Các nhà nghiên cứu của Trend Micro đã phát hiện một dòng mã độc Charon mới. Dòng mã độc này được triển khai trong một chiến dịch tinh vi, nhắm mục tiêu vào khu vực công và ngành hàng không tại Trung Đông. Hoạt động này sử dụng các kỹ thuật tấn công APT (Advanced Persistent Threat) phức tạp để né tránh phát hiện và gây tổn hại nghiêm trọng.

Chiến dịch Tấn công và Lây nhiễm Ban đầu

Chiến dịch tấn công ban đầu của mã độc Charon sử dụng kỹ thuật DLL sideloading. Kỹ thuật này thông qua một tệp nhị phân hợp lệ là Edge.exe (ban đầu là cookie_exporter.exe). Mục đích là để tải một trình nạp DLL độc hại có tên msedge.dll, còn được gọi là SWORDLDR.

SWORDLDR sau đó giải mã một shellcode được mã hóa. Shellcode này ẩn trong một tệp có tên DumpStack.log. Tệp này chứa nhiều lớp payload.

Giải mã Payload và Kỹ thuật Né tránh

Phân tích pháp y sâu hơn đã chỉ ra rằng lớp giải mã đầu tiên sẽ lộ ra dữ liệu cấu hình. Dữ liệu này chỉ định việc tiêm tiến trình (process injection) vào svchost.exe. Kỹ thuật này cho phép mã độc giả mạo như một dịch vụ Windows hợp lệ, giúp nó né tránh các giải pháp bảo mật điểm cuối.

Lớp giải mã thứ hai cung cấp tệp thực thi (PE) cuối cùng của Charon. Tệp này sau đó tiến hành mã hóa các tệp trên hệ thống. Sau khi mã hóa, nó thêm phần mở rộng .Charon vào tên tệp. Kèm theo đó là một dấu hiệu lây nhiễm “hCharon is enter to the urworld!”.

Ghi chú đòi tiền chuộc được tùy chỉnh, có tham chiếu đến tên tổ chức nạn nhân. Điều này nhấn mạnh tính chất tấn công có mục tiêu của Charon. Có khả năng liên hệ với các chiến dịch của Earth Baxia do sự trùng lặp trong chuỗi công cụ. Điều này bao gồm việc phân phối shellcode được mã hóa, mặc dù việc quy kết chính xác vẫn khó khăn khi không có bằng chứng về hạ tầng chia sẻ.

Cơ chế Hoạt động của Mã độc Charon

Mã độc Charon thể hiện mức độ tinh vi cao trong các quy trình mã hóa và né tránh của mình. Khi thực thi, nó xử lý các đối số dòng lệnh cụ thể để điều chỉnh hành vi.

Đối số Dòng lệnh và Kiểm soát Hoạt động

Mã độc Charon hỗ trợ các đối số dòng lệnh sau:

--debug: Bật chế độ ghi nhật ký lỗi (error logging).
--shares: Nhắm mục tiêu các chia sẻ mạng (network shares), loại trừ ADMIN$.
--paths: Mã hóa các đường dẫn cụ thể trên ổ đĩa cục bộ hoặc các ổ đĩa đã chỉ định.
--sf: Ưu tiên mã hóa các chia sẻ mạng hơn các ổ đĩa cục bộ.

Để ngăn chặn nhiều phiên bản chạy cùng lúc, Charon tạo một mutex có tên OopsCharonHere.

Kỹ thuật Né tránh và Vô hiệu hóa Hệ thống

Để vô hiệu hóa các biện pháp phòng thủ, Charon thực hiện các hành động sau:

• Chấm dứt các tiến trình và dịch vụ liên quan đến bảo mật.
• Xóa các bản sao lưu Shadow Copies thông qua giao diện COM.
• Làm rỗng Recycle Bin.

Trong một biến thể đã biết, mã độc còn nhúng một driver chống EDR từ dự án công khai Dark-Kill. Driver này, dự định triển khai dưới dạng WWC.sys, có khả năng vô hiệu hóa các công cụ phát hiện điểm cuối. Mặc dù driver này không hoạt động trong biến thể được phân tích, điều này cho thấy Charon vẫn đang được phát triển liên tục.

Cơ chế Mã hóa Dữ liệu

Charon tận dụng đa luồng (multithreading) dựa trên số lõi xử lý có sẵn để tăng tốc quá trình mã hóa. Nó sử dụng một sơ đồ kết hợp giữa đường cong elliptic Curve25519 Diffie-Hellman để trao đổi khóa và thuật toán mã hóa dòng ChaCha20 để làm xáo trộn dữ liệu.

Một khóa riêng tư ngẫu nhiên 32 byte được tạo ra để sinh ra một khóa công khai. Khóa công khai này sau đó được dùng để tạo ra một khóa bí mật chung với một khóa cứng được nhúng sẵn trong mã độc. Kết quả là một vector khởi tạo ChaCha20 256-bit.

Quá trình mã hóa được thực hiện một phần để đảm bảo hiệu quả:

• Tệp dưới 64KB được mã hóa toàn bộ.
• Tệp từ 64KB-5MB được mã hóa ba phần.
• Tệp từ 5MB-20MB được mã hóa năm phần.
• Các tệp lớn hơn được mã hóa bảy phần tại các vị trí chiến lược.

