Bối cảnh mối đe dọa mạng đang chứng kiến một sự thay đổi đáng kể khi nhóm tấn công được biết đến với tên gọi Transparent Tribe, còn được theo dõi là APT36, chuyển hướng mục tiêu. Thay vì tập trung vào các tổ chức chính phủ truyền thống, nhóm này hiện nhắm vào hệ sinh thái các công ty khởi nghiệp trong lĩnh vực công nghệ, đặc biệt là những công ty hoạt động trong lĩnh vực an ninh mạng và tình báo.

Tổng quan về Chiến dịch Tấn công APT36

Nhóm Transparent Tribe đã hoạt động từ năm 2013 và gần đây đã triển khai mã độc nguy hiểm Crimson RAT để xâm nhập các công ty khởi nghiệp. Phương thức lây nhiễm chính là thông qua các email lừa đảo được ngụy tạo một cách tinh vi, chứa các tệp độc hại được che đậy như tài liệu hợp pháp.

Chiến dịch tấn công này được phát hiện sau khi các nhà nghiên cứu tìm thấy các tệp đáng ngờ được tải lên từ khu vực, chứa tài liệu theo chủ đề khởi nghiệp. Không giống như các hoạt động trước đây nhắm vào các tổ chức quốc phòng và giáo dục, chiến dịch hiện tại đặc biệt tập trung vào các cá nhân có liên quan đến các công ty khởi nghiệp cung cấp dịch vụ an ninh cho các cơ quan thực thi pháp luật.

Các kẻ tấn công đã sử dụng thông tin cá nhân của một nhà sáng lập khởi nghiệp có thật để tạo ra các tài liệu giả mạo trông rất thuyết phục, lừa gạt các nạn nhân. Theo phân tích của các nhà nghiên cứu Acronis, nhóm này phân phối mã độc thông qua các tệp tin dạng vùng chứa ISO được gửi qua email. (Nguồn: Acronis)

Cơ chế Lây nhiễm Mã độc Crimson RAT

Quá trình lây nhiễm bắt đầu khi nạn nhân nhận được một email chứa tệp có tên MeetBisht.iso. Khi người dùng mở tệp này, tưởng rằng đó là một bảng tính Excel, họ vô tình kích hoạt một chuỗi lệnh ẩn cài đặt mã độc RAT Crimson trên máy tính.

Phân tích Chuỗi Lây Nhiễm

• Tệp ISO độc hại: Bên trong tệp vùng chứa ISO là một tệp phím tắt (shortcut) đóng giả tài liệu Excel và một thư mục ẩn chứa ba thành phần:
• Một tài liệu mồi nhử để đánh lừa nạn nhân.
• Một tập lệnh batch (batch script) xử lý quá trình thực thi.
• Payload Crimson RAT thực sự được ngụy trang dưới dạng một tệp thực thi Excel.
• Kích hoạt mã độc: Khi được kích hoạt, tệp phím tắt độc hại sẽ khởi chạy một tập lệnh batch. Tập lệnh này đồng thời hiển thị một tệp Excel giả mạo trong khi bí mật sao chép mã độc vào các thư mục hệ thống của máy tính.
• Vô hiệu hóa cảnh báo bảo mật: Tập lệnh sử dụng các lệnh PowerShell để loại bỏ các cảnh báo bảo mật, vốn thường cảnh báo người dùng về các tệp đáng ngờ.
• Cài đặt và Khởi chạy: Sau đó, nó tạo một tệp thực thi được liên kết cứng với tên ngẫu nhiên trong thư mục dữ liệu ứng dụng của người dùng và khởi chạy mã độc từ vị trí được coi là đáng tin cậy này.

Mã độc RAT này cho phép kẻ tấn công theo dõi màn hình, ghi lại âm thanh, đánh cắp tệp và kiểm soát các hệ thống bị nhiễm mà nạn nhân không hề hay biết, gây ra rủi ro bảo mật nghiêm trọng.

Phân tích Kỹ thuật Mã độc Crimson RAT

Payload của Crimson RAT sử dụng các chiến thuật né tránh tinh vi để vượt qua các hệ thống bảo mật. Tệp mã độc xuất hiện với kích thước bị thổi phồng giả tạo lên 34 megabytes thông qua dữ liệu rác được nhúng. Mặc dù vậy, mã độc thực tế chỉ có kích thước từ 80 đến 150 kilobyte. Kỹ thuật “phình to” này giúp nó vượt qua các hệ thống phát hiện dựa trên chữ ký.

Ngoài ra, mã độc này sử dụng các tên hàm được ngẫu nhiên hóa hoàn toàn trong toàn bộ mã nguồn của nó, làm cho việc phân tích trở nên cực kỳ khó khăn. Nó giao tiếp với các máy chủ command-and-control (C2) bằng cách sử dụng các giao thức TCP tùy chỉnh trên các cổng không chuẩn.

Chỉ số Thỏa hiệp (IoCs) của Crimson RAT

Các cổng giao tiếp không chuẩn được mã độc Crimson RAT sử dụng để liên lạc với máy chủ C2 bao gồm:

• 18661
• 20856
• 26868
• 29261
• 36628

Biện pháp Phòng ngừa và Giảm thiểu Rủi ro đối với Mối đe dọa mạng này

Để bảo vệ tổ chức khỏi các cuộc tấn công mạng sử dụng mã độc RAT như Crimson, việc triển khai các biện pháp phòng ngừa là vô cùng cần thiết. Các khuyến nghị bao gồm:

Củng cố Bảo mật Email

• Các tổ chức nên triển khai các giải pháp lọc email để chặn các tệp đính kèm dựa trên ISO và các tệp vùng chứa khác từ các nguồn không xác định hoặc đáng ngờ.
• Xem xét cấu hình email gateway để kiểm tra sâu hơn các loại tệp tin có khả năng gây hại, đặc biệt là các tệp nén hoặc vùng chứa.

Đào tạo Nhận thức An ninh

• Thực hiện đào tạo nhận thức bảo mật thường xuyên giúp nhân viên nhận biết các chiến thuật kỹ thuật xã hội (social engineering), đặc biệt là các email lừa đảo (phishing emails) và các tài liệu giả mạo.
• Tăng cường khả năng nhận diện các dấu hiệu đáng ngờ trong email và tệp đính kèm.

Triển khai Giải pháp Phát hiện và Phản hồi Điểm cuối (EDR)

• Triển khai các giải pháp EDR có thể xác định hoạt động PowerShell đáng ngờ và các sửa đổi tệp không được ủy quyền trên các điểm cuối.
• Các giải pháp EDR hiện đại có khả năng phát hiện các hành vi bất thường, ngay cả khi mã độc sử dụng kỹ thuật né tránh.

Giám sát Mạng Chủ động

• Giám sát mạng phải được cấu hình để cảnh báo về các kết nối đi ra bất thường đến các cổng không chuẩn được Crimson RAT sử dụng, như đã liệt kê trong phần IoCs.
• Phân tích lưu lượng mạng có thể giúp phát hiện sớm các liên lạc C2.

Cập nhật Thông tin Tình báo về Mối đe dọa

• Duy trì và cập nhật liên tục các nguồn cấp dữ liệu tình báo về mối đe dọa mạng (threat intelligence feeds) đảm bảo bảo vệ chống lại các máy chủ C2 đã biết có liên quan đến các chiến dịch của Transparent Tribe.
• Thông tin tình báo giúp các hệ thống phòng thủ cập nhật các mẫu chữ ký và chỉ số xâm nhập mới nhất.