Tin tặc đang tích cực khai thác các tệp tin SVG như một vector tấn công ban đầu trong một chiến dịch nhiều giai đoạn, được thiết kế để giả mạo thông tin liên lạc của chính phủ Ukraine. FortiGuard Labs đã phát hiện chiến dịch phishing tinh vi này nhắm vào các cơ quan chính phủ Ukraine, sử dụng các tệp Scalable Vector Graphics (SVG) độc hại. Mục tiêu cuối cùng là triển khai mã độc đào tiền ảo và mã độc đánh cắp thông tin để xâm nhập hệ thống nạn nhân, tạo ra một mối đe dọa mạng nghiêm trọng.

Tổng quan Chiến dịch Phishing Phức tạp

Chiến dịch bắt đầu bằng các email phishing chứa tệp đính kèm SVG độc hại. Những tệp này được ngụy trang thành các thông báo chính thức từ Cảnh sát Quốc gia Ukraine. Nội dung email gây áp lực cho người nhận bằng ngôn ngữ pháp lý, đề cập đến các đơn kháng cáo đang chờ xử lý và hậu quả tiềm ẩn nếu không tuân thủ.

Khởi đầu Tấn công: Phishing qua SVG

Tệp SVG, có tên “elektronni_zapit_NPU.svg”, chứa một phần tử iframe HTML nhúng. Phần tử này tham chiếu một tài nguyên SVG bên ngoài. Khi được mở, nó hiển thị giao diện Adobe Reader giả mạo với thông báo “Xin vui lòng đợi, tài liệu của bạn đang tải…” bằng tiếng Ukraine. Nạn nhân sẽ tự động bị chuyển hướng để tải xuống một tệp lưu trữ được bảo vệ bằng mật khẩu. Mật khẩu giải nén cũng được hiển thị một cách thuận tiện.

Chuỗi Lây nhiễm: Từ CHM đến HTA CountLoader

Tệp lưu trữ đã tải xuống chứa một tệp Compiled HTML Help (CHM), tệp này khởi tạo một chuỗi lây nhiễm phức tạp. Trong tệp CHM, các nhà nghiên cứu đã phát hiện một tệp HTML độc hại chứa một đối tượng shortcut. Phương thức Click của đối tượng này thực thi một tài nguyên HTML Application (HTA) từ xa ở chế độ ẩn.

Tệp HTA hoạt động như một CountLoader, được làm rối mã nguồn một cách cố ý. Các kỹ thuật như mã hóa chuỗi và xáo trộn mảng được sử dụng để che giấu mã độc. Loader này thiết lập kết nối với các máy chủ từ xa, thu thập thông tin hệ thống của nạn nhân và gửi chúng qua các yêu cầu HTTP POST. Dữ liệu được mã hóa bằng XorBase64. Loader hỗ trợ sáu lệnh riêng biệt, cho phép tải xuống tệp, giải nén lưu trữ, thực thi DLL, trinh sát tên miền và dọn dẹp dấu vết hoạt động. Đây là một bước quan trọng trong chuỗi tấn công của mối đe dọa mạng này.

Các Thành phần Mã độc Chính: PureMiner và Amatera Stealer

Chiến dịch này triển khai hai loại mã độc chính để đạt được mục tiêu kép: đào tiền ảo và đánh cắp dữ liệu.

PureMiner: Mã độc Đào tiền Ẩn mình

PureMiner là một mã độc đào tiền ảo .NET được phân phối qua tệp lưu trữ ergosystem.zip. Mã độc này sử dụng các kỹ thuật DLL sideloading và biên dịch .NET Ahead-of-Time (AOT). Payload của nó được lưu trữ dưới dạng mã hóa trong phần .rdata trước khi được giải mã và tiêm vào các quy trình .NET Framework hợp pháp bằng kỹ thuật process hollowing.

PureMiner thực hiện trinh sát phần cứng rộng rãi, sử dụng các API từ thư viện AMD Display Library và NVIDIA để thu thập thông số kỹ thuật bộ điều hợp video, chi tiết bộ nhớ và số liệu thống kê sử dụng. Mã độc này xác minh các hệ thống có ít nhất 4GB bộ nhớ trước khi triển khai và có thể triển khai các mô-đun đào dựa trên CPU hoặc GPU tùy thuộc vào yêu cầu cấu hình. Việc này cho thấy sự linh hoạt và khả năng tối ưu hóa của mối đe dọa mạng này.

