Trong một làn sóng tấn công mạng lừa đảo có chủ đích gần đây, nhóm tội phạm mạng Cavalry Werewolf đã gia tăng hoạt động bằng cách mạo danh các quan chức chính phủ và triển khai cả mã độc FoalShell lẫn StallionRAT. Những chiến thuật này nhấn mạnh sự khẩn cấp của việc duy trì giám sát tình báo mạng liên tục và áp dụng các biện pháp xác thực email mạnh mẽ.

Diễn Biến và Kỹ Thuật Lừa Đảo của Chiến Dịch Tấn Công Mạng Cavalry Werewolf

Chiến dịch của Cavalry Werewolf khởi đầu bằng việc đăng ký hoặc chiếm đoạt các địa chỉ email thuộc các cơ quan chính phủ Kyrgyzstan.

Các tác nhân đã mạo danh nhân viên từ Bộ Kinh tế và Thương mại, Bộ Văn hóa, Thông tin, Thể thao và Chính sách Thanh niên, và Bộ Giao thông và Truyền thông.

Trong một trường hợp đáng chú ý, chúng đã sử dụng một địa chỉ được lấy hợp pháp từ cơ quan quản lý của Cộng hòa Kyrgyzstan – có khả năng bị xâm phạm trong một chiến dịch trước đó – để tăng tính hợp pháp cho các chiêu thức lừa đảo, dẫn đến các tấn công mạng thành công hơn.

FoalShell – Trojan Reverse-Shell Đa Nền Tảng trong Các Tấn Công Mạng

Đặc điểm và Cơ chế Hoạt động

Các email lừa đảo được gửi đến kèm theo các tệp đính kèm RAR được đặt tên giống các tài liệu chính thức. Một số gói chứa FoalShell, một trojan reverse-shell được viết bằng Go, C++ và C#.

FoalShell hoạt động thông qua một phiên cmd.exe ẩn với đầu vào/đầu ra được chuyển hướng luồng.

Các tên tệp đã biết được quan sát thấy trong chiến dịch này bao gồm các tệp thực thi có tiêu đề tiếng Nga như:

• О результатах трёх месяцев совместной работы [redacted].exe
• Список сотрудников выдвинутых к премии ко Дню России.exe

Cả biến thể C# và C++ đều dựa vào việc tải shellcode vào bộ nhớ thông qua các lệnh gọi WinAPI (VirtualAlloc với quyền RWE, tiếp theo là ZwResumeThread), cho phép thực thi lén lút.

Dấu hiệu Phát Hiện Xâm Nhập FoalShell

Các chuyên gia săn lùng mối đe dọa có thể xác định hoạt động của FoalShell bằng cách theo dõi việc tạo các tệp lưu trữ đáng ngờ trong thư mục %LocalAppData%MicrosoftWindowsINetCacheContent.Outlook. Đây là nơi Outlook lưu trữ các tệp đính kèm đã tải xuống.

Ngoài ra, việc giám sát các tiến trình cmd.exe được khởi chạy bởi các tiến trình cha có tên giống tài liệu trong thư mục tạm thời hoặc thư mục người dùng có thể làm lộ việc thực thi reverse-shell.

Các tên tệp giả mạo các bản ghi nhớ của chính phủ hoặc kế hoạch dự án có thể đóng vai trò là cảnh báo đỏ khi chúng xuất hiện ngoài ngữ cảnh dự kiến.

StallionRAT – Remote Access Trojan Chính Yếu trong Tấn Công Mạng Hiện Tại

Cơ chế Khởi tạo và Điều khiển

Các gói khác được gửi đi đã che giấu StallionRAT, một remote access trojan đa năng tận dụng API bot của Telegram để thực hiện điều khiển và kiểm soát (C2). Để biết thêm chi tiết về việc lạm dụng API bot Telegram, có thể tham khảo nguồn này.

StallionRAT, được ghi nhận qua một trình khởi chạy C++, thực thi PowerShell với một lệnh được mã hóa Base64.

Lệnh này sẽ khởi tạo RAT và thiết lập liên lạc với bot Telegram. Tên tệp phổ biến bao gồm:

• Аппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа.exe

Khi hoạt động, StallionRAT gán một DeviceID ngẫu nhiên (từ 100 đến 10.000) và liên tục thăm dò API của Telegram để nhận lệnh bằng cách sử dụng getUpdates.

