Trong khoảng thời gian từ tháng 5 đến tháng 8 năm 2025, nhóm mối đe dọa mạng nâng cao Cavalry Werewolf (còn được theo dõi dưới tên YoroTrooper và Silent Lynx) đã tiến hành một chiến dịch tấn công tinh vi. Nhóm này nhắm mục tiêu vào khu vực công và các ngành công nghiệp quan trọng của Nga, bao gồm năng lượng, khai thác mỏ và sản xuất. Cuộc tấn công được phối hợp chặt chẽ, tận dụng các mối quan hệ đáng tin cậy để thực hiện các cuộc tấn công spear-phishing có mục tiêu cao và triển khai một bộ phần mềm độc hại tùy chỉnh đa ngôn ngữ, khẳng định Cavalry Werewolf là một trong những mối đe dọa mạng APT dễ thích nghi và nguy hiểm nhất trong năm.

Chiến dịch Tấn công Mạng Mục tiêu Cao của Cavalry Werewolf

Chiến dịch tấn công mạng của Cavalry Werewolf chủ yếu dựa vào các email spear-phishing làm phương thức xâm nhập ban đầu. Các email này giả mạo là thông tin liên lạc chính thức từ các cơ quan chính phủ Kyrgyzstan.

Kỹ thuật Giả mạo và Mồi nhử Phishing

Những kẻ tấn công đã tạo ra các địa chỉ email giả mạo hoặc thậm chí chiếm đoạt các tài khoản chính thức từ các bộ ngành như Bộ Kinh tế và Thương mại hoặc Bộ Giao thông và Truyền thông. Bằng cách làm mờ ranh giới giữa giả mạo và xâm nhập trực tiếp, nhóm đã tối đa hóa độ tin cậy của các email lừa đảo.

Các mồi nhử phishing điển hình bao gồm các tệp lưu trữ RAR được ngụy trang thành tài liệu hợp pháp. Ví dụ về các tên tệp là “three-month results of joint operations” hoặc “shortlist of employees to receive bonuses”.

Phần mềm Độc hại Được Triển khai Ban đầu

Bên trong các tệp lưu trữ, nạn nhân tìm thấy một trong hai loại phần mềm độc hại: FoalShell, một backdoor reverse shell, hoặc StallionRAT, một trojan truy cập từ xa. Các họ mã độc này đóng vai trò trung tâm trong chiến thuật của Cavalry Werewolf để giành quyền kiểm soát lâu dài hệ thống bị xâm nhập.

Quá trình lây nhiễm bao gồm việc đọc tài nguyên, cấp phát bộ nhớ với quyền RWE (Read, Write, Execute) bằng VirtualAlloc, và sau đó thực thi shellcode.

Phân tích Phần mềm Độc hại Tùy chỉnh của Cavalry Werewolf

FoalShell: Backdoor Reverse Shell Đa Nền tảng

FoalShell là một reverse shell nhỏ gọn, với các biến thể được viết bằng C#, C++ và Go. Mục tiêu cốt lõi của nó là cung cấp cho kẻ tấn công quyền truy cập dòng lệnh đáng tin cậy trên các máy chủ bị nhiễm thông qua một tiến trình cmd.exe ẩn.

Chỉ dẫn Phát hiện FoalShell

Một mẹo quan trọng để các nhà phòng thủ phát hiện xâm nhập là giám sát việc tạo các tệp lưu trữ có tên giống tài liệu trong thư mục %LocalAppData%MicrosoftWindowsINetCacheContent.Outlook. Đây là một kho lưu trữ nổi tiếng cho các tệp được tải xuống qua Microsoft Outlook.

Các hoạt động săn lùng mối đe dọa mạng nên tập trung vào các thể hiện cmd.exe đáng ngờ được tạo ra bởi các tiến trình trong thư mục tạm thời hoặc với quyền kế thừa bất thường. Đồng thời, cần theo dõi các tiến trình thực thi nhiều quy trình khám phá hệ thống liên tiếp.