Mỗi phần được mã hóa được thêm vào một đoạn cuối 72 byte chứa khóa công khai của nạn nhân và siêu dữ liệu.

Đáng chú ý, Charon bỏ qua các tệp có phần mở rộng .exe, .dll, .Charon và chính tệp ghi chú đòi tiền chuộc của nó “How To Restore Your Files.txt”. Ngoài ra, mã độc Charon còn quét và mã hóa các chia sẻ mạng thông qua NetShareEnum và WNetEnumResource, tăng cường khả năng lây lan ngang (lateral propagation) trong mạng.

Các Chỉ số Nhận diện (IOCs)

Để hỗ trợ các nhóm bảo mật trong việc phát hiện và ứng phó với mã độc Charon, dưới đây là các chỉ số nhận diện quan trọng:

• Phần mở rộng tệp mã hóa:.Charon
• Dấu hiệu lây nhiễm trong tệp:hCharon is enter to the urworld!
• Tên ghi chú đòi tiền chuộc:How To Restore Your Files.txt
• Mutex được tạo:OopsCharonHere
• Tệp DLL độc hại:msedge.dll (SWORDLDR)
• Tệp chứa shellcode:DumpStack.log
• Tệp nhị phân hợp lệ bị lạm dụng:Edge.exe, cookie_exporter.exe
• Driver chống EDR (có thể không hoạt động):WWC.sys (từ dự án Dark-Kill)
• Tiến trình bị tiêm:svchost.exe

Tác động và Rủi ro Bảo mật

Sự kết hợp giữa các chiến thuật APT với khả năng mã hóa nhanh chóng của Charon ransomware đặt ra những rủi ro nghiêm trọng. Các tác động tiềm tàng bao gồm mất dữ liệu vĩnh viễn, gián đoạn hoạt động kinh doanh và tống tiền tài chính thông qua các yêu cầu tùy chỉnh.

Tính năng ẩn mình của chiến dịch, thông qua sideloading và injection, làm nổi bật xu hướng các nhà điều hành ransomware áp dụng các phương pháp né tránh tiên tiến như process hollowing và các payload chống EDR. Điều này nhằm vượt qua các biện pháp phòng thủ truyền thống. Các tổ chức phải đối mặt với các mối đe dọa phức tạp từ khả năng rò rỉ dữ liệu và những thách thức trong việc khôi phục, vốn càng trầm trọng hơn do việc xóa các bản sao lưu.

Biện pháp Phòng ngừa và Ứng phó với Mối đe dọa Mạng

Để chống lại mã độc Charon, các đội ngũ an ninh mạng cần triển khai các lớp phòng thủ toàn diện. Điều này giúp tăng cường an ninh mạng và bảo vệ hệ thống khỏi các cuộc tấn công mạng.

Phòng thủ Chủ động

• Hạn chế tải DLL: Ngăn chặn việc tải các thư viện DLL từ các thư mục dễ bị tấn công.
• Giám sát chuỗi tiến trình: Giám sát các chuỗi tiến trình bất thường. Ví dụ, theo dõi khi các tệp nhị phân đã ký như Edge.exe tạo ra các tiến trình svchost.exe.
• Đảm bảo khả năng chống giả mạo của EDR: Đảm bảo các giải pháp EDR (Endpoint Detection and Response) có khả năng chống lại sự giả mạo và vô hiệu hóa từ mã độc.

Kiểm soát Truy cập và Sao lưu Dữ liệu

• Hạn chế lây lan ngang: Hạn chế sự di chuyển ngang trong mạng thông qua xác thực mạnh mẽ và vô hiệu hóa các chia sẻ quản trị không cần thiết (như ADMIN$).
• Sao lưu bất biến ngoại tuyến: Duy trì các bản sao lưu dữ liệu bất biến và ngoại tuyến để đảm bảo khả năng khôi phục sau một cuộc tấn công.

Nâng cao Nhận thức Người dùng

• Đào tạo người dùng: Huấn luyện người dùng về cách tránh các cuộc tấn công lừa đảo (phishing) và các kỹ thuật kỹ thuật xã hội khác.
• Quyền truy cập đặc quyền tối thiểu: Áp dụng nguyên tắc quyền truy cập đặc quyền tối thiểu (least-privilege access) để giảm thiểu rủi ro bị xâm phạm ban đầu.
• Tìm kiếm mối đe dọa chủ động: Thực hiện săn lùng mối đe dọa chủ động sử dụng các IOC để ngăn chặn các cuộc tấn công trước khi chúng gây ra thiệt hại.

Khi ransomware phát triển hướng tới sự hội tụ với các chiến thuật APT, các doanh nghiệp phải ưu tiên khả năng phục hồi. Việc tích hợp các khung phân tích thông tin tình báo và ứng phó là rất cần thiết để giảm thiểu các mối đe dọa mạng ngày càng leo thang này. Để biết thêm thông tin về nghiên cứu này, bạn có thể tham khảo báo cáo chi tiết từ Trend Micro tại: New Ransomware Charon.