Trong một chiến dịch tấn công mạng gần đây xuất phát từ Israel, các tác nhân đe dọa đã tái sử dụng các tệp tin shortcut của Windows (.LNK) để phát tán một loại Remote Access Trojan (RAT) mạnh mẽ. Chiến dịch này thể hiện một mối đe dọa mạng đáng kể, khi kẻ tấn công lợi dụng các kỹ thuật tinh vi để vượt qua các biện pháp phòng thủ truyền thống, nhằm vượt qua các rào cản phòng thủ trong một cuộc tấn công mạng tinh vi.

Các tệp tin shortcut tưởng chừng vô hại này khai thác các Living-off-the-Land Binaries (LOLBins) như odbcconf.exe. Mục tiêu là âm thầm đăng ký và thực thi các thư viện động (DLL) độc hại, từ đó né tránh các công cụ bảo mật và làm phức tạp hóa quá trình phát hiện.

Kỹ thuật Khai thác Tệp LNK và LOLBins

Việc sử dụng tệp LNK độc hại như một vector lây nhiễm không phải là mới, nhưng chiến dịch này đã nâng tầm nó với các kỹ thuật che giấu tinh vi. Kẻ tấn công đã sử dụng các phương pháp được ghi nhận tương tự trong các chiến dịch khác, như chi tiết tại GBHackers.

LOLBins là các chương trình thực thi hợp pháp của hệ điều hành Windows mà tin tặc có thể lạm dụng. Chúng bao gồm các tiện ích như PowerShell, WMIC, Certutil, và trong trường hợp này là odbcconf.exe. Việc khai thác chúng giúp mã độc hoạt động dưới danh nghĩa của các tiến trình hệ thống đáng tin cậy.

Kỹ thuật này khiến việc nhận diện các hoạt động bất thường trở nên khó khăn hơn đối với các giải pháp bảo mật dựa trên signature. Mã độc được ngụy trang, gây thách thức lớn cho các hệ thống phòng thủ.

Chuỗi Tấn công Ban đầu

Chiến dịch bắt đầu khi nạn nhân bị lôi kéo tải xuống một tệp tin có tên “cyber security.lnk” từ một kênh Discord. Đây là điểm khởi đầu cho chuỗi tấn công mạng phức tạp.

Khi người dùng nhấp vào tệp shortcut này, một tài liệu PDF mồi nhử có tiêu đề “Cyber Security.pdf” sẽ được mở. Mục đích là đánh lạc hướng người dùng, trong khi một chuỗi PowerShell ẩn được thực thi ở chế độ nền.

Để tránh mọi cửa sổ console hiển thị, script độc hại sẽ khởi chạy conhost.exe ở chế độ headless (không có giao diện người dùng). Sau đó, nó sẽ tự động phân giải đường dẫn đến PowerShell và chạy script mà không có cửa sổ hiển thị, đảm bảo tính bí mật.

Tiếp theo, PowerShell script sẽ tạo một thư mục làm việc chuyên dụng. Đường dẫn được xác định là C:UsersPublicNuget để chứa các thành phần độc hại. Đồng thời, script cũng định nghĩa nhiều biến cần thiết cho các bước tiếp theo của quá trình lây nhiễm.

Cơ chế Vô hiệu hóa và Tải Payload

Các byte thô của tệp LNK được quét để tìm kiếm “magic header” %PDF. Điều này cho phép trích xuất tài liệu PDF mồi nhử được nhúng bên trong tệp LNK gốc trước khi bị xóa.

Sau khi PDF được trích xuất, tệp LNK độc hại sẽ bị xóa để che giấu dấu vết của cuộc tấn công mạng này. Điều này là một bước quan trọng nhằm duy trì tính ẩn danh và gây khó khăn cho việc điều tra.

Một kho lưu trữ ZIP sau đó được giải nén vào thư mục Nuget đã tạo. Sau một khoảng thời gian ngắn, các thư viện cần thiết như Moq.dll, Dapper.dll, Newtonsoft.dll và một tệp có tên Nunit sẽ xuất hiện.

Ngay sau khi các thành phần này được trích xuất và sẵn sàng, tệp ZIP gốc cũng sẽ bị xóa. Đây là một biện pháp khác để duy trì sự bí mật và tránh bị phát hiện bởi các công cụ bảo mật.

