Cyble Research and Intelligence Labs (CRIL) vừa phát hiện một chiến dịch tấn công mạng tinh vi do một nhóm tin tặc có nguồn gốc từ Việt Nam thực hiện, với mục tiêu chính là các chuyên gia kinh tế số, đặc biệt là những người liên quan đến tiếp thị số và các nền tảng quảng cáo như Meta Ads (Facebook và Instagram). Cuộc tấn công sử dụng mã độc nhiều giai đoạn để chiếm quyền kiểm soát hệ thống và triển khai Quasar RAT, một phần mềm trojan điều khiển từ xa (RAT) mạnh mẽ, giúp kẻ tấn công có thể thực hiện các hành vi độc hại như đánh cắp dữ liệu và giám sát hệ thống từ xa.
Cuộc tấn công này được cho là có liên quan đến một nhóm tin tặc Việt Nam, dựa trên việc nhắm mục tiêu vào các chuyên gia tiếp thị số sử dụng Meta Ads, và các kỹ thuật cũng như công cụ được sử dụng. Những chiến thuật và phương thức tấn công này đã được nhận diện từ một chiến dịch tương tự vào tháng 7 năm 2022, khi một nhóm tin tặc Việt Nam phát tán mã độc Ducktail nhằm đánh cắp thông tin từ các tài khoản quảng cáo Meta.
Phương thức tấn công
Chiến dịch này bắt đầu từ việc phát tán các email lừa đảo chứa tệp LNK giả mạo thành tài liệu PDF liên quan đến công việc. Khi nạn nhân mở tệp LNK này, một chuỗi lệnh PowerShell sẽ được kích hoạt để tải xuống và thực thi các tệp mã độc từ các nguồn lưu trữ bên ngoài như Dropbox. Mã độc được mã hóa nhiều lớp và sử dụng các kỹ thuật tránh phát hiện tiên tiến để qua mặt các hệ thống bảo mật.
Cụ thể, quá trình tấn công gồm các giai đoạn như sau:
1. Kích hoạt PowerShell: Khi tệp LNK được mở, nó sẽ thực thi các lệnh PowerShell để tải về một tập tin script từ các dịch vụ lưu trữ trực tuyến như Dropbox. Tập tin script này bao gồm hai phần mã được mã hóa: một tài liệu PDF giả mạo và một tệp lệnh batch (output.bat). Tệp PDF giả này nhằm mục đích thu hút sự chú ý của nạn nhân, trong khi tệp batch có nhiệm vụ tiếp tục thực hiện chuỗi tấn công.
2. Kiểm tra môi trường: Tệp lệnh batch kiểm tra hệ thống của nạn nhân bằng cách truy vấn thông tin phần cứng như loại ổ đĩa và tên nhà sản xuất thông qua lệnh WMIC. Nếu phát hiện hệ thống đang chạy trong một môi trường ảo hóa (VM) hoặc sandbox, mã độc sẽ ngừng hoạt động ngay lập tức để tránh bị phân tích. Một số dấu hiệu nhận diện môi trường ảo hóa bao gồm ổ đĩa có tên QEMU, VirtualBox, hoặc BOCHS.
3. Giải mã payload và triển khai RAT: Nếu không phát hiện môi trường ảo hóa, mã độc sẽ tiến hành giải mã payload được mã hóa bằng AES và triển khai Quasar RAT. RAT này được mã hóa trong suốt quá trình để tránh bị phát hiện bởi các công cụ phân tích mã tĩnh, và chỉ được giải mã trong bộ nhớ khi tất cả các kiểm tra chống phân tích đã được hoàn thành.
Chiến thuật né tránh và leo thang đặc quyền
Cuộc tấn công sử dụng nhiều kỹ thuật nhằm lẩn tránh các hệ thống giám sát và leo thang quyền hạn để chiếm quyền kiểm soát hệ thống:
- Phát hiện môi trường ảo hóa và sandbox: Kiểm tra các đặc điểm của hệ thống để đảm bảo nó không chạy trong các môi trường ảo hóa hoặc phân tích. Nếu phát hiện, mã độc sẽ tự động hủy bỏ hoạt động.
