Cavalry Werewolf, một nhóm tác nhân đe dọa dai dẳng cấp cao (APT) tập trung vào Nga, đã tăng cường các chiến dịch tấn công của mình. Nhóm này đang thử nghiệm các biến thể mã độc mới và sử dụng kênh điều khiển & kiểm soát (C2) dựa trên Telegram. Sự tinh vi trong hoạt động của Cavalry Werewolf APT đòi hỏi các đội ngũ bảo mật phải có khả năng hiển thị thời gian thực vào các công cụ mà nhóm này sử dụng.

Nếu không có thông tin kịp thời về FoalShell và StallionRAT, các nhà phòng thủ sẽ có nguy cơ bị tụt lại phía sau khi đối thủ liên tục hoàn thiện chiến thuật của mình. Điều này nhấn mạnh tầm quan trọng của việc hiểu rõ mọi mối đe dọa mạng đang phát triển.

Tổng quan Chiến dịch Tấn công của Cavalry Werewolf APT

Chiến thuật Phishing và Giả mạo Danh tính

Trong những tháng gần đây, Cavalry Werewolf APT đã thực hiện các chiến dịch lừa đảo mục tiêu (phishing) nhằm vào nhiều tổ chức của Nga. Các cuộc tấn công này sử dụng chiến thuật giả mạo danh tính tinh vi.

Kẻ tấn công giả mạo nhân viên từ các cơ quan chính phủ Kyrgyzstan, bao gồm Bộ Kinh tế và Thương mại, Bộ Văn hóa, Thông tin, Thể thao và Chính sách Thanh niên, và Bộ Giao thông và Truyền thông.

Mục đích là lừa dối người nhận mở các tệp lưu trữ độc hại. Các email lừa đảo này thường chứa các tệp đính kèm RAR, bên trong là các tệp nhị phân của FoalShell hoặc StallionRAT.

Khai thác Cơ sở hạ tầng Đáng tin cậy

Một chiến dịch của Cavalry Werewolf APT đã sử dụng địa chỉ email hợp pháp được thu thập và có khả năng bị xâm phạm từ trang web của cơ quan quản lý Cộng hòa Kyrgyzstan. Bằng cách tái sử dụng tài khoản hợp lệ này, đối thủ đã tăng cường độ tin cậy của các mồi nhử.

Chiến thuật này cho thấy khả năng của nhóm trong việc đột nhập vào cơ sở hạ tầng đáng tin cậy để phục vụ các hoạt động trong tương lai. Điều này làm nổi bật tầm quan trọng của việc xác minh cả danh tính người gửi và nội dung email – bao gồm văn bản, liên kết và tệp đính kèm – để chống lại các nỗ lực giả mạo phức tạp.

Để biết thêm chi tiết về cách Cavalry Werewolf tấn công các mục tiêu của Nga, có thể tham khảo từ Bi.zone: Cavalry Werewolf Atakuet Rossiyu Cherez Doveritelnye Otnosheniya Mezhdu Gosudarstvami.

Phân tích Mã độc FoalShell

Kiến trúc và Chức năng của FoalShell

FoalShell là một shell đảo ngược (reverse shell) đơn giản nhưng hiệu quả được phát triển bởi Cavalry Werewolf APT. Mã độc này được triển khai bằng các ngôn ngữ lập trình khác nhau như Go, C++ và C#, cho thấy sự đa dạng trong kỹ năng phát triển của nhóm.

Mỗi phiên bản của FoalShell đều cho phép thực thi ẩn cmd.exe, cấp cho kẻ tấn công quyền truy cập dòng lệnh đầy đủ trên các máy chủ bị xâm nhập. Khả năng này mang lại cho Cavalry Werewolf APT quyền kiểm soát đáng kể đối với các hệ thống mục tiêu.

Chỉ số Phát hiện và Phòng ngừa FoalShell

Các chuyên gia săn tìm mối đe dọa có thể phát hiện hoạt động của FoalShell bằng cách theo dõi các hành vi cụ thể. Điều này bao gồm việc giám sát các tệp lưu trữ đáng ngờ được tạo trong đường dẫn %LocalAppData%MicrosoftWindowsINetCacheContent.Outlook.

Ngoài ra, cần chú ý đến các tiến trình cmd.exe được sinh ra bởi các tệp thực thi gốc không mong muốn. Các vị trí phổ biến cho các tệp thực thi này là %Temp% hoặc %UserProfile%Downloads. Đây là những chỉ số quan trọng cho hoạt động phát hiện tấn công.

Phân tích Mã độc StallionRAT

Kiến trúc và Chức năng của StallionRAT

StallionRAT, một công cụ độc hại khác của Cavalry Werewolf APT, được viết bằng Go, PowerShell và Python. Mã độc này mở rộng khả năng của nhóm với các chức năng như thực thi lệnh tùy ý, tải tệp và đánh cắp dữ liệu (data exfiltration).

