toàn diện, bao gồm các chức năng cốt lõi như ghi lại thao tác bàn phím (keylogging), cho phép kẻ tấn công thu thập thông tin nhạy cảm; truy cập máy tính từ xa, tạo điều kiện thuận lợi cho việc kiểm soát hệ thống bị xâm nhập; đánh cắp dữ liệu (data exfiltration), liên quan đến việc truyền tải trái phép dữ liệu quan trọng ra khỏi hệ thống; và khả năng thực thi lệnh tùy ý (command execution), cho phép thực hiện các hoạt động độc hại trực tiếp trên máy nạn nhân. Những khả năng này đã biến XWorm thành một công cụ đa năng trong kho vũ khí của các tác nhân đe dọa, đặc biệt nhắm mục tiêu vào các lĩnh vực như chuỗi cung ứng phần mềm và ngành công nghiệp trò chơi.
Các nhà phát triển của XWorm liên tục cập nhật malware này, nâng cao khả năng thích ứng của nó và biến nó thành một thách thức dai dẳng đối với các hệ thống phòng thủ an ninh mạng.
Tiến hóa trong Kỹ thuật Triển khai Payload
Không giống như các loại malware truyền thống thường tuân theo một chuỗi lây nhiễm có thể dự đoán được, các phiên bản XWorm mới nhất tận dụng một phương pháp tiếp cận linh hoạt trong việc phân phối payload. Kỹ thuật này liên quan đến việc luân phiên sử dụng một loạt các định dạng tệp và ngôn ngữ scripting khác nhau.
Đa dạng File Format và Ngôn ngữ Scripting
Sự đa dạng trong triển khai payload của XWorm bao gồm việc sử dụng các ngôn ngữ scripting như PowerShell, VBS (Visual Basic Script), các tệp thực thi .NET, JavaScript, batch scripts và thậm chí cả Office macros. Các định dạng tệp được sử dụng để phân phối payload thường bao gồm tệp lưu trữ ZIP, cũng như các tệp thực thi như .hta (HTML Application) hoặc .lnk (Shortcut files). Các định dạng và ngôn ngữ này được lựa chọn cẩn thận để tối ưu hóa khả năng vượt qua các công cụ bảo mật đầu cuối (endpoint security) và các giải pháp sandbox.
Chiến dịch Phishing và Lure
Phương thức phân phối chính cho các payload XWorm đa dạng này thường là thông qua các chiến dịch lừa đảo (phishing campaigns). Các tệp độc hại được gửi dưới dạng tệp đính kèm email hoặc được nhúng trong các tài liệu nhử (lure documents) được thiết kế đặc biệt. Một phân tích của hơn 1.000 mẫu XWorm từ Malware Bazaar do nhóm Splunk Threat Research Team (STRT) thực hiện đã tiết lộ các chiêu thức lừa đảo phổ biến, thường bắt chước các thông tin liên lạc kinh doanh khẩn cấp như hóa đơn (invoices) và thông báo vận chuyển (shipping notifications). Mục tiêu là lừa người dùng thực thi các tệp độc hại này, từ đó khởi tạo chuỗi lây nhiễm.
Kỹ thuật Né tránh Phát hiện và Duy trì Truy cập
Sau giai đoạn truy cập ban đầu, XWorm tiếp tục chứng tỏ sự tinh vi của mình thông qua việc triển khai các kỹ thuật né tránh phát hiện nâng cao trong các stager và loader của nó. Điều này đảm bảo rằng hoạt động của nó không bị phát hiện bởi các giải pháp bảo mật thông thường.
Che giấu Chức năng
XWorm sử dụng các phương pháp che giấu (obfuscation) phức tạp để che giấu chức năng và mục đích của mã độc. Các kỹ thuật này bao gồm việc sử dụng mã hóa Base64 và mã hóa AES để bảo vệ các thành phần bên trong của malware. Điều này làm cho việc phân tích tĩnh (static analysis) và phân tích động (dynamic analysis) trở nên khó khăn hơn đối với các nhà nghiên cứu bảo mật và các công cụ phát hiện tự động.
Vô hiệu hóa Tính năng Bảo mật Hệ thống
Để ngăn chặn sự phát hiện và ghi nhật ký hoạt động độc hại, XWorm cố gắng can thiệp vào các tính năng bảo mật tích hợp sẵn của Windows. Cụ thể, malware này nhắm mục tiêu vào AMSI (Antimalware Scan Interface) và ETW (Event Tracing for Windows). Bằng cách vô hiệu hóa hoặc thao túng các giao diện này, XWorm có thể thực hiện các hoạt động độc hại mà không bị các giải pháp chống phần mềm độc hại phát hiện hoặc không để lại dấu vết rõ ràng trong nhật ký hệ thống.
