Trong một chiến dịch mới được phát hiện, nhóm Bitter APT (còn được theo dõi là APT-Q-37) đã sử dụng kết hợp macro Office độc hại và một lỗ hổng WinRAR path traversal chưa được công bố trước đây để phát tán mã độc C# backdoor. Mục tiêu cuối cùng là đánh cắp thông tin nhạy cảm từ các tổ chức có giá trị cao.

Hoạt Động Gần Đây của Nhóm Bitter APT

Các nhà nghiên cứu tại Qi’anxin Threat Intelligence Center đã cảnh báo về chiến dịch đa chiều này. Nó minh họa sự phát triển trong chiến thuật của nhóm và trọng tâm của chúng vào các mục tiêu giá trị cao.

Các mục tiêu bao gồm chính phủ, ngành điện lực và quân sự tại Trung Quốc, Pakistan cùng các khu vực chiến lược khác.

Mục Tiêu và Lịch Sử

Bitter, hay 蔓灵花, được cho là hoạt động từ một căn cứ ở Nam Á và đã hoạt động trong nhiều năm. Nhóm đã thực hiện các hoạt động gián điệp mạng có mục tiêu cao chống lại các cơ quan chính phủ và nhà điều hành cơ sở hạ tầng quan trọng.

Bộ công cụ của chúng theo truyền thống bao gồm email spear-phishing chứa tài liệu Office có macro và các backdoor tùy chỉnh.

Phân tích gần đây về cơ sở hạ tầng mạng và các mẫu script đã củng cố việc gán trách nhiệm cho nhóm Bitter APT, đặc biệt là việc sử dụng các tên miền phù hợp với các chiến dịch Vermillion Bitter trước đây.

Chiến Dịch Tấn Công Đa Phương Thức

Các nhà phân tích của Qi’anxin đã khôi phục nhiều mẫu cho thấy hai chế độ tấn công. Cả hai chế độ đều dẫn đến việc triển khai mã độc C# backdoor có khả năng tải về và thực thi các tệp EXE tùy ý từ máy chủ từ xa.

Bạn có thể tham khảo báo cáo chi tiết từ Qi’anxin tại: Qi’anxin Threat Intelligence Report.

Chế Độ Tấn Công 1: Khai Thác Macro Office

Trong chế độ này, một tệp XLAM độc hại có tên Nominated Officials for the Conference.xlam yêu cầu nạn nhân bật macro. Sau đó, nó hiển thị thông báo giả mạo “File parsing failed” để đánh lừa người dùng.

Quy Trình Lây Nhiễm

• Macro VBA nhúng giải mã một tệp nguồn C# được mã hóa Base64 thành C:ProgramDatacayote.log.
• Mã này sau đó được biên dịch thành C:ProgramDataUSOSharedvlcplayer.dll bằng cách sử dụng csc.exe.
• Tệp được cài đặt thông qua InstallUtil.exe.

Thiết Lập Duy Trì

Tính bền vững đạt được thông qua một script batch đặt trong thư mục Startup. Script này lên lịch các kết nối định kỳ tới một địa chỉ C2 để truy xuất thêm lệnh.

REM Example of persistence script
@echo off
schtasks /create /tn "Microsoft Update Task" /tr "cmd /c start %APPDATA%MicrosoftWindowsStart MenuProgramsStartupupdate.bat" /sc HOURLY /ru SYSTEM

Lưu ý: Đoạn mã trên chỉ là ví dụ minh họa cơ chế. Script thực tế có thể khác.

Chế Độ Tấn Công 2: Khai Thác Lỗ Hổng WinRAR

Trong chế độ này, những kẻ tấn công khai thác một lỗ hổng WinRAR path traversal để ghi đè lên mẫu Word của người dùng (Normal.dotm).

Kỹ Thuật Path Traversal

Bằng cách đóng gói cả tệp Document.docx trông có vẻ lành tính và tệp Normal.dotm bị che giấu bên trong một kho lưu trữ RAR được tạo thủ công, khai thác này đảm bảo rằng khi nạn nhân giải nén kho lưu trữ (thường trực tiếp vào thư mục Downloads của họ), mẫu độc hại sẽ thay thế mẫu hợp pháp.

Cơ Chế Khai Thác

Khi bất kỳ tệp DOCX nào được mở, Word sẽ tải Normal.dotm đã bị sửa đổi. Tệp này sau đó gắn một chia sẻ từ xa và thực thi winnsc.exe, chính là mã độc C# backdoor đã được quan sát trước đó.