Điểm đáng chú ý của StallionRAT là việc sử dụng Telegram bot làm kênh C2. Điều này giúp kẻ tấn công duy trì kết nối với các máy chủ bị nhiễm một cách bí mật và khó bị phát hiện hơn.

Telegram C2 và Cơ chế Hoạt động

Một trình khởi chạy C++ kích hoạt StallionRAT thông qua một lệnh PowerShell được mã hóa Base64. Ví dụ về cách mã độc được kích hoạt:

powershell -nop -w hidden -EncodedCommand [Base64-encoded command]

Sau khi được kích hoạt, StallionRAT sẽ gán cho mỗi máy chủ một DeviceID ngẫu nhiên và truy xuất tên máy tính. Mã độc này liên tục thăm dò Telegram bot bằng chức năng getUpdates, thực thi các lệnh như /go [DeviceID] [command], /upload [DeviceID] và /list.

Lệnh Thực thi và Ảnh hưởng Hệ thống

Các lệnh được quan sát trên một máy chủ bị nhiễm (DeviceID 9139) cung cấp cái nhìn sâu sắc về các hoạt động của Cavalry Werewolf APT. Chúng bao gồm việc thiết lập duy trì quyền truy cập thông qua các khóa đăng ký Run.

Mã độc còn triển khai proxy SOCKS5 thông qua ReverseSocks5Agent và thực hiện các lệnh trinh sát môi trường như ipconfig /all, netstat và whoami. Việc này giúp kẻ tấn công thu thập thông tin về hệ thống và mạng nội bộ.

Chỉ số Phát hiện và Phòng ngừa StallionRAT

Để phát hiện tấn công liên quan đến StallionRAT, các đội ngũ bảo mật nên cấu hình các quy tắc tương quan cho các lần khởi chạy PowerShell có đối số -EncodedCommand. Việc này rất quan trọng vì đây là phương pháp kích hoạt chính của mã độc.

Ngoài ra, cần theo dõi việc tạo tệp trong C:UsersPublicLibraries cũng như các sửa đổi đăng ký đáng ngờ dưới HKCUSoftwareMicrosoftWindowsCurrentVersionRun. Những chỉ số này là chìa khóa để nhận diện và ngăn chặn hoạt động của StallionRAT.

Mở rộng Hoạt động và Công cụ Bổ sung

Phạm vi Địa lý Mở rộng của Cavalry Werewolf

Bằng chứng về các tệp lưu trữ tiếng Tajik (ví dụ: Номерхои коргархо new.rar) và các tệp có tên tiếng Ả Rập trên máy của kẻ tấn công cho thấy hoạt động của Cavalry Werewolf APT không chỉ giới hạn ở Nga và các nước SNG (CIS).

Thay vào đó, nhóm này có thể đã mở rộng phạm vi hoạt động sang khu vực Trung Á và Trung Đông. Đây là một minh chứng cho sự linh hoạt và khả năng thích ứng của mối đe dọa mạng này.

Sử dụng AsyncRAT và Khả năng Phát triển Liên tục

Các công cụ bổ sung, chẳng hạn như AsyncRAT, cũng có thể được sử dụng trong bộ công cụ của Cavalry Werewolf APT. Việc này cho thấy sự phát triển liên tục và đa dạng hóa các khả năng mã độc của nhóm.

Sự xuất hiện của các công cụ mới và sự mở rộng địa lý của các chiến dịch đòi hỏi các tổ chức phải liên tục cập nhật thông tin về mối đe dọa mạng và điều chỉnh chiến lược phòng thủ của mình.

Chiến lược Phòng thủ và Phát hiện Tấn công Hiệu quả

Theo dõi và Phân tích Nâng cao

Để phòng thủ hiệu quả chống lại Cavalry Werewolf APT, đòi hỏi việc giám sát tình báo mối đe dọa mạng (cyber threat intelligence) liên tục và khả năng săn tìm mối đe dọa (threat hunting) nhanh chóng. Các tổ chức cần tích hợp phân tích đo lường từ xa tự động để phát hiện các dấu hiệu sớm của cuộc tấn công.

Việc này bao gồm việc phân tích nhật ký hệ thống, lưu lượng mạng và các điểm cuối để tìm kiếm các bất thường. Một chiến lược phát hiện tấn công chủ động là điều cần thiết để đối phó với các APT như Cavalry Werewolf.

Xác minh Nguồn và Cập nhật Chữ ký

Cần thường xuyên cập nhật các chữ ký phát hiện cho các hành vi mới của FoalShell và StallionRAT. Đồng thời, việc xác thực người gửi email phải vượt xa các kiểm tra bề ngoài, tập trung vào các tiêu đề email, tên miền và các chỉ số xác thực như SPF, DKIM, DMARC.

Chỉ thông qua khả năng hiển thị công cụ cảnh giác và săn tìm mối đe dọa chủ động, các đội ngũ bảo mật mới có thể đi trước mối đe dọa mạng đang phát triển này và bảo vệ hệ thống của mình khỏi các cuộc xâm nhập tinh vi.