Mã độc duy trì giao tiếp liên tục với các máy chủ command-and-control (C2) bằng mã hóa 3DES. Nó có khả năng thực thi các payload đã tải xuống, loại bỏ các cơ chế duy trì quyền truy cập, giám sát các công cụ phân tích, kiểm tra các cửa sổ đang hoạt động và phát hiện trạng thái hệ thống không hoạt động.

Amatera Stealer: Chiếm đoạt Dữ liệu Toàn diện

Đồng thời, tệp lưu trữ smtpB.zip phân phối Amatera Stealer thông qua một loader dựa trên Python. Loader này sử dụng dự án PythonMemoryModule để thực thi không cần tệp. Stealer này tạo ra các giá trị mutex được mã hóa cứng và kết nối với các máy chủ từ xa để lấy các tệp cấu hình được mã hóa Base64 và RC4. Các tệp cấu hình này kiểm soát các hoạt động thu thập dữ liệu, trực tiếp dẫn đến nguy cơ đánh cắp dữ liệu nhạy cảm.

Amatera Stealer nhắm mục tiêu một cách có hệ thống nhiều loại dữ liệu. Bao gồm thông tin hệ thống (tên máy tính, tên người dùng, hệ điều hành, thông số kỹ thuật phần cứng), dữ liệu trình duyệt từ các ứng dụng dựa trên Gecko và Chromium, tiện ích mở rộng ví tiền điện tử, ứng dụng máy tính để bàn như Steam và Telegram, cùng với các ví tiền điện tử trên máy tính để bàn. Mã độc này là một ví dụ điển hình về phishing và mối đe dọa mạng tập trung vào lợi ích tài chính.

Mã độc sử dụng các kỹ thuật tinh vi để vượt qua bảo mật trình duyệt hiện đại. Điều này bao gồm giải mã cookie cũ và giải mã dữ liệu App-Bound Encrypted (ABE) thông qua khai thác COM API và tiêm vào quy trình trình duyệt. Những kỹ thuật này làm tăng khả năng thành công của hoạt động đánh cắp dữ liệu.

Phân tích Tác động và Biện pháp Phòng ngừa

Ý nghĩa của Chiến dịch

Chiến dịch này thể hiện sự phát triển của các chiến thuật phishing, cho thấy cách các tệp SVG có thể đóng vai trò là vật thay thế cho HTML. Chúng được dùng để khởi tạo chuỗi lây nhiễm trong khi né tránh các biện pháp bảo mật truyền thống. Sự kết hợp giữa chiếm dụng tài nguyên thông qua đào tiền điện tử và trộm cắp dữ liệu toàn diện tạo ra các dòng doanh thu kép cho những kẻ tấn công. Việc nhắm mục tiêu vào các tổ chức chính phủ Ukraine trong bối cảnh căng thẳng địa chính trị hiện nay cho thấy bản chất có thể được nhà nước tài trợ hoặc có động cơ chính trị của mối đe dọa mạng này.

Khuyến nghị Bảo mật

Các tổ chức cần triển khai đào tạo nâng cao nhận thức bảo mật toàn diện. Cập nhật hệ thống lọc email để kiểm tra kỹ các tệp đính kèm SVG là cần thiết. Đồng thời, triển khai các giải pháp phát hiện điểm cuối (EDR) có khả năng nhận diện các kỹ thuật thực thi mã độc không cần tệp. Việc này giúp giảm thiểu rủi ro từ các cuộc tấn công phức tạp, bảo vệ an ninh mạng.

Việc sử dụng tinh vi các tính năng hợp pháp của Windows như tệp CHM và ứng dụng HTA, kết hợp với các kỹ thuật né tránh tiên tiến, nhấn mạnh sự cần thiết của các phương pháp bảo mật đa lớp. Các phương pháp này phải có khả năng phát hiện và ngăn chặn các chuỗi tấn công phức tạp như vậy trước khi dữ liệu và tài nguyên quan trọng bị xâm phạm. Đây là yếu tố then chốt để duy trì an ninh mạng hiệu quả.

Indicators of Compromise (IOCs)

Dưới đây là danh sách các IOC liên quan đến chiến dịch mối đe dọa mạng này:

• npulvivgov[.]cfd
• ms-team-ping{1 to 10}[.]com
• azure-expresscontainer{1 to 10}[.]com
• acqua-tecnica[.]it
• phuyufact[.]com
• 109[.]176[.]207[.]110
• amaprox[.]click
• ama0899[.]shop