Nhóm tấn công nâng cao dai dẳng (APT) có tên Ferocious Kitten, hoạt động ít nhất từ năm 2015, đã trở thành một mối đe dọa mạng đáng kể đối với những người bất đồng chính kiến và các nhà hoạt động nói tiếng Ba Tư trong lãnh thổ Iran. Nhóm này nổi tiếng với việc nhắm mục tiêu cẩn thận và chiến thuật phát triển liên tục, triển khai mã độc tùy chỉnh MarkiRAT để thực hiện các hoạt động giám sát bí mật và lẩn tránh các hệ thống phòng thủ phức tạp.

Mã Độc MarkiRAT: Vũ Khí Gián Điệp Tùy Chỉnh

MarkiRAT là một công cụ gián điệp tinh vi được thiết kế để thu thập thông tin nhạy cảm từ các hệ thống bị xâm nhập. Những khả năng này đặt ra một mối đe dọa mạng nghiêm trọng đối với quyền riêng tư và an ninh dữ liệu. Các chức năng của nó bao gồm một loạt các hoạt động giám sát chi tiết:

• Ghi lại thao tác gõ phím (keystroke logging).
• Ghi lại nội dung clipboard.
• Chụp ảnh màn hình định kỳ.
• Đánh cắp thông tin đăng nhập (credential theft).
• Thực hiện các nhiệm vụ giám sát khác để đạt được mục tiêu tình báo.

Kỹ Thuật Xâm Nhập Ban Đầu của Cuộc Tấn Công Mạng

Các chiến dịch của Ferocious Kitten thường bắt đầu bằng việc sử dụng các tài liệu mồi nhử có nội dung chính trị nhạy cảm, được thiết kế riêng để thu hút nạn nhân. Qua nhiều năm, nhóm này đã hoàn thiện phương pháp xâm nhập ban đầu của mình thông qua các email lừa đảo (spearphishing).

Lừa Đảo Spearphishing và Khai Thác Microsoft Office

Các email lừa đảo chứa các tệp Microsoft Office độc hại, được nhúng macro hoặc khai thác lỗ hổng MSHTML. Khi nạn nhân mở các tệp đính kèm này, mã độc MarkiRAT sẽ được thả xuống hệ thống của họ. Các phương pháp này hình thành một phần quan trọng của mối đe dọa mạng tổng thể mà Ferocious Kitten gây ra.

Ví dụ về tài liệu mồi nhử bao gồm tệp như “همبستگی عاشقانه با عاشقان آزادی2.doc” (tạm dịch: “Tình đoàn kết lãng mạn với những người yêu tự do 2.doc”). Những tài liệu này kết hợp chỉ trích chế độ với macro nhúng để phát tán mã độc. Chúng không chỉ đóng vai trò là vector lây nhiễm mà còn là công cụ tâm lý chống lại chế độ.

Thông tin chi tiết hơn về các chiến dịch này có thể được tìm thấy tại báo cáo của Picus Security.

Cơ Chế Duy Trì Quyền Truy Cập (Persistence)

Sau khi được kích hoạt, mã độc MarkiRAT giải mã payload và cài đặt nó vào thư mục khởi động của hệ thống (startup folder) để duy trì quyền truy cập dai dẳng. Đây là một bước quan trọng để đảm bảo kẻ tấn công có thể tiếp tục chiếm quyền điều khiển hệ thống.

Chiếm Đoạt Phím Tắt Ứng Dụng Hợp Pháp

Mã độc này thường cài đặt song song với các ứng dụng hợp pháp như Telegram hoặc Chrome. Nó sửa đổi các phím tắt của các ứng dụng này, khiến cho MarkiRAT được khởi chạy mỗi khi người dùng mở ứng dụng thông thường của họ. Kỹ thuật chiếm đoạt tinh vi này làm tăng cường mối đe dọa mạng đối với tính toàn vẹn của hệ thống và giảm thiểu sự nghi ngờ từ phía người dùng.

