Nhóm tội phạm mạng Stan Ghouls, còn được biết đến với tên gọi Bloody Wolf, đang tiến hành một làn sóng tấn công mạng có chủ đích và tinh vi nhằm vào các tổ chức. Hoạt động tích cực từ ít nhất năm 2023, nhóm này đặc biệt nhắm mục tiêu vào các lĩnh vực sản xuất, tài chính và công nghệ thông tin (IT).

Trước đây, nhóm này thường ưa chuộng trojan truy cập từ xa (RAT) STRRAT. Tuy nhiên, các chiến dịch gần đây cho thấy sự thay đổi chiến thuật đáng kể. Họ chuyển hướng sang việc lạm dụng phần mềm hợp pháp để che giấu hoạt động độc hại.

Stan Ghouls: Thay Đổi Chiến Thuật Tấn Công Mạng Bằng Công Cụ Hợp Pháp

Trong các chiến dịch mới nhất, Stan Ghouls đã sử dụng NetSupport Manager, một công cụ quản trị từ xa hợp lệ. Mục tiêu của việc này là hòa trộn vào các hoạt động quản trị hợp pháp của hệ thống, khiến việc phát hiện trở nên khó khăn hơn đáng kể cho các nhà phòng thủ.

Khai Thác NetSupport Manager để Xâm Nhập

NetSupport Manager là một công cụ mạnh mẽ, được thiết kế để hỗ trợ quản lý hệ thống từ xa. Tuy nhiên, khi bị khai thác bởi các tác nhân độc hại, nó có thể biến thành một phương tiện hiệu quả để kiểm soát và thực hiện các hành vi xâm nhập.

Việc nhóm tấn công này lựa chọn một công cụ hợp pháp thay vì các mã độc tùy chỉnh phức tạp cho thấy sự tinh vi trong chiến lược. Điều này giúp chúng tránh được các cơ chế phát hiện dựa trên dấu hiệu (signature-based detection) truyền thống.

Chuỗi Tấn Công Spear-Phishing Mục Tiêu Cao

Chuỗi tấn công mạng của Stan Ghouls thường bắt đầu bằng các email spear-phishing có độ chính xác cao. Những email này được viết bằng ngôn ngữ địa phương và giả mạo các thông báo chính phủ hoặc pháp lý chính thức. Mục đích là tạo ra cảm giác cấp bách và lừa người nhận.

Phương Pháp Lây Nhiễm Ban Đầu

Các email này đính kèm các tệp PDF độc hại. Khi nạn nhân nhấp vào các liên kết trong tệp PDF, họ vô tình kích hoạt quá trình tải xuống một bộ tải (loader) tùy chỉnh dựa trên Java.

Bộ tải này đóng vai trò là cầu nối, tìm nạp payload cuối cùng và thiết lập chỗ đứng ban đầu của kẻ tấn công trong mạng bị xâm nhập. Đây là bước quan trọng để chuẩn bị cho việc thực hiện các hành động tiếp theo trên hệ thống.

Cơ Chế Hoạt Động Của Java Loader và Né Tránh Phát Hiện

Điểm khác biệt rõ rệt nhất của chiến dịch này nằm ở hành vi của bộ tải độc hại khi được thực thi. Để đánh lạc hướng nạn nhân, mã độc ngay lập tức hiển thị một cửa sổ lỗi giả mạo.

Thông báo lỗi này tuyên bố sai rằng ứng dụng không thể chạy trên hệ điều hành hiện tại. Điều này lừa người dùng tin rằng tệp đã bị hỏng, giảm khả năng họ nghi ngờ về hoạt động độc hại.

Trên thực tế, bộ tải đang âm thầm kiểm tra môi trường và tải xuống các thành phần của NetSupport RAT từ một máy chủ từ xa. Nó thậm chí còn bao gồm một kiểm tra để tự chấm dứt nếu việc cài đặt thất bại ba lần, nhằm tránh bị phân tích bởi các sandbox bảo mật.

