Nhóm tác nhân đe dọa Paper Werewolf đã thể hiện khả năng vượt qua bộ lọc bảo mật email tiên tiến. Các chiến dịch của nhóm này phân phối mã độc thông qua các tệp lưu trữ tưởng chừng hợp pháp. Đây là một chiến thuật khai thác sự phổ biến của các tệp đính kèm như vậy trong trao đổi kinh doanh, đặc biệt là thông qua việc khai thác các lỗ hổng zero-day nghiêm trọng.

Mặc dù có sự tinh vi, các tác nhân tấn công này vẫn dựa vào các chiến thuật, kỹ thuật và quy trình (TTPs) có thể phát hiện được. Điều này nhấn mạnh nhu cầu cấp thiết về giám sát sự cố liên tục 24/7 trong môi trường doanh nghiệp.

Phân tích Chiến dịch Phishing của Paper Werewolf

Vào đầu tháng 7 năm 2025, BI.ZONE Threat Intelligence đã phát hiện một chiến dịch lừa đảo (phishing) tinh vi. Trong chiến dịch này, những kẻ tấn công đã mạo danh một viện R&D của Nga. Các email được gửi từ một tài khoản nhà cung cấp nội thất đã bị xâm nhập.

Những email này chứa một tệp lưu trữ RAR có tên minprom_04072025.rar. Tệp này đã khai thác CVE-2025-6218, một WinRAR vulnerability đã biết. Lỗ hổng này cho phép tấn công directory traversal, tức là vượt qua thư mục dự kiến.

Khai thác CVE-2025-6218 và Mã độc XPS Viewer

Lỗ hổng CVE-2025-6218 cho phép các tệp độc hại được giải nén ra ngoài thư mục đích. Ví dụ, chúng có thể được giải nén vào thư mục khởi động (startup folder). Điều này tạo điều kiện thuận lợi cho việc thực thi tự động khi người dùng đăng nhập.

Sau khi giải nén, tệp lưu trữ sẽ triển khai một tệp thực thi XPS Viewer đã sửa đổi, có tên xpsrchvw74.exe. Tệp này được nhúng shellcode cho một reverse shell. Reverse shell này kết nối đến máy chủ chỉ huy và kiểm soát (C2) tại địa chỉ 89.110.88.155:8090.

Shellcode sử dụng kỹ thuật băm ROR13 để che giấu tên các hàm WinAPI, tăng cường khả năng né tránh phát hiện. Các tệp đánh lừa (decoy files) bên trong tệp lưu trữ, bao gồm các tài liệu PDF và DOCX mô phỏng thư từ chính thức, càng ngụy trang cho cuộc tấn công.

Thông tin chi tiết về lỗ hổng CVE-2025-6218 có thể tham khảo thêm tại GBHackers on Security.

Khai thác Lỗ hổng Zero-day WinRAR Mới

Phát triển dựa trên các chiến dịch trước, Paper Werewolf đã leo thang hoạt động với một lỗ hổng zero-day chưa từng biết đến trước đây trong các phiên bản WinRAR lên đến 7.12. Lỗ hổng này đã được vá trong phiên bản 7.13.

Lỗ hổng này khai thác các luồng dữ liệu thay thế (Alternative Data Streams – ADS) trong các tệp lưu trữ. Kỹ thuật này cho phép các payload tùy ý được ghi vào các thư mục hệ thống trong quá trình giải nén hoặc mở tệp trực tiếp. Điều này kích hoạt các cuộc tấn công directory traversal.

Kỹ thuật Thay thế Luồng Dữ liệu (ADS)

Kỹ thuật ADS là một tính năng của hệ thống tệp NTFS. Nó cho phép dữ liệu được liên kết với một tệp mà không ảnh hưởng đến kích thước hoặc nội dung chính của tệp đó. Kẻ tấn công lợi dụng điều này để nhúng mã độc mà không bị phát hiện bởi các phần mềm bảo mật thông thường.

Việc sử dụng ADS để viết payload vào các thư mục hệ thống