XwormRAT là một mã độc Remote Access Trojan (RAT) có khả năng kiểm soát từ xa hệ thống bị lây nhiễm. Các chiến dịch phân phối XwormRAT gần đây đã chứng kiến sự phát triển đáng kể trong kỹ thuật che giấu và lẩn tránh phát hiện, đặc biệt là việc sử dụng kỹ thuật giấu tin (steganography) tiên tiến để nhúng mã độc vào các tệp tin hợp pháp.
Phát hiện này, được ghi nhận bởi hệ thống honeypot email của ASEC, cho thấy sự thay đổi chiến thuật của các tác nhân đe dọa. Thay vì sử dụng các phương pháp phân phối thông thường, kẻ tấn công ngày càng áp dụng các kỹ thuật làm mờ (obfuscation) phức tạp để qua mặt các hệ thống bảo mật truyền thống và đánh lừa người dùng không cảnh giác. Phiên bản XwormRAT mới này đã được phát hiện phân phối thông qua email lừa đảo (phishing emails), với mã độc được nhúng trực tiếp vào các cấu trúc mã hợp pháp, khiến việc phát hiện trở nên đặc biệt khó khăn.
Chi tiết Kỹ thuật của Chiến dịch XwormRAT Mới
Chuỗi Tấn công Ban Đầu
Chuỗi tấn công của XwormRAT bắt đầu khi nạn nhân thực thi một tập lệnh ban đầu, thường được ngụy trang dưới dạng tệp tin hợp pháp. Tập lệnh này có thể là VBScript hoặc JavaScript. Thành phần chính của tập lệnh khởi tạo là một đoạn mã PowerShell được nhúng. Đoạn mã PowerShell này được thiết kế để tải xuống các thành phần malware bổ sung từ các máy chủ Command-and-Control (C2) bên ngoài. Sự kết hợp của VBScript/JavaScript và PowerShell tạo ra một chuỗi thực thi linh hoạt và khó bị phát hiện bởi các giải pháp bảo mật truyền thống, đồng thời gây khó khăn cho người dùng cuối trong việc nhận biết mối đe dọa.
Kỹ thuật Che Giấu Payload
Để duy trì tính bí mật và tránh bị phân tích, biến thể XwormRAT hiện tại đã được cải tiến đáng kể về mặt kỹ thuật so với các phiên bản trước đây được ASEC ghi nhận. Những cải tiến này tập trung vào các kỹ thuật làm mờ và giấu tin phức tạp hơn.
Phương pháp Obfuscation Trước Đây
Các phiên bản XwormRAT trước đây thường dựa vào một phương pháp đơn giản hơn để che giấu dữ liệu độc hại. Chúng nhúng dữ liệu được mã hóa Base64 vào cuối các tệp hình ảnh JPG. Đặc điểm nhận dạng của phương pháp này là việc sử dụng các chuỗi đánh dấu rõ ràng như <<BASE64_START>> và <<BASE64_END>> để xác định vị trí của dữ liệu mã hóa. Mặc dù hiệu quả ở một mức độ nhất định, các chuỗi đánh dấu này lại vô tình tạo ra các “dấu hiệu” giúp các nhà nghiên cứu bảo mật dễ dàng xác định, trích xuất và phân tích mã độc, làm cho quá trình phát hiện và phân tích trở nên trực tiếp hơn.
Kỹ thuật Steganography Hiện Tại qua Thao tác Bitmap
Biến thể XwormRAT mới đã từ bỏ các dấu hiệu nhận biết rõ ràng này, thay vào đó áp dụng một kỹ thuật steganography phức tạp hơn liên quan đến việc thao tác dữ liệu bitmap bên trong tệp hình ảnh. Cụ thể, malware giờ đây tìm kiếm các chữ ký bitmap cụ thể (signatures) được nhúng trong các tệp hình ảnh JPG. Các chữ ký này, được biểu diễn dưới dạng giá trị hexadecimal, đóng vai trò như điểm đánh dấu cho dữ liệu ẩn. Malware được lập trình để tìm kiếm các chuỗi byte đặc trưng như 0x42, 0x4d, 0x46, 0xC0. Đây là các byte đặc trưng có thể được dùng để định vị một phần dữ liệu bitmap được sửa đổi hoặc thêm vào một cách tinh vi.
