Nghiên cứu mới nhất từ AhnLab Security Intelligence Center (ASEC) đã hé lộ một chiến dịch tấn công mạng tinh vi. Chiến dịch này đặc biệt ở chỗ lợi dụng các công cụ Quản lý và Giám sát Từ xa (RMM) hợp pháp để cài đặt phần mềm độc hại backdoor lên hệ thống của người dùng. Các công cụ RMM, vốn được thiết kế cho mục đích quản trị, lại bị biến thành vũ khí cho các mục đích độc hại.

Các cuộc tấn công mạng này đã lạm dụng LogMeIn Resolve (GoTo Resolve) và PDQ Connect. Đây là những công cụ quản trị hệ thống đáng tin cậy. Tuy nhiên, chúng đã bị biến thành phương tiện để đánh cắp dữ liệu và xâm nhập hệ thống từ xa, gây ra một rủi ro bảo mật nghiêm trọng.

Phương thức Lây nhiễm và Phân phối Mã độc

Vector lây nhiễm ban đầu của chiến dịch này vẫn đang được làm rõ. Tuy nhiên, các nhà nghiên cứu của ASEC đã phát hiện ra một phương pháp phổ biến. Kẻ tấn công thường dụ dỗ nạn nhân thông qua các trang web giả mạo. Những trang này được thiết kế để trông giống như các cổng tải xuống chính thức cho phần mềm phổ biến.

Các trang web lừa đảo này giả mạo hoàn hảo các trang tải xuống chính thức của nhiều tiện ích được sử dụng rộng rãi. Danh sách các phần mềm bị giả mạo bao gồm Notepad++, 7-Zip, WinRAR, VLC Media Player và thậm chí cả ChatGPT. Thay vì cung cấp phần mềm hợp pháp, chúng phân phối phiên bản LogMeIn Resolve đã bị sửa đổi bởi tác nhân đe dọa.

Để che giấu ý định độc hại, các trình cài đặt mã độc này được phân phối dưới nhiều tên tệp ngụy trang. Chúng được thiết kế để trông hoàn toàn hợp pháp và không gây nghi ngờ:

• notepad++.exe
• 7-zip.exe
• winrar.exe
• chatgpt.exe
• OpenAI.exe
• windows12_installer.exe

Khi người dùng không nghi ngờ tải xuống và thực thi các tệp này, họ vô tình cài đặt cả công cụ RMM hợp pháp và một mã độc bổ sung. Phần mềm độc hại này có khả năng thu thập và đánh cắp thông tin nhạy cảm từ hệ thống bị lây nhiễm.

Khai thác Công cụ RMM: Một Mối đe dọa Mạng Thầm lặng

LogMeIn Resolve là một giải pháp RMM được công nhận, thiết kế để hỗ trợ các chuyên gia IT. Nó cung cấp các chức năng quan trọng như hỗ trợ từ xa, quản lý bản vá và giám sát hệ thống. Tuy nhiên, chính những khả năng mạnh mẽ này lại khiến nó trở thành mục tiêu hấp dẫn cho tội phạm mạng. Chúng tìm cách lợi dụng công cụ này để vượt qua các biện pháp phòng thủ an ninh truyền thống.

Khác với phần mềm độc hại thông thường, các công cụ RMM thường có khả năng lẩn tránh sự phát hiện của phần mềm diệt virus và tường lửa. Điều này là do hành vi của chúng tương tự như phần mềm quản trị hệ thống hợp pháp. Việc này tạo ra một thách thức lớn trong việc phát hiện xâm nhập và ngăn chặn các cuộc tấn công mạng.

Chỉ số Nhận diện Tác nhân Đe dọa trong LogMeIn Resolve

Để xác định các tác nhân đe dọa sử dụng LogMeIn Resolve, chìa khóa nằm ở tệp cấu hình của công cụ. Cụ thể, trường CompanyId chứa định danh duy nhất của quản trị viên đã tạo gói cài đặt. Đây là một chỉ số quan trọng để phân biệt các cài đặt hợp pháp với các phiên bản độc hại.

Trong các chiến dịch tấn công mạng ở Hàn Quốc, ASEC đã xác định ba giá trị CompanyId riêng biệt liên quan đến các hoạt động độc hại:

8347338797131280000
1995653637248070000
4586548334491120000

Khi LogMeIn Resolve đã được cài đặt và kiểm soát, kẻ tấn công có thể giành quyền kiểm soát thông qua cơ sở hạ tầng của LogMeIn. Điều này cho phép chúng thực thi các lệnh PowerShell từ xa trên hệ thống bị xâm nhập và triển khai các payload mã độc bổ sung. Khả năng này mang lại cho kẻ tấn công quyền kiểm soát đáng kể.

Lạm dụng PDQ Connect để Triển khai PatoRAT

Song song với LogMeIn Resolve, các tác nhân đe dọa cũng đã vũ khí hóa PDQ Connect. Đây là một công cụ RMM hợp pháp khác, cung cấp khả năng phân phối phần mềm, quản lý bản vá và điều khiển từ xa. Tương tự như các cuộc tấn công mạng sử dụng LogMeIn, PDQ Connect bị lạm dụng để thực thi các lệnh PowerShell. Mục tiêu cuối cùng là cài đặt PatoRAT, một mã độc backdoor tinh vi và đầy đủ tính năng.