StallionRAT: Trojan Truy cập Từ xa Mạnh mẽ

StallionRAT là một trojan truy cập từ xa (RAT) giàu tính năng, được triển khai bằng Go, PowerShell và Python. Một điểm đặc biệt của nó là tận dụng các bot Telegram cho lệnh và kiểm soát (C2), giúp bỏ qua nhiều biện pháp phòng thủ mạng thông thường trước các mối đe dọa mạng.

Kỹ thuật Duy trì Quyền truy cập và Hoạt động Hậu xâm nhập

Khả năng duy trì quyền truy cập được thực hiện thông qua các khóa Registry Run. Các hoạt động hậu xâm nhập bao gồm triển khai các công cụ như ReverseSocks5Agent để tạo proxy SOCKS5, cho phép chuyển lưu lượng truy cập bên ngoài qua các đường hầm.

Các kết nối C2 đã được quan sát tại 96.9.125.168:443 và 78.128.112.209:10443. Các kỹ thuật trinh sát bao gồm các lệnh như ipconfig, netstat, whoami và net user /dom.

ipconfig
netstat
whoami
net user /dom

Chỉ dẫn Phát hiện StallionRAT

Các nhà phòng thủ nên đối chiếu việc sử dụng tham số -EncodedCommand trong PowerShell, giám sát thư mục C:UsersPublicLibraries để tìm các tệp nhị phân mới bị thả xuống, và theo dõi các hành vi duy trì quyền truy cập đáng ngờ trong registry.

Chỉ số IOCs và Dấu hiệu Mở rộng Phạm vi

Indicators of Compromise (IOCs)

Các chỉ số xâm nhập sau đây có thể giúp nhận diện và ngăn chặn các cuộc tấn công mạng của Cavalry Werewolf:

• Địa chỉ IP C2:
  • 96.9.125.168:443
  • 78.128.112.209:10443
• Đường dẫn file khả nghi:
  • %LocalAppData%MicrosoftWindowsINetCacheContent.Outlook (chứa các tệp lưu trữ độc hại)
  • C:UsersPublicLibraries (nơi các tệp nhị phân độc hại có thể bị thả xuống)
• Tiến trình khả nghi:
  • cmd.exe được tạo ra bởi các tiến trình trong thư mục tạm thời hoặc có quyền kế thừa bất thường.
  • Các tiến trình thực thi nhiều lệnh trinh sát hệ thống liên tiếp.

Mở rộng Mục tiêu và Bộ công cụ của Mối đe dọa mạng

Các dấu hiệu cho thấy khả năng mở rộng mục tiêu vượt ra ngoài các thực thể nói tiếng Nga. Các tệp bằng tiếng Tajik và các tạo phẩm máy tính để bàn bằng tiếng Ả Rập cho thấy các hoạt động trinh sát hoặc tấn công thử nghiệm đang diễn ra đối với Tajikistan và các khu vực ở Trung Đông.

Ngoài ra, các dấu vết của AsyncRAT chỉ ra sự đa dạng hóa bộ công cụ liên tục của nhóm. Nhóm Cavalry Werewolf tiếp tục phát triển, tạo ra một mối đe dọa mạng đáng kể và đòi hỏi sự cảnh giác cao độ.

Đối phó với Mối đe dọa mạng APT Hiện đại

Chiến dịch của Cavalry Werewolf là một ví dụ điển hình về sự tinh vi kỹ thuật và hoạt động ngày càng tăng của các nhóm APT hiện đại. Việc sử dụng thành thạo mã độc tùy chỉnh đa ngôn ngữ, C2 dựa trên Telegram và các cuộc tấn công spear-phishing lạm dụng sự tin cậy đặt ra một thách thức lớn cho các nhà phòng thủ.

Duy trì cảnh giác cao độ chống lại các mối đe dọa mạng đa vector như Cavalry Werewolf là điều cần thiết, đặc biệt khi nhóm này tiếp tục thích nghi và mở rộng các cuộc tấn công của mình. Để biết thêm chi tiết về nhóm APT này, bạn có thể tham khảo phân tích chuyên sâu về Cavalry Werewolf APT từ Picus Security.