Sau khi định vị được các chữ ký này, malware sẽ tiến hành trích xuất và giải mã các giá trị pixel RGB (Red, Green, Blue) từ dữ liệu bitmap đã được thao tác. Mỗi pixel trong hình ảnh có ba kênh màu RGB, và mỗi kênh có thể lưu trữ một giá trị byte. Kẻ tấn công lợi dụng tính chất này để nhúng dữ liệu độc hại vào các bit ít quan trọng nhất (Least Significant Bit – LSB) của các giá trị pixel, hoặc sử dụng các kỹ thuật phức tạp hơn để mã hóa toàn bộ byte dữ liệu vào nhiều pixel. Bằng cách thao tác các bit này, dữ liệu độc hại có thể được giấu một cách khéo léo mà không gây ra sự thay đổi đáng kể nào về mặt hình ảnh mà mắt thường có thể nhận thấy. Quá trình giải mã các giá trị pixel RGB này cho phép malware tái tạo lại .NET loader bị ẩn.
Cơ chế Giải mã và Thực thi Payload
Trong quá trình thực thi, kịch bản PowerShell đã đề cập sử dụng hàm Replace() để loại bỏ một cách có hệ thống các ký tự giả (dummy characters) đã được xen kẽ vào dữ liệu mã hóa Base64. Việc chèn các ký tự giả này vào giữa dữ liệu Base64 là một kỹ thuật làm mờ nhằm gây khó khăn cho việc phân tích tự động và thủ công, vì nó phá vỡ cấu trúc Base64 thông thường và yêu cầu một bước xử lý bổ sung để giải mã. Sau khi các ký tự giả được loại bỏ, dữ liệu Base64 đã “sạch” sẽ được giải mã và thực thi payload thực sự.
Khi người dùng mở tệp hình ảnh bị lây nhiễm, họ chỉ thấy một hình ảnh hiển thị bình thường, tạo ra ảo giác rằng không có điều gì đáng ngờ xảy ra. Tuy nhiên, trong nền, .NET loader đã được tái tạo sẽ bí mật trích xuất và thực thi payload XwormRAT cuối cùng. Payload này sau đó sẽ thiết lập quyền truy cập liên tục (persistent access) vào hệ thống bị xâm nhập, cho phép kẻ tấn công điều khiển hệ thống từ xa, đánh cắp dữ liệu, hoặc triển khai các hoạt động độc hại khác mà không bị người dùng phát hiện.
Ví dụ về cách một đoạn mã PowerShell có thể sử dụng hàm Replace() để giải mã payload:
$encodedPayload = "aHR0c_s_ov_F_0ZXN0X3N_l_l_Y29t" # Ví dụ Base64 có ký tự giả
$cleanedPayload = $encodedPayload.Replace("_s_","").Replace("_l_","")
# Output: "aHR0csovL3Rlc3Quc2Vjb20"
$decodedPayload = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($cleanedPayload))
# Output: "https://test.secom" (ví dụ)
Invoke-Expression $decodedPayload
Trong trường hợp thực tế, payload sẽ phức tạp hơn và có thể là mã thực thi nhị phân hoặc một chuỗi lệnh PowerShell phức tạp khác.
Tác động và Nguy cơ Mở rộng
Các kỹ thuật steganography được sử dụng trong chiến dịch này không chỉ giới hạn trong việc phân phối XwormRAT mà còn đại diện cho một sự thay đổi rộng lớn hơn trong các phương pháp phân phối malware mà các chuyên gia bảo mật cần đặc biệt chú ý. Các nhà nghiên cứu ASEC nhấn mạnh rằng những kỹ thuật che giấu tinh vi này có thể được điều chỉnh và áp dụng cho nhiều họ malware khác nhau, khiến sự phát triển này trở nên đặc biệt đáng lo ngại đối với cộng đồng an ninh mạng.
Sự tiến hóa và sửa đổi liên tục của các phương pháp steganography cho thấy rằng các tác nhân đe dọa đang đầu tư đáng kể vào việc phát triển các khả năng lẩn tránh phát hiện. Xu hướng này chỉ ra rằng các tổ chức và cá nhân phải triển khai các biện pháp bảo mật email mạnh mẽ hơn và thực hiện cảnh giác cao độ hơn khi xử lý các tệp đính kèm từ các nguồn không xác định. ASEC tiếp tục giám sát các mối đe dọa đang phát triển này thông qua các ấn phẩm định kỳ như “Phishing Email Trend Report” và “Infostealer Trend Report”, cung cấp cho cộng đồng bảo mật những thông tin tình báo quan trọng về các phương pháp tấn công mới nổi và giúp các tổ chức điều chỉnh chiến lược phòng thủ của mình phù hợp.