Phân tích Kỹ thuật Mã độc Backdoor PatoRAT

Mục tiêu cuối cùng của các chiến dịch tấn công mạng này là cài đặt PatoRAT. PatoRAT là một mã độc backdoor được phát triển bằng ngôn ngữ Delphi, nổi bật với khả năng rò rỉ dữ liệu và điều khiển từ xa rất rộng rãi. Đây là một công cụ mạnh mẽ trong tay kẻ tấn công.

Các nhà nghiên cứu đã phát hiện các chuỗi ngôn ngữ Bồ Đào Nha trong mã của mã độc này. Điều này gợi ý khả năng PatoRAT có nguồn gốc từ Brazil. Dữ liệu cấu hình của PatoRAT được bảo vệ bằng cách mã hóa. Nó sử dụng thuật toán XOR 1 byte với khóa 0xAA và được lưu trữ trong phần tài nguyên của tệp thực thi.

Khả năng Thu thập Thông tin và Chức năng Độc hại của PatoRAT

Khi được thực thi trên hệ thống mục tiêu, PatoRAT ngay lập tức bắt đầu thu thập thông tin hệ thống toàn diện. Sau đó, nó truyền dữ liệu này đến các máy chủ Command-and-Control (C2) của kẻ tấn công. Các thông tin được thu thập bao gồm:

• Chi tiết CPU (kiểu, số lõi)
• Tên máy tính và tên miền
• Phiên bản hệ điều hành
• Mức sử dụng bộ nhớ và tài nguyên hệ thống
• Các cửa sổ đang hoạt động trên màn hình
• Độ phân giải màn hình
• Quyền người dùng hiện tại và cấp độ đặc quyền

Mã độc này hỗ trợ một loạt các chức năng độc hại, cung cấp cho kẻ tấn công khả năng kiểm soát toàn diện hệ thống bị lây nhiễm:

• Kiểm soát chuột: Di chuyển và nhấp chuột từ xa.
• Keylogging: Ghi lại mọi thao tác bàn phím của người dùng.
• Chụp màn hình: Chụp ảnh màn hình định kỳ hoặc theo yêu cầu.
• Đánh cắp thông tin đăng nhập trình duyệt: Thu thập mật khẩu và dữ liệu nhạy cảm từ các trình duyệt.
• Truy cập máy tính từ xa: Sử dụng công nghệ HVNC (Hidden Virtual Network Computing) để điều khiển máy tính mà không hiển thị trên màn hình người dùng.
• Thực thi lệnh PowerShell: Chạy các lệnh tùy ý để thực hiện các hành động độc hại.
• Thao tác clipboard: Đọc và sửa đổi nội dung clipboard.

Ngoài ra, PatoRAT còn có thể cài đặt localtonet. Điều này được nghi ngờ là để thực hiện các hoạt động chuyển tiếp cổng, giúp kẻ tấn công duy trì quyền truy cập. Nó cũng hỗ trợ kiến trúc plugin, cho phép mở rộng chức năng và khả năng của mã độc theo ý muốn của kẻ tấn công.

Các Biện pháp Phòng ngừa và Phát hiện xâm nhập hiệu quả

Để giảm thiểu rủi ro bảo mật từ các loại tấn công mạng phức tạp này, người dùng và tổ chức cần tuân thủ các thực hành bảo mật nghiêm ngặt. Việc này giúp bảo vệ hệ thống khỏi các mối đe dọa tiềm ẩn:

• Nguồn tải xuống đáng tin cậy: Luôn chỉ tải phần mềm từ các trang web chính thức của nhà cung cấp. Tránh xa các trang web của bên thứ ba hoặc các nguồn không xác định.
• Xác minh phần mềm: Trước khi cài đặt bất kỳ phần mềm nào, hãy xác minh chữ ký số của nó và kiểm tra thông tin phiên bản để đảm bảo tính hợp lệ.
• Cập nhật hệ thống và bảo mật: Duy trì hệ điều hành và các giải pháp bảo mật (chẳng hạn như phần mềm diệt virus, EDR) được cập nhật liên tục với các bản vá mới nhất.
• Giám sát RMM: Theo dõi chặt chẽ các cài đặt và hoạt động của công cụ RMM trong môi trường của mình. Bất kỳ cài đặt RMM trái phép hoặc không rõ nguồn gốc nào đều cần được điều tra ngay lập tức.
• Kiểm soát mạng: Triển khai các kiểm soát ở cấp độ mạng để phát hiện các hoạt động truy cập từ xa đáng ngờ hoặc lưu lượng truy cập bất thường liên quan đến các công cụ RMM.

Các nhóm bảo mật cần đặc biệt chú ý đến các chỉ số xâm nhập (IOC). Cụ thể, hãy kiểm tra các giá trị CompanyId đã được xác định cho LogMeIn Resolve và các đặc điểm của PatoRAT trong môi trường của họ. Việc này giúp phát hiện xâm nhập tiềm ẩn sớm và phản ứng kịp thời. Để biết thêm thông tin chi tiết về chiến dịch này, bạn có thể tham khảo báo cáo của ASEC: ASEC Report on RMM Tool Abuse.