Chiến Thuật Lẩn Tránh và Giám Sát Chi Tiết

Ferocious Kitten triển khai nhiều chiến thuật để lẩn tránh các giải pháp bảo mật và thực hiện giám sát sâu rộng, làm trầm trọng thêm mối đe dọa mạng tổng thể.

Phát Hiện Phần Mềm Bảo Mật

MarkiRAT có khả năng quét để phát hiện các phần mềm bảo mật như Kaspersky hoặc Bitdefender. Thông tin này được báo cáo về máy chủ C2 (Command and Control). Tuy nhiên, các mẫu mã độc được quan sát vẫn tiếp tục hoạt động mà không bị cản trở bởi sự hiện diện của các phần mềm này.

Việc triển khai các chiến thuật ngụy trang (masquerading) và di chuyển ngang (lateral movement) cho thấy nhận thức tinh vi của các nhà điều hành nhóm về môi trường mục tiêu, một đặc điểm của mối đe dọa mạng tiên tiến.

Giám Sát và Đánh Cắp Thông Tin Chi Tiết

Một trong những chức năng chính của MarkiRAT là module ghi nhật ký phím mạnh mẽ, được nghi ngờ do tên nội bộ của nó là “Mark KeyLogGer”. Module này ghi lại mọi thao tác gõ phím và hoạt động clipboard, sau đó lọc dữ liệu qua các kênh được mã hóa.

Mã độc buộc đóng các trình quản lý mật khẩu như KeePass trước khi kích hoạt keylogger, đảm bảo nó có thể thu thập các mật khẩu chính ngay khi người dùng khởi chạy lại.

Giao Tiếp C2 và Khai Thác Dữ Liệu

MarkiRAT sử dụng các yêu cầu HTTP và HTTPS để giao tiếp với máy chủ C2, sử dụng phương thức GET và POST để nhận lệnh và lọc dữ liệu. Khả năng này làm cho mối đe dọa mạng trở nên khó bị phát hiện hơn và tăng cường hiệu quả thu thập thông tin.

Dữ liệu bị khai thác rất đa dạng, bao gồm:

• Ảnh chụp màn hình.
• Danh sách thư mục.
• Các tệp tùy ý.
• Các kho lưu trữ thông tin đăng nhập mục tiêu (ví dụ: tệp .kdbx, .gpg).

Mã độc có thể thực thi các lệnh nhận được, tải lên hoặc tải xuống tệp, và thu thập các hiện vật nhạy cảm trên một loạt các ứng dụng, đây là một khả năng tấn công mạng nguy hiểm.

Đánh Giá và Củng Cố Biện Pháp Phòng Thủ

Để đối phó với các nhóm APT như Ferocious Kitten và các chiến dịch mối đe dọa mạng tương tự, các đội ngũ bảo mật cần liên tục đánh giá và củng cố các biện pháp kiểm soát an ninh của mình.

Các nền tảng đánh giá bảo mật (Security Validation Platform) có thể mô phỏng các kịch bản tấn công thực tế, bao gồm cả các phương pháp của Ferocious Kitten. Điều này giúp các tổ chức tinh chỉnh khả năng phát hiện và phòng ngừa. Việc sử dụng các thư viện mối đe dọa toàn diện và các công cụ mô phỏng là cần thiết để xác thực ngay lập tức khả năng phòng thủ chống lại các APT nổi bật và các mối đe dọa mạng phức tạp khác.

Ferocious Kitten tiếp tục thích nghi, kết hợp kỹ thuật xã hội đáng tin cậy với việc lạm dụng kỹ thuật sáng tạo. Mã độc MarkiRAT của chúng cung cấp khả năng giám sát sâu rộng, kết hợp với tính bền bỉ và khả năng lẩn tránh mạnh mẽ. Đây là một mối đe dọa mạng dai dẳng đối với các nhà hoạt động và tổ chức trong không gian kỹ thuật số của Iran. Việc đi trước các mối đe dọa này đòi hỏi sự phát hiện cảnh giác, đào tạo người dùng và xác thực liên tục các biện pháp kiểm soát bảo mật.