Phòng ngừa và Đối phó
Để giảm thiểu rủi ro từ các chiến dịch malware sử dụng steganography và các kỹ thuật lẩn tránh tinh vi, cần áp dụng một cách tiếp cận đa tầng:
- Nâng cao nhận thức người dùng: Đào tạo người dùng về các mối đe dọa từ email lừa đảo, tầm quan trọng của việc kiểm tra kỹ lưỡng các tệp đính kèm và đường link, và các dấu hiệu nhận biết của email đáng ngờ, ngay cả khi chúng dường như đến từ các nguồn đáng tin cậy.
- Giải pháp bảo mật email tiên tiến: Triển khai các cổng email bảo mật (Secure Email Gateways – SEG) với khả năng phân tích tệp đính kèm nâng cao, bao gồm sandbox, phân tích hành vi, và kiểm tra danh tiếng. Các giải pháp này có thể phát hiện các hành vi độc hại ẩn trong tệp tin, ngay cả khi chúng chưa được xác định bởi chữ ký.
- Kiểm soát thực thi ứng dụng: Áp dụng các chính sách kiểm soát thực thi nghiêm ngặt để chỉ cho phép các ứng dụng đã được phê duyệt chạy trên hệ thống. Điều này giúp ngăn chặn các tập lệnh PowerShell hoặc các loader .NET độc hại được thực thi.
- Giải pháp Endpoint Detection and Response (EDR): Triển khai các giải pháp EDR để giám sát liên tục các hoạt động trên điểm cuối. EDR có thể phát hiện các hành vi bất thường như việc một hình ảnh gọi PowerShell, hoặc PowerShell thực hiện các lệnh tải xuống không mong muốn, ngay cả khi malware ban đầu đã vượt qua được các lớp phòng thủ trước đó.
- Giải pháp Network Detection and Response (NDR): Sử dụng NDR để giám sát lưu lượng mạng ra vào, đặc biệt là việc kết nối tới các máy chủ C2. NDR có thể phát hiện các kết nối đáng ngờ từ các hệ thống nội bộ tới các địa chỉ IP hoặc domain lạ, đây là dấu hiệu của sự xâm nhập.
- Cập nhật phần mềm và vá lỗi thường xuyên: Đảm bảo tất cả hệ điều hành, trình duyệt web, và các ứng dụng khác được cập nhật các bản vá bảo mật mới nhất để khắc phục các lỗ hổng có thể bị khai thác bởi malware.
- Phân tích tệp tin nâng cao: Sử dụng các công cụ phân tích tệp tin tĩnh và động, bao gồm các công cụ phân tích metadata của hình ảnh và các kỹ thuật chống steganography để phát hiện dữ liệu ẩn.
- Giám sát và phân tích nhật ký: Thu thập và phân tích nhật ký từ các hệ thống và thiết bị mạng để phát hiện các mẫu hình bất thường hoặc các dấu hiệu của hoạt động độc hại.
Indicators of Compromise (IOCs)
Mặc dù nội dung không cung cấp các IOC cụ thể như hash tệp, địa chỉ IP C2 hay domain, các kỹ thuật và thành phần được sử dụng trong chiến dịch này có thể được coi là các chỉ số quan trọng:
- Họ Malware: XwormRAT
- Kênh Truy cập Ban Đầu: Email lừa đảo (Phishing emails)
- Tập lệnh Khởi tạo:
- VBScript
- JavaScript
- Thành phần Loader:
- PowerShell
- .NET loader
- Kỹ thuật Obfuscation:
- Mã hóa Base64 với các ký tự giả (dummy characters)
- Kỹ thuật giấu tin (steganography) qua thao tác dữ liệu bitmap trong tệp JPG
- Chữ ký Bitmap Cụ thể: 0x42, 0x4d, 0x46, 0xC0 (được tìm kiếm trong tệp JPG)
- Cơ chế Duy trì: Payload XwormRAT thiết lập quyền truy cập liên tục.
- Hàm Đặc trưng: Sử dụng hàm
Replace()trong PowerShell để loại bỏ ký tự giả trước khi giải mã payload.
