Nhóm APT Patchwork, còn được biết đến với các tên gọi như Dropping Elephant, Monsoon, và Hangover Group, gần đây đã bị phát hiện triển khai một trình tải (loader) dựa trên PowerShell mới. Loader này lợi dụng các tác vụ theo lịch trình (Windows Scheduled Tasks) để thực thi payload cuối cùng, là một phần trong chuỗi tấn công phức tạp nhằm vào các mục tiêu tình báo chính trị và quân sự. Hoạt động này một lần nữa khẳng định sự dai dẳng và khả năng thích nghi cao của nhóm trước các mối đe dọa mạng.

Kể từ ít nhất năm 2015, nhóm APT Patchwork đã tập trung vào thu thập thông tin tình báo chính trị và quân sự trên khắp khu vực Nam và Đông Nam Á. Chúng nổi tiếng với sự kiên trì, khả năng kỹ thuật xã hội vượt trội và thói quen tái sử dụng, tùy chỉnh các công cụ có sẵn thay vì tự phát triển exploit từ đầu.

Phân tích Kỹ thuật Cuộc Tấn công của Patchwork APT

Vector Lây nhiễm Ban đầu

Trong chiến dịch tấn công mới nhất, các mục tiêu nhận được một tài liệu Microsoft Office độc hại. Tài liệu này chứa một macro được thiết kế để kích hoạt chuỗi lây nhiễm.

Khi người dùng cho phép macro chạy, nó sẽ tải xuống một tệp tin tắt dạng LNK. Tệp LNK này, khi được mở, sẽ thực thi một script PowerShell được ngụy trang cẩn thận.

Hoạt động của Script PowerShell ban đầu

Script PowerShell này thực hiện nhiều hành động độc hại để thiết lập và duy trì sự kiểm soát:

• Tải xuống và tạo một tệp thực thi giả mạo có tên vlc.exe trong thư mục %AppData%RoamingMicrosoftWindowsTemplates. Đây là một nỗ lực để che giấu mục đích thực của mã độc.
• Tạo một tác vụ theo lịch trình mới có tên WindowsErrorReport. Tác vụ này được cấu hình để thực thi tệp vlc.exe giả mạo sau mỗi 5 phút, đảm bảo tính dai dẳng trên hệ thống bị xâm nhập.
• Vô hiệu hóa Antimalware Scan Interface (AMSI) và Event Tracing for Windows (ETW). Việc này làm suy yếu khả năng phát hiện của các giải pháp bảo mật và ghi lại hoạt động độc hại.
• Xóa các nhật ký sự kiện (event logs) từ các kênh PowerShell, System, Security và Application để xóa dấu vết tấn công.

Giai đoạn fStage: Thiết lập Kết nối C2

Khi tác vụ theo lịch trình kích hoạt vlc.exe, phương thức fStage của loader sẽ bắt đầu. Nó thiết lập một kênh bảo mật với máy chủ Command-and-Control (C2) của kẻ tấn công tại Program.muri.

Phương thức này thu thập thông tin hệ thống ban đầu từ nạn nhân. Sau đó, nó thực hiện các bước sau:

• Gửi dữ liệu đã thu thập đến máy chủ C2, bao gồm một khóa phiên (session key) duy nhất.
• Nhận phản hồi từ máy chủ C2. Phản hồi này được giải mã Base64 và giải mã XOR bằng khóa phiên để tạo ra tệp acc.xkey, được lưu trữ cho mục đích mã hóa trong tương lai.

Trong trường hợp phương thức fStage không thành công, nó sẽ thử lại sau mỗi năm giây, với tổng cộng lên đến hai mươi lần. Cơ chế này đảm bảo khả năng thiết lập kết nối ổn định ngay cả trong điều kiện mạng không thuận lợi.

Giai đoạn SStage: Thu thập Thông tin Hệ thống

Tiếp theo, phương thức SStage tiến hành kiểm kê chi tiết máy chủ bị xâm nhập, thu thập nhiều loại dữ liệu:

• Thông tin chi tiết về hệ điều hành (OS).
• Dữ liệu cấu hình mạng (network configuration).
• Danh sách các phần mềm đã cài đặt (installed software).
• Thông tin về các sản phẩm bảo mật (security products) đang chạy trên hệ thống.

Mỗi phần dữ liệu được thu thập đều được làm rối (XOR-obfuscated), mã hóa Base64 và xáo trộn bằng thuật toán Protean trước khi truyền đi. Đồng thời, phương thức bkj được khởi chạy để:

• Tạo một tệp thư mục mshta.exe mới trong thư mục %AppData%LocalMicrosoftWindowsINetCache.
• Thiết lập một tác vụ theo lịch trình khác để đảm bảo duy trì quyền truy cập (persistence).

