Một biến thể mã độc SoupDealer mới đã cho thấy khả năng vượt qua hầu hết các giải pháp hộp cát công cộng và phần mềm chống virus, ngoại trừ Threat.Zone. Theo các tài liệu ghi nhận trong thực tế, mã độc SoupDealer cũng né tránh hiệu quả các hệ thống phát hiện và phản hồi điểm cuối (EDR) và mở rộng (XDR). Mối đe dọa tiên tiến này đã gây ra thiệt hại đáng kể trên nhiều lĩnh vực, bao gồm ngân hàng, nhà cung cấp dịch vụ internet (ISP) và các tổ chức quy mô vừa. Điều này nhấn mạnh tầm quan trọng của các hộp cát tại chỗ (on-premises sandboxes) trong việc bảo vệ cơ sở hạ tầng thiết yếu, cũng như giá trị của phân tích động thực sự đối với đội ngũ trung tâm điều hành an ninh (SOC).

Chiến dịch Tấn công và Mục tiêu

Các cuộc điều tra gần đây của các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch lừa đảo (phishing) có chủ đích nhắm vào các hệ thống Windows tại Türkiye. Cụ thể, chiến dịch này tập trung vào các hệ thống được cấu hình với ngôn ngữ Thổ Nhĩ Kỳ. Điều này làm nổi bật trọng tâm địa lý cụ thể của mã độc và khả năng của nó trong việc hòa nhập vào các môi trường bản địa hóa.

Chiến dịch này phát tán mã độc SoupDealer thông qua các email lừa đảo. Các email chứa một trình tải ba giai đoạn, ngụy trang dưới dạng các tệp như “TEKLIFALINACAKURUNLER.jar” hoặc “FIYATTEKLIFI.JAR”.

Cơ chế Hoạt động và Tồn tại

Thiết lập Kết nối và Kiểm tra Môi trường

Khi được thực thi, mã độc sử dụng các phương pháp thiết lập tồn tại tinh vi. Nó bao gồm việc tải xuống trình duyệt TOR để thiết lập các kênh liên lạc điều khiển và ra lệnh (C2) ẩn danh, đồng thời lên lịch các tác vụ để tự động chạy.

Mã độc kiểm tra vị trí và cài đặt ngôn ngữ của mục tiêu để đảm bảo chỉ hoạt động trong lãnh thổ Türkiye. Sau đó, nó sẽ đánh cắp thông tin thiết bị và cấp quyền kiểm soát từ xa hoàn toàn dựa trên các chỉ thị từ máy chủ C2. Botnet tự lan truyền này tận dụng tài khoản email của các máy khách bị nhiễm để tiếp tục phát tán dưới sự chỉ dẫn của C2, mở rộng phạm vi tiếp cận trong các mạng.

Kiến trúc Đa tầng của Mã độc SoupDealer

Phân tích chuyên sâu về mã độc SoupDealer cho thấy kiến trúc đa tầng của nó, bắt đầu bằng giai đoạn đầu tiên dựa trên Java. Giai đoạn này hoạt động như một trình tải lớp tùy chỉnh, bị làm tối (obfuscated) rất nặng để chống lại việc dịch ngược mã (decompilation). Để hiểu rõ hơn về phân tích kỹ thuật của mã độc này, bạn có thể tham khảo bài viết chi tiết tại Malwation.

• Giai đoạn 1: Trình tải Java
  Các công cụ như JADX và JByteMod cho thấy 11 lớp và một tải trọng giai đoạn hai được mã hóa. Quá trình giải mã (deobfuscation) sử dụng java-deobfuscator (được cấu hình cho mã hóa chuỗi Allatori, tối ưu hóa peephole và chuẩn hóa tệp nguồn) giúp loại bỏ mã rác để tiết lộ các hoạt động cốt lõi.
• Giai đoạn 2: Giải mã và Chuẩn bị
  Trình tải giải mã các tài nguyên bằng cách sử dụng AES-ECB với khóa được tạo từ SHA-512 của chuỗi “875758066416”. Điều này tạo ra giai đoạn thứ hai, một tệp đơn lớp với một “stub” trải qua quá trình giải mã RC4 để tạo ra giai đoạn thứ ba.
• Giai đoạn 3: Tải trọng Mã độc Chính
  Giai đoạn thứ ba, sau khi giải mã, thực hiện các kiểm tra môi trường. Các kiểm tra này bao gồm kiểm tra dung lượng RAM, số lõi CPU, phát hiện Windows Server và định vị địa lý thông qua ip-api.com để xác nhận nguồn gốc Thổ Nhĩ Kỳ.

