Chiến dịch tấn công mạng ScarCruft mới nhất, do nhóm đe dọa dai dẳng nâng cao (APT) được chính phủ Triều Tiên bảo trợ với tên gọi ScarCruft (còn được biết đến với nhóm phụ ChinopuNK) thực hiện, đã nhắm mục tiêu vào người dùng Hàn Quốc. Chiến dịch này nổi bật với sự thay đổi chiến thuật đáng kể, từ các hoạt động gián điệp truyền thống sang triển khai mã độc tống tiền (ransomware) và sử dụng các backdoor phát triển bằng Rust, cho thấy một sự chuyển hướng tiềm năng sang các động cơ tài chính hoặc tống tiền.

Bối cảnh về nhóm APT ScarCruft và sự phát triển chiến thuật

Nhóm ScarCruft, được xác định lần đầu vào năm 2016, có lịch sử tập trung vào các hoạt động gián điệp chống lại những người Triều Tiên đào tẩu, các nhà báo và các thực thể chính phủ ở Hàn Quốc. Phạm vi hoạt động của nhóm đã mở rộng ra các quốc gia khác như Nhật Bản, Việt Nam, Nga, Nepal và các quốc gia Trung Đông.

Chiến dịch gần đây nhất cho thấy một sự phát triển đáng chú ý trong cách thức hoạt động của ScarCruft. Đây là lần đầu tiên nhóm này kết hợp việc triển khai ransomware và sử dụng các backdoor dựa trên ngôn ngữ lập trình Rust.

Điều này khác biệt so với các chiến thuật tập trung vào gián điệp truyền thống của nhóm, cho thấy một khả năng chuyển hướng sang các hoạt động gây gián đoạn hoặc tống tiền vì mục đích tài chính. Sự thay đổi này đánh dấu một bước tiến hóa quan trọng trong bức tranh tấn công mạng ScarCruft.

Phân tích chuỗi tấn công và cơ chế lây nhiễm

Cuộc tấn công bắt đầu bằng một tệp LNK độc hại được giấu trong một kho lưu trữ RAR. Khi người dùng thực thi tệp này, một trình tải (loader) dựa trên AutoIt sẽ được triển khai.

Trình tải AutoIt này sau đó sẽ truy xuất và thực thi một loạt các payload từ máy chủ C2 (command-and-control) bên ngoài. Các payload này bao gồm các công cụ đánh cắp thông tin (information stealer), mã độc tống tiền (ransomware) và backdoor.

Các giai đoạn khai thác ban đầu

Chuỗi lây nhiễm được ngụy trang dưới dạng thông báo cập nhật mã bưu chính, cho thấy một nỗ lực để đánh lừa người dùng. Nhóm Phân tích và Tình báo Mối đe dọa (TALON) của S2W đã phát hiện chiến dịch này, và liên kết nó với một nhóm con của ScarCruft, được đặt tên là ChinopuNK. Nhóm này chịu trách nhiệm phân phối mã độc Chinotto.

Khám phá bộ công cụ mã độc đa dạng của ScarCruft

Phân tích của TALON đã xác định chín mẫu mã độc riêng biệt, thể hiện khả năng thích ứng của ScarCruft trong việc tận dụng các ngôn ngữ lập trình đa dạng và các nền tảng nhắn tin thời gian thực cho giao tiếp C2. Sự đa dạng trong công cụ này thể hiện mức độ tinh vi của các chiến dịch tấn công mạng ScarCruft.

Để tìm hiểu sâu hơn về phân tích của TALON, bạn có thể tham khảo báo cáo chi tiết tại S2W Blog.

NubSpy – Backdoor qua PubNub

Trong số các mẫu mã độc này, NubSpy nổi bật là một backdoor khai thác hạ tầng nhắn tin publish-subscribe của PubNub cho các hoạt động C2 lén lút. NubSpy cho phép thực thi lệnh hai chiều và trích xuất dữ liệu mà không phụ thuộc vào các máy chủ truyền thống.

Sự phụ thuộc vào các dịch vụ như PubNub và Ably, đã được quan sát ít nhất từ năm 2017, củng cố sự quy kết cho ScarCruft. Điều này phù hợp với mô hình của nhóm trong việc lạm dụng các dịch vụ nhắn tin dựa trên đám mây hợp pháp để trốn tránh các cơ chế phát hiện dựa trên mạng.

LightPeek – Công cụ thu thập thông tin

LightPeek là một công cụ đánh cắp thông tin dựa trên PowerShell được thiết kế để trinh sát. Mã độc này thu thập các siêu dữ liệu hệ thống, thông tin đăng nhập trình duyệt và danh sách tệp để trích xuất dữ liệu có mục tiêu.

TxPyLoader – Kỹ thuật Process Injection nâng cao

Bổ sung cho LightPeek là TxPyLoader, một trình tải được viết bằng Python. TxPyLoader sử dụng kỹ thuật Transacted Hollowing, một phương pháp tiêm tiến trình (process injection) lợi dụng các tiến trình hợp pháp bằng cách sử dụng các thao tác NTFS giao dịch. Kỹ thuật này giúp mã độc lẩn tránh các công cụ phân tích pháp y bộ nhớ và các công cụ phát hiện và phản hồi điểm cuối (EDR).