Nghiên Cứu và Phân Tích Cơ Sở Hạ Tầng

Sau khi phát hiện ban đầu về các vụ xâm nhập, các nhà phân tích của Securelist đã xác định được các mẫu hình rõ ràng trong cơ sở hạ tầng của nhóm này. Chi tiết hơn có thể được tìm thấy tại nguồn đáng tin cậy: Securelist Analysis of Stan Ghouls.

Các nhà nghiên cứu ghi nhận rằng Bloody Wolf thường xuyên làm mới các tên miền máy chủ C2 (command-and-control) của mình. Chúng đăng ký các tên miền mới cho từng chiến dịch cụ thể để né tránh danh sách chặn.

Việc xoay vòng cơ sở hạ tầng nhanh chóng này cho phép chúng duy trì tỷ lệ lây nhiễm thành công cao. Gần sáu mươi nạn nhân riêng biệt đã được xác định chỉ trong làn sóng tấn công mới nhất.

Duy Trì Quyền Truy Cập Bền Vững Trong Hệ Thống Bị Xâm Nhập

Một khi các tệp độc hại đã được cài đặt, mã độc sẽ chủ động thiết lập quyền truy cập bền vững bằng ba phương pháp dự phòng. Những kỹ thuật này đảm bảo công cụ truy cập từ xa tự động thực thi mỗi khi người dùng đăng nhập.

Các Kỹ Thuật Duy Trì Bền Vững

• Tệp Batch Script trong Thư Mục Khởi Động: Mã độc thả một tệp script batch có tên SoliqUZ_Run.bat vào thư mục Windows Startup.
• Khóa Registry Run: Mã độc thêm một lệnh khởi chạy vào khóa Run của Registry, đảm bảo tự động thực thi.
• Tạo Tác Vụ Lên Lịch (Scheduled Task): Mã độc tạo một tác vụ được lên lịch để thực thi công cụ truy cập từ xa định kỳ.

Ví dụ về cách một lệnh khởi động có thể được thêm vào Registry:

reg add HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun /v "NetSupportClient" /t REG_SZ /d "%APPDATA%NetSupportclient.exe" /f

Hoặc một tác vụ lên lịch đơn giản:

schtasks /create /tn "NetSupportUpdate" /tr "C:Program FilesNetSupport Managerclient.exe" /sc ONLOGON /rl HIGHEST /f

Chỉ Số Thỏa Hiệp (IOCs)

Việc nhận diện và chặn các Chỉ số Thỏa hiệp (IOCs) là yếu tố then chốt để tăng cường an ninh mạng và bảo vệ hệ thống khỏi các cuộc tấn công mạng tương lai.

• Tên tệp độc hại:SoliqUZ_Run.bat

Biện Pháp Giảm Thiểu Mối Đe Dọa và Phát Hiện Xâm Nhập

Để giảm thiểu những mối đe dọa mạng này, các tổ chức cần thực hiện các biện pháp bảo mật chủ động. Việc giám sát liên tục và chặt chẽ là điều cần thiết để phát hiện xâm nhập và ngăn chặn các hoạt động độc hại.

Giám Sát và Kiểm Soát Hệ Thống

Điều quan trọng là phải giám sát chặt chẽ các công cụ máy tính từ xa trái phép. Các giải pháp giám sát endpoint (EDR) và hệ thống phát hiện xâm nhập (IDS) cần được cấu hình để cảnh báo về việc cài đặt và sử dụng các công cụ như NetSupport Manager khi không có ủy quyền rõ ràng.

Các tổ chức cũng nên kiểm tra kỹ lưỡng các tiến trình được khởi chạy từ thư mục Startup của Windows và các khóa Run trong Registry. Bất kỳ mục nhập đáng ngờ nào cũng cần được điều tra ngay lập tức để ngăn chặn quyền truy cập bền vững.

Ngoài ra, việc đào tạo người dùng về nhận diện các email spear-phishing và các dấu hiệu của nội dung độc hại là rất quan trọng. Phishing là điểm khởi đầu phổ biến cho nhiều tấn công mạng.

Cập nhật thường xuyên các bản vá bảo mật cho hệ điều hành và các ứng dụng, đồng thời triển khai các giải pháp bảo mật nhiều lớp (multi-layered security) cũng góp phần tăng cường khả năng phòng thủ tổng thể.