Tăng Đặc quyền và Né tránh Phòng thủ

Mã độc thực hiện leo thang đặc quyền, quét sự hiện diện của phần mềm chống virus. Nếu không phát hiện mối đe dọa, nó sẽ tự thêm vào các tác vụ đã lên lịch trước khi tải xuống TOR từ dist.torproject.org và xác minh kết nối thông qua check.torproject.org trên cổng 9050.

Tiếp theo, mã độc SoupDealer khởi tạo một lớp “Adwind” với các cấu hình được mã hóa cứng (hardcoded), chẳng hạn như các cổng 49152 và 49153, một hàm băm mật khẩu và các tên miền C2 dựa trên .onion cho các kết nối an toàn, định tuyến qua TOR. Kiến trúc này phản ánh các trình tải trong các mã độc đã được phân tích trước đây, khác biệt chủ yếu ở việc tích hợp TOR để né tránh C2.

Chức năng và Lệnh Điều khiển C2 của Mã độc

Một trình lắng nghe xử lý 11 tín hiệu riêng biệt từ C2, cho phép thực hiện các hành động đa dạng:

• Hiển thị tin nhắn hoặc hình ảnh.
• Chụp ảnh màn hình.
• Khởi tạo các cuộc tấn công DDoS.
• Quản lý tệp.
• Thực thi lệnh.
• Tự gỡ bỏ.

Các lệnh bổ sung trong các tín hiệu động bao gồm:

• “spread”: Để lan truyền dạng worm trong mạng bằng cách sao chép chính nó vào các thư mục chia sẻ trên các IP cục bộ.
• “killdefender” và “killanti”: Để vô hiệu hóa Windows Defender thông qua PowerShell.
• “killvss”: Để loại trừ đường dẫn tệp JAR của nó khỏi các lần quét.
• “cmd”: Để thực thi các lệnh tùy ý (remote code execution).
• “kill” hoặc “fuck”: Để gỡ bỏ cài đặt kèm tùy chọn tắt máy.
• Các biến thể lệnh để tải xuống các tải trọng JAR bổ sung.

Ví dụ lệnh PowerShell để vô hiệu hóa Windows Defender:

Set-MpPreference -DisableRealtimeMonitoring $true
Set-MpPreference -DisableBehaviorMonitoring $true

Các lệnh này minh họa mức độ kiểm soát sâu rộng mà kẻ tấn công có thể đạt được sau khi mã độc SoupDealer thâm nhập thành công hệ thống. Khả năng né tránh và kiểm soát của mã độc SoupDealer cho thấy một mối đe dọa mạng nghiêm trọng, yêu cầu các biện pháp phòng thủ mạnh mẽ.

Chỉ số Nhận diện Sự xâm nhập (IOCs)

Việc nhận diện và ứng phó với mã độc SoupDealer đòi hỏi các đội ngũ an ninh mạng phải chú ý đến các chỉ số xâm nhập sau:

• Tên tệp tiềm năng:
  • TEKLIFALINACAKURUNLER.jar
  • FIYATTEKLIFI.JAR
• Tên miền và Địa chỉ IP liên quan đến C2:
  • Tên miền .onion (được mã hóa cứng, yêu cầu phân tích sâu hơn để trích xuất).
  • dist.torproject.org (nơi tải xuống TOR).
  • check.torproject.org (kiểm tra kết nối TOR).
  • ip-api.com (dịch vụ định vị địa lý).
• Cổng liên lạc:
  • 49152/TCP
  • 49153/TCP
  • 9050/TCP (cổng TOR)
• Chuỗi khóa giải mã AES-ECB:875758066416 (dẫn xuất SHA-512)
• Phát hiện các tác vụ theo lịch trình bất thường liên quan đến các tệp JAR hoặc thực thi TOR.
• Lưu lượng mạng đến các tên miền TOR hoặc các cổng không xác định.

Hạn chế của Phòng thủ Hiện tại và Khuyến nghị

Sự thành công của mã độc SoupDealer trong việc chống lại các biện pháp phòng thủ nhấn mạnh những hạn chế của các hộp cát dựa trên đám mây. Nó cũng đề cao giá trị của các môi trường phân tích cục bộ, định tuyến proxy, chẳng hạn như những môi trường sử dụng proxy Thổ Nhĩ Kỳ để egress các kết nối ‘dirty-line’. Để nâng cao khả năng phát hiện xâm nhập và bảo vệ hệ thống, việc đầu tư vào các giải pháp hộp cát tại chỗ và phân tích mạng chuyên sâu là rất cần thiết.