FadeStealer và VCD Ransomware

FadeStealer, một công cụ đã được tài liệu hóa trước đây liên quan đến ScarCruft, hỗ trợ việc trích xuất dữ liệu thông qua các kênh được mã hóa. Trong khi đó, VCD Ransomware mới được phát hiện sẽ mã hóa các tệp của nạn nhân với phần mở rộng .VCD.

Mã độc này sử dụng các thuật toán mật mã mạnh mẽ, có thể được lấy từ AES hoặc các thuật toán đối xứng tương tự, để làm cho dữ liệu không thể truy cập được nếu không có khóa giải mã. Sự xuất hiện của ransomware là một bước ngoặt lớn trong các chiến dịch tấn công mạng ScarCruft.

CHILLYCHINO – Backdoor dựa trên Rust

Có lẽ thú vị nhất là CHILLYCHINO, một backdoor dựa trên Rust được chuyển đổi từ một biến thể PowerShell trước đó. CHILLYCHINO tận dụng các tính năng an toàn bộ nhớ và hiệu suất của Rust để tăng cường khả năng chống lại kỹ thuật đảo ngược (reverse engineering) và phân tích thời gian chạy (runtime analysis).

Dấu hiệu nhận biết và chỉ số thỏa hiệp (IOCs)

Các chỉ số thỏa hiệp dưới đây đã được xác định liên quan đến chiến dịch tấn công mạng ScarCruft này:

• Các chủng mã độc:
  • Chinotto
  • NubSpy (Backdoor C2 qua PubNub)
  • LightPeek (PowerShell Information Stealer)
  • TxPyLoader (Python loader với Transacted Hollowing)
  • FadeStealer (Data Exfiltration Tool)
  • VCD Ransomware
  • CHILLYCHINO (Rust-based Backdoor)
• Phần mở rộng tệp bị mã hóa:.VCD (do VCD Ransomware)
• Kỹ thuật C2: Sử dụng các dịch vụ nhắn tin đám mây hợp pháp như PubNub và Ably.

Sự tiến hóa trong chiến thuật và ngụ ý chiến lược

Sự tinh vi về kỹ thuật của chiến dịch này nhấn mạnh việc ScarCruft có các nhóm con nội bộ, với ChinopuNK được S2W dán nhãn là “tác nhân đe dọa Triều Tiên chưa được xác định một phần”, thể hiện các khung mã độc riêng biệt được xây dựng dựa trên các cơ sở mã nguồn chia sẻ.

Việc nhóm này áp dụng các ngôn ngữ hiện đại như Rust và Go, như đã thấy trong các công cụ trước đây như AblyGo, cho thấy sự nhấn mạnh chiến lược vào khả năng tương thích đa nền tảng, giảm thiểu lỗ hổng và cải thiện khả năng che giấu để ngăn chặn phân tích tĩnh và động.

Việc đưa ransomware vào chiến dịch thể hiện một sự thay đổi mô hình, có khả năng pha trộn hoạt động gián điệp với khả năng phá hoại để khuếch đại tác động hoặc tạo doanh thu thông qua tống tiền. Điều này đi chệch khỏi trọng tâm trinh sát không gây gián đoạn trong lịch sử của ScarCruft.

Việc quy kết được củng cố bởi sự trùng lặp mã nguồn, chẳng hạn như các quy trình mã hóa chung và các mẫu C2, liên kết các mẫu này với các phân phối Chinotto trước đó. Việc sử dụng PubNub cho C2 của NubSpy là một ví dụ về việc ScarCruft kiên trì khai thác các nền tảng thời gian thực, cho phép truyền lệnh với độ trễ thấp đồng thời hòa trộn lưu lượng độc hại với các lệnh gọi API hợp pháp. Điều này không chỉ làm phức tạp việc săn lùng mối đe dọa mà còn làm nổi bật sự trưởng thành trong hoạt động của nhóm trong việc điều chỉnh các cơ sở mã nguồn mở hoặc có sẵn công khai thành các mối đe dọa chuyên biệt. Đây là một đặc điểm đáng chú ý của các chiến dịch tấn công mạng ScarCruft.

Khuyến nghị bảo mật và phát hiện mối đe dọa

Khi các biện pháp phòng thủ mạng phát triển, những đổi mới của ScarCruft trong phát triển mã độc, từ các trình tải AutoIt đến các backdoor Rust, báo hiệu một cuộc chạy đua vũ trang đang diễn ra. Điều này thôi thúc các tổ chức tăng cường giám sát các dịch vụ nhắn tin đám mây và triển khai phân tích hành vi nâng cao để phát hiện các mối đe dọa đa hình như vậy.

Mặc dù báo cáo kỹ thuật đầy đủ chi tiết hơn các chỉ số thỏa hiệp và chiến lược giảm thiểu, chiến dịch này đóng vai trò là một lời nhắc nhở rõ ràng về sự mờ nhạt giữa hoạt động gián điệp do nhà nước bảo trợ và tội phạm mạng, với những tác động đáng kể đến lập trường an ninh mạng toàn cầu.