Kích hoạt RAT và Thực thi Mã Độc

Để kích hoạt RAT mà không gây cảnh báo, script đã lạm dụng odbcconf.exe. Đây là một binary hợp pháp của Windows, được sử dụng để đăng ký và cấu hình các nguồn dữ liệu ODBC.

Lệnh sau đây được sử dụng để thực hiện việc lạm dụng này:

odbcconf.exe /S /A {regsvr Moq.dll}

Lệnh này đăng ký và thực thi Moq.dll như một COM DLL, gọi hàm xuất DllRegisterServer của nó. Thay vì nhúng tất cả logic payload, Moq.dll tải động Dapper.dll và Newtonsoft.dll. Kỹ thuật này làm tăng độ phức tạp cho các nhà phân tích ngược.

Trong quá trình phân tích động, Moq.dll được quan sát thực hiện các hành vi sau:

• Thực hiện các thao tác kiểm tra môi trường để tránh các sandbox và máy ảo.
• Tạo các tiến trình con và tiêm mã độc vào chúng để duy trì hoạt động.
• Thu thập thông tin hệ thống và cấu hình mạng của máy nạn nhân.
• Thiết lập kênh liên lạc an toàn với máy chủ điều khiển (C2).
• Đây là một phần quan trọng của một chiến dịch tấn công mạng có chủ đích.

PowerShell script sau khi được deobfuscate đã tiết lộ các module được mã hóa AES. Đây là một đặc điểm của nhiều chủng mã độc hiện đại. RAT sẽ giải mã các module này trong thời gian chạy (runtime), lưu trữ văn bản gốc vào một biến để thực thi.

Các nhà phân tích đã chuyển hướng đầu ra này sang một tệp tin thay vì chạy trực tiếp để kiểm tra. Thông tin chi tiết về quá trình deobfuscate có thể tìm thấy tại K7 Computing Labs.

Cơ chế Duy trì và Giao tiếp C2

Duy trì Quyền Truy cập (Persistence)

Sau khi được thực thi thành công, mã độc đảm bảo khả năng duy trì hoạt động trên hệ thống bị ảnh hưởng. Điều này được thực hiện bằng cách sửa đổi khóa registry quan trọng của Windows.

Khóa registry HKCUSoftwareMicrosoftWindowsCurrentVersionRun được cập nhật. Mã độc sẽ nối thêm lệnh khởi chạy của nó vào cùng với explorer.exe, đảm bảo RAT sẽ được kích hoạt mỗi khi người dùng đăng nhập vào hệ thống.

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunMoq = "C:UsersPublicNugetMoq.dll"

Giao tiếp với Máy chủ Điều khiển (C2)

RAT tạo hoặc đọc một ID Bot và một định danh máy duy nhất từ các tệp trong thư mục Temp. Các thông tin này sau đó được sử dụng để thiết lập liên lạc với máy chủ C2, cung cấp nhận dạng riêng cho mỗi nạn nhân.

Máy chủ C2 chính được mã hóa cứng (hard-coded) trong mã độc, ví dụ: hotchichenfly.info. Nếu máy chủ chính không thể truy cập, RAT sẽ tính toán một địa chỉ dự phòng dựa trên ID Bot và tên người dùng.

Các lệnh từ máy chủ C2 được mã hóa Base64 và lưu trữ trong các tệp tạm thời. Sau đó, chúng được giải mã và thực thi theo yêu cầu. Đây là một kỹ thuật phổ biến để che giấu lưu lượng độc hại và tránh bị các giải pháp an ninh mạng phát hiện.

Chức năng của Remote Access Trojan (RAT)

RAT này sở hữu một bộ tính năng toàn diện, biến nó thành một công cụ gián điệp đa chức năng. Các khả năng chính bao gồm:

• Thu thập thông tin hệ thống: Bao gồm tên máy tính, phiên bản hệ điều hành, thông tin CPU/RAM, danh sách phần mềm đã cài đặt, và các cấu hình mạng.
• Quản lý tệp tin: Khả năng liệt kê, đọc, ghi, xóa và tải lên/tải xuống tệp tin từ hệ thống bị xâm nhập, cho phép truy cập đầy đủ vào dữ liệu nạn nhân.
• Thực thi lệnh shell: Cho phép kẻ tấn công chạy các lệnh tùy ý trên hệ thống nạn nhân với các quyền hiện có, mở rộng khả năng kiểm soát.
• Ghi lại thao tác bàn phím (Keylogging): Ghi lại mọi phím bấm của người dùng, thu thập thông tin nhạy cảm như thông tin đăng nhập, mật khẩu, và dữ liệu cá nhân.
• Chụp ảnh màn hình: Chụp ảnh màn hình định kỳ hoặc theo yêu cầu, cung cấp thông tin trực quan về hoạt động của nạn nhân và môi trường làm việc.
• Kiểm soát microphone và webcam: Khả năng bật và ghi lại âm thanh hoặc hình ảnh từ thiết bị của nạn nhân, phục vụ mục đích gián điệp.
• Quản lý tiến trình: Liệt kê, tạo và chấm dứt các tiến trình đang chạy trên hệ thống, cho phép kiểm soát tài nguyên và hoạt động.
• Cập nhật/Gỡ bỏ RAT: Khả năng tự cập nhật phiên bản mới hoặc gỡ bỏ hoàn toàn khỏi hệ thống để tránh bị phát hiện hoặc để triển khai biến thể mới.

Bộ tính năng toàn diện này nhấn mạnh sự linh hoạt của RAT như một công cụ gián điệp và tấn công mạng đa chức năng, được thiết kế cho các chiến dịch lâu dài.

Chỉ số Thỏa hiệp (IOCs)

Để hỗ trợ các nhóm phát hiện xâm nhập và ứng phó sự cố, dưới đây là chỉ số thỏa hiệp liên quan đến chiến dịch này:

• C2 Server:hotchichenfly.info

Biện pháp Phòng thủ và Phát hiện

Các nhóm bảo mật cần triển khai các biện pháp phòng thủ sau để chống lại các cuộc tấn công mạng tương tự và tăng cường khả năng phòng thủ trước các tấn công mạng ngày càng phức tạp:

• Cập nhật và vá lỗi định kỳ: Đảm bảo hệ điều hành và tất cả phần mềm được cập nhật các bản vá bảo mật mới nhất để khắc phục các lỗ hổng đã biết, giảm thiểu bề mặt tấn công.
• Tăng cường cảnh giác người dùng: Đào tạo người dùng về các mối đe dọa từ tệp LNK độc hại và các chiến thuật lừa đảo (phishing) khác, đặc biệt là các tệp tải về từ các nguồn không đáng tin cậy như Discord hoặc email không xác định.
• Giám sát hoạt động LOLBins: Triển khai giám sát nâng cao đối với việc sử dụng các Living-off-the-Land Binaries (LOLBins). Bất kỳ hoạt động bất thường nào của các tiện ích hệ thống như odbcconf.exe cần được gắn cờ và điều tra.
• Sử dụng giải pháp EDR/AV tiên tiến: Triển khai các giải pháp Endpoint Detection and Response (EDR) hoặc Antivirus (AV) có khả năng phát hiện hành vi và heuristic mạnh mẽ. Đảm bảo các signature và heuristic được cập nhật thường xuyên là điều cốt yếu.
• Kiểm soát thực thi ứng dụng: Áp dụng các chính sách kiểm soát thực thi ứng dụng để chỉ cho phép các chương trình đã được phê duyệt chạy. Điều này có thể ngăn chặn việc thực thi các DLL độc hại và các mã không mong muốn.
• Phân đoạn mạng và phân quyền tối thiểu: Thực hiện phân đoạn mạng để hạn chế sự lây lan của mã độc và áp dụng nguyên tắc đặc quyền tối thiểu (least privilege) cho người dùng và ứng dụng nhằm giảm thiểu thiệt hại nếu bị xâm nhập.
• Giám sát lưu lượng mạng: Giám sát chặt chẽ lưu lượng mạng để phát hiện các kết nối bất thường tới các máy chủ C2 đã biết hoặc các địa chỉ IP đáng ngờ. Đây là một yếu tố quan trọng trong an ninh mạng toàn diện.

Với sự tinh vi của RAT dựa trên LNK này và việc sử dụng các thành phần Windows hợp pháp, việc triển khai một giải pháp bảo mật đáng tin cậy. Đồng thời, đảm bảo các signature, heuristic và phát hiện hành vi luôn được cập nhật là rất quan trọng để ngăn chặn các cuộc tấn công mạng trong tương lai. Việc vá lỗi liên tục, phân tách đặc quyền nghiêm ngặt và giám sát chặt chẽ các hành vi thực thi tiến trình bất thường vẫn là yếu tố thiết yếu để duy trì một tư thế bảo mật vững chắc.