Các Lệnh Điều khiển Quan sát được

Phân tích đã tiết lộ các lệnh trên DeviceID 9139 đã thêm một khóa đăng ký duy trì Run key (WinRVN) trong HKCU và khởi chạy các tác nhân proxy SOCKS5 (rev.exe, revv2.exe) để chuyển tiếp lưu lượng. Các lệnh thu thập thông tin môi trường cũng được thực hiện. Thông tin chi tiết về proxy SOCKS5 có thể được tìm thấy tại đây.

Các lệnh reconnaissance quan sát được bao gồm:

ipconfig /all
netstat
whoami

Chỉ dẫn Phát Hiện Xâm Nhập StallionRAT

Các đội ngũ săn lùng mối đe dọa nên tìm kiếm các tiến trình PowerShell được gọi với các cờ như -EncodedCommand, -ExecutionPolicy Bypass, và -WindowStyle Hidden.

Mặc dù các cờ này được sử dụng hợp pháp, việc đối chiếu chúng với các tiến trình cha không mong muốn hoặc các tệp thực thi có tên tài liệu trong C:UsersPublicLibraries có thể giúp giảm nhiễu và tăng hiệu quả phát hiện xâm nhập.

Các Công Cụ Khác và Mối Đe Dọa Mạng Mở Rộng

Ngoài các mã độc đã xác định, có lý do để tin rằng các tác nhân tấn công có thể đã sử dụng các công cụ khác, chẳng hạn như AsyncRAT.

Điều này cho thấy mối đe dọa mạng do Cavalry Werewolf đặt ra có thể đa dạng và phức tạp hơn.

Indicators of Compromise (IOCs)

Tên tệp (Filenames)

• О результатах трёх месяцев совместной работы [redacted].exe (FoalShell)
• Список сотрудников выдвинутых к премии ко Дню России.exe (FoalShell)
• Аппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа.exe (StallionRAT)
• rev.exe (SOCKS5 Proxy Agent)
• revv2.exe (SOCKS5 Proxy Agent)

Khóa Registry (Registry Key)

• HKCUSoftwareMicrosoftWindowsCurrentVersionRun với giá trị WinRVN

Đường dẫn thư mục (Directories)

• %LocalAppData%MicrosoftWindowsINetCacheContent.Outlook (nơi Outlook lưu trữ tệp đính kèm)
• C:UsersPublicLibraries (nơi các tệp thực thi bất thường có thể xuất hiện)

Phòng Chống và Nâng Cao Năng Lực An Ninh Mạng

Ngay cả khi các cuộc tấn công mạng chưa được công khai, các nguồn cấp dữ liệu tình báo và cổng thông tin an ninh mạng khu vực cung cấp những hiểu biết kịp thời về các cụm mối đe dọa mới nổi như Cavalry Werewolf.

Các tổ chức phải đăng ký các nguồn này để ưu tiên các quy tắc phát hiện, cập nhật các giao thức xác thực email (SPF, DKIM, DMARC). Để hiểu rõ hơn về các giao thức xác thực email, bạn có thể xem tài liệu này. Đồng thời, cần thực thi cơ chế sandboxing nghiêm ngặt cho các tệp đính kèm. Thông tin chi tiết về chiến dịch tấn công của Cavalry Werewolf có thể được tìm thấy trong bài phân tích này.

Việc tự động hóa chấm điểm uy tín email và kích hoạt sandbox cho các tệp thực thi được đóng gói RAR có thể chặn các payload độc hại trước khi chúng được phân phối.

Bằng cách duy trì các giả thuyết săn lùng mối đe dọa cập nhật – theo dõi việc tạo file đáng ngờ trong bộ nhớ cache của Outlook, các sửa đổi registry Run bất thường, và các lệnh PowerShell lén lút – các đội ngũ an ninh có thể đi trước các đối thủ liên tục phát triển bộ công cụ tấn công mạng của họ.

Sự cảnh giác, kết hợp với tình báo thời gian thực, là yếu tố thiết yếu để ngăn chặn các vụ mạo danh tinh vi và triển khai RAT được sử dụng bởi mối đe dọa mạng đang phát triển này, giảm thiểu rủi ro tấn công mạng thành công.