Cơ chế Duy trì Truy cập
Để đảm bảo quyền truy cập liên tục vào hệ thống bị xâm nhập và có khả năng leo thang đặc quyền, XWorm triển khai một số cơ chế duy trì (persistence mechanisms). Các kỹ thuật này bao gồm việc thiết lập các registry run keys, tạo các tác vụ theo lịch trình (scheduled tasks), và đặt các shortcut trong thư mục khởi động (startup folder shortcuts). Những cơ chế này cho phép XWorm tự động khởi chạy mỗi khi hệ thống khởi động hoặc vào những thời điểm được định trước, duy trì sự hiện diện của kẻ tấn công trên máy nạn nhân.
Hoạt động Sau Khai thác và Lây lan
Payload của XWorm tiếp tục thể hiện sự tinh vi của nó bằng cách thực hiện trinh sát hệ thống chi tiết và sử dụng nhiều kỹ thuật để mở rộng phạm vi tấn công.
Trinh sát Hệ thống
XWorm tiến hành trinh sát hệ thống bằng cách truy vấn WMI (Windows Management Instrumentation) để thu thập thông tin quan trọng. Các truy vấn này bao gồm việc tìm kiếm các phần mềm chống virus đã cài đặt, chi tiết về GPU (Graphics Processing Unit), và các driver quay video (video capture drivers). Thông tin này giúp kẻ tấn công hiểu rõ hơn về môi trường hệ thống bị xâm nhập và điều chỉnh các bước tấn công tiếp theo.
Đồng thời, XWorm cũng cố gắng vô hiệu hóa Microsoft Defender thông qua việc sửa đổi các thiết lập loại trừ (exclusion settings), nhằm làm suy yếu khả năng phòng thủ của hệ thống và tạo điều kiện thuận lợi cho các hoạt động độc hại khác.
Kỹ thuật Mở rộng Phạm vi
Khả năng lây lan qua phương tiện di động (removable media) của XWorm là một yếu tố khuếch đại hồ sơ mối đe dọa của nó, cho phép nó lan rộng trong mạng và sang các hệ thống khác. Ngoài ra, XWorm có thể thực thi các lệnh backdoor từ các máy chủ C2 (Command and Control), cung cấp cho kẻ tấn công quyền kiểm soát từ xa hoàn toàn. Các kỹ thuật tiên tiến khác được XWorm sử dụng bao gồm tiêm tiến trình (process injection) và tải DLL bên lề (DLL side-loading), cho phép nó chèn mã độc vào các tiến trình hợp pháp hoặc lợi dụng các thư viện hợp pháp để thực thi mã độc, làm cho việc phát hiện trở nên khó khăn hơn.
Các Chiến dịch Đáng chú ý liên quan đến XWorm
Trong một chiến dịch đáng chú ý, các tác nhân tấn công đã kết hợp XWorm với AsyncRAT như một malware giai đoạn ban đầu để thiết lập chỗ đứng trong môi trường nạn nhân. Sau đó, họ đã triển khai các payload ransomware được tạo ra bằng builder LockBit Black bị rò rỉ. Điều này làm nổi bật những điểm tương đồng về mặt chiến thuật với nhóm ransomware LockBit khét tiếng, cho thấy sự chồng chéo hoặc học hỏi từ các phương pháp của các nhóm tội phạm mạng lớn.
Biện pháp Phát hiện và Giảm thiểu
Để chống lại mối đe dọa XWorm đang ngày càng tiến hóa này, Splunk Threat Research Team (STRT) đã phát triển một loạt các quy tắc phát hiện dựa trên Splunk. Các quy tắc này nhắm mục tiêu vào các hoạt động đáng ngờ thường liên quan đến XWorm, bao gồm việc vượt qua chính sách thực thi PowerShell (PowerShell execution policy bypasses), các phiên bản PowerShell bị đổi tên (renamed PowerShell instances), và các lệnh thực thi công cụ dòng lệnh bất thường (unusual command-line tool executions). Những công cụ phát hiện này cung cấp các khả năng quan trọng cho các đội ngũ an ninh để xác định và giảm thiểu các lây nhiễm XWorm, từ đó bảo vệ hệ thống khỏi những tác động của malware này.