Tất cả dữ liệu được thu thập cũng được làm rối tương tự và được gửi dưới dạng POST đến máy chủ C2. Khi quá trình này thành công, tính dai dẳng được xác nhận và các bộ đếm lỗi được đặt lại. Đây là một bước quan trọng trong chiến thuật của nhóm APT Patchwork để giữ vững sự hiện diện của mình.

Xử lý và Thực thi Lệnh từ C2

Chức năng _getCommand có nhiệm vụ truy xuất các lệnh từ kẻ tấn công. Nó ngụy trang lưu lượng truy cập bằng cách bắt chước các yêu cầu POST của biểu mẫu web hợp pháp, sử dụng tham số sltrg=pap.

Sau khi lệnh được thực thi, đầu ra và bất kỳ lỗi nào sẽ được kết hợp và thêm vào chuỗi phản hồi. Chuỗi này sau đó được gửi trở lại máy chủ Command-and-Control của kẻ tấn công bằng phương thức _sendResult.

Các phản hồi từ máy chủ C2 trải qua quá trình làm sạch bằng biểu thức chính quy (regex cleanup), giải làm rối đa lớp bằng thuật toán Charm(), giải mã Base64 hai lần và giải mã XOR bằng khóa phiên để thu được các lệnh dạng văn bản rõ (plaintext commands). Các lần thất bại sẽ kích hoạt tối đa hai mươi vòng lặp thử lại để duy trì tính tàng hình của cuộc tấn công.

Kỹ thuật Exfiltration Dữ liệu

Để đánh cắp đầu ra của các lệnh, mã độc sử dụng phương pháp mã hóa Scourgify. Nó gắn một ID nạn nhân duy nhất vào dữ liệu và gửi kết quả thông qua yêu cầu POST.

Các lần thử lại lên đến hai mươi chu kỳ đảm bảo việc gửi dữ liệu đáng tin cậy mà không gây ra cảnh báo. Phương pháp mô-đun và đa lớp này của Patchwork APT cho thấy tầm quan trọng của các biện pháp phòng thủ endpoint mạnh mẽ.

Để hiểu rõ hơn về các kỹ thuật của nhóm này, bạn có thể tham khảo phân tích chuyên sâu về Patchwork APT từ K7 Computing Labs.

Các Chỉ số Đe dọa (IOCs)

Dựa trên phân tích, một chỉ số đe dọa quan trọng đã được xác định:

• C2 Server URI:Program.muri (được quan sát khi thiết lập kênh bảo mật).

Người quản trị hệ thống nên kiểm tra nhật ký mạng và hệ thống để tìm kiếm các kết nối hoặc hoạt động liên quan đến chỉ số này.

Biện pháp Phòng ngừa và Bảo vệ Hệ thống

Để giảm thiểu rủi ro từ các cuộc tấn công của nhóm APT Patchwork và các mối đe dọa tương tự, cần áp dụng các biện pháp bảo mật chặt chẽ. Đảm bảo an ninh mạng toàn diện là yếu tố then chốt.

Các tổ chức và người dùng cần thực hiện các khuyến nghị sau:

• Chỉ cho phép macro từ các nguồn đáng tin cậy. Thiết lập chính sách bảo mật để vô hiệu hóa macro theo mặc định hoặc chỉ cho phép chúng chạy từ các vị trí đáng tin cậy.
• Giám sát các tác vụ theo lịch trình bất thường, đặc biệt là những tác vụ có tên đáng ngờ như WindowsErrorReport hoặc các tác vụ chạy các tệp thực thi lạ từ các vị trí không tiêu chuẩn.
• Thực thi danh sách trắng ứng dụng (application whitelisting) để chỉ cho phép các ứng dụng đã được phê duyệt chạy trên hệ thống. Điều này có thể phá vỡ chuỗi thực thi của loader độc hại.
• Triển khai một giải pháp bảo mật mạnh mẽ, ví dụ như K7 Total Security, với các chữ ký cập nhật và khả năng phát hiện dựa trên hành vi. Các giải pháp này có thể xác định và cách ly các kỹ thuật dựa trên PowerShell trước khi dữ liệu bị đánh cắp đáng kể.
• Luôn cảnh giác và cập nhật cả hệ điều hành lẫn phần mềm bảo mật. Việc cập nhật bản vá bảo mật thường xuyên là rất quan trọng để chống lại kho vũ khí đang phát triển của Patchwork APT.