Các giả định ban đầu chỉ ra CVE-2025-8088, nhưng thử nghiệm đã xác nhận lỗ hổng này ảnh hưởng đến các phiên bản WinRAR trước 7.12, cho thấy đây là một lỗ hổng cũ hơn, chưa được vá. Điều này nhấn mạnh tầm quan trọng của việc cập nhật bản vá bảo mật thường xuyên.

Cơ Chế Hoạt Động của Mã Độc C# Backdoor

Logic backdoor tương tự có mặt trong cả vlcplayer.dll (Chế độ 1) và winnsc.exe (Chế độ 2), xác nhận rằng cả hai phương thức tấn công cuối cùng đều hội tụ về một implant chung của nhóm Bitter APT.

Mô Tả Kỹ Thuật

Mã nguồn của backdoor, được lưu trữ trong cayote.log, sử dụng các thuật toán giải mã AES để che giấu các chuỗi cấu hình. Vòng lặp chính của nó thu thập chi tiết thiết bị.

Thu Thập Thông Tin và Giao Tiếp C2

Backdoor thu thập các thông tin như phiên bản hệ điều hành, kiến trúc, tên máy chủ và đường dẫn thư mục tạm thời. Các thông tin này được truyền đi qua phương thức POST tới các máy chủ C2.

Phản hồi từ máy chủ mã hóa các hướng dẫn tải xuống cho các payload EXE bổ sung.

Tải Về và Thực Thi Payload Phụ

Các yêu cầu tiếp theo đến drdxcsv34.php sẽ tìm nạp dữ liệu EXE thô. Mã độc sẽ sửa chữa bằng cách thêm tiền tố DOS header trước khi xác thực và thực thi tệp nhị phân. Kết quả thực thi được báo cáo lại cho drxcvg45.php.

Chỉ Số Nhận Dạng Compromise (IOCs)

Các chỉ số này giúp xác định và phát hiện sự hiện diện của nhóm Bitter APT trong môi trường của bạn.

Tên Tệp và Đường Dẫn

• C:ProgramDatacayote.log
• C:ProgramDataUSOSharedvlcplayer.dll

Máy Chủ C&C

• hxxps://www.keeferbeautytrends.com/d6Z2.php?rz=
• hxxps://msoffice.365cloudz.esanojinjasvc.com/cloudzx/msweb/drxbds23.php
• hxxps://msoffice.365cloudz.esanojinjasvc.com/cloudzx/msweb/drdxcsv34.php
• hxxps://msoffice.365cloudz.esanojinjasvc.com/cloudzx/msweb/drxcvg45.php
• teamlogin.esanojinjasvc.com

Nhiều tên miền như teamlogin.esanojinjasvc.com đóng vai trò là cơ sở hạ tầng C2. Tất cả đều được đăng ký vào tháng 4 năm 2025, củng cố kết luận rằng các mẫu này có nguồn gốc từ một hoạt động duy nhất của nhóm Bitter APT.

Khuyến Nghị Bảo Mật và Phòng Chống

Qi’anxin Threat Intelligence Center kêu gọi các tổ chức áp dụng một chiến lược phòng thủ đa lớp để chống lại mối đe dọa mạng từ các nhóm Bitter APT.

Chiến Lược Phòng Thủ

• Thực hiện các biện pháp an ninh mạng toàn diện, bao gồm bảo vệ điểm cuối (endpoint protection) và hệ thống phát hiện xâm nhập (IDS/IPS).
• Đào tạo nhận thức về an toàn thông tin cho người dùng để phòng tránh các cuộc tấn công lừa đảo (phishing) và kỹ thuật xã hội (social engineering).

Quản Lý Bản Vá và Săn Lùng Mối Đe Dọa

• Thường xuyên cập nhật bản vá bảo mật cho tất cả phần mềm, đặc biệt là các ứng dụng Office và công cụ giải nén như WinRAR.
• Thực hiện săn lùng mối đe dọa (threat hunting) chủ động để phát hiện các dấu hiệu xâm nhập sớm.

Bằng cách kết hợp kỹ thuật xã hội và khai thác lỗ hổng zero-day (mặc dù lỗ hổng WinRAR này được xác định là cũ hơn, chưa vá), nhóm Bitter APT đã thể hiện sự linh hoạt trong việc mở rộng khả năng tấn công. Sự cảnh giác, quản lý bản vá kịp thời và săn lùng mối đe dọa chủ động vẫn là yếu tố then chốt để ngăn chặn những cuộc xâm nhập tinh vi như vậy.