- Chống debugger: Mã độc sử dụng các kỹ thuật để kiểm tra xem nó có đang bị debug hay không, nhằm làm phức tạp quá trình phân tích hoặc dịch ngược mã (reverse engineering).
- Vô hiệu hóa giám sát sự kiện: Cuộc tấn công này bao gồm việc vô hiệu hóa Event Tracing for Windows (ETW), một tính năng giám sát sự kiện hệ thống của Windows, để làm giảm khả năng phát hiện từ các công cụ bảo mật.
- Leo thang đặc quyền và duy trì tồn tại: Mã độc cố gắng leo thang đặc quyền lên cấp độ quản trị viên thông qua các lệnh hệ thống và chèn các tệp độc hại vào các thư mục hệ thống. Điều này giúp mã độc có thể tồn tại qua các lần khởi động lại hệ thống và duy trì hoạt động mà không bị phát hiện.
Triển khai Quasar RAT
Ở giai đoạn cuối của cuộc tấn công, Quasar RAT được triển khai, cho phép kẻ tấn công chiếm quyền điều khiển hoàn toàn hệ thống bị nhiễm. Quasar RAT là một công cụ mã nguồn mở được sử dụng phổ biến bởi nhiều nhóm tin tặc để thực hiện các hành vi như:
- Trộm cắp dữ liệu: Kẻ tấn công có thể truy cập và đánh cắp các tệp tin, dữ liệu quan trọng từ hệ thống nạn nhân.
- Giám sát hệ thống: RAT có thể theo dõi hoạt động của nạn nhân, bao gồm việc ghi lại thao tác bàn phím, chụp màn hình và thậm chí bật camera để giám sát.
- Cài đặt thêm phần mềm độc hại: Quasar RAT cũng có thể được sử dụng để cài đặt thêm các phần mềm độc hại khác hoặc khai thác thêm các lỗ hổng trên hệ thống bị nhiễm.
Tác động và dấu hiệu nhận biết
Khi hệ thống bị nhiễm Quasar RAT, các tác động có thể bao gồm:
- Giảm hiệu suất hệ thống: CPU và băng thông mạng có thể tăng đột ngột do các hoạt động độc hại ngầm của mã độc.
- Lưu lượng mạng bất thường: Xuất hiện các kết nối đến máy chủ điều khiển từ xa, hoặc lưu lượng lớn không giải thích được từ các giao thức như TCP và UDP.
- Tệp lạ trong hệ thống: Xuất hiện các tệp lạ như tệp LNK, batch file, hoặc các tệp PDF giả mạo trong hệ thống.
Khuyến nghị
Nhằm đảm bảo an toàn thông tin cho hệ thống thông tin của đơn vị, góp phần đảm bảo an toàn cho không gian mạng Việt Nam, Trung tâm VNCERT/CC khuyến nghị người dùng và quản trị viên nên:
- Giám sát hệ thống: Thường xuyên kiểm tra và phát hiện các tệp tin, quy trình hoặc hành vi đáng ngờ trong hệ thống.
- Kiểm tra lưu lượng mạng: Phân tích lưu lượng mạng để phát hiện các kết nối không rõ nguồn gốc đến các máy chủ điều khiển từ xa.
- Đào tạo và nâng cao nhận thức: Đảm bảo nhân viên, đặc biệt là những người làm việc trong lĩnh vực tiếp thị số, hiểu biết về các kỹ thuật lừa đảo và cách phòng tránh các tệp đính kèm độc hại trong email.
- Cập nhật hệ thống và phần mềm: Đảm bảo rằng hệ thống và các phần mềm bảo mật luôn được cập nhật với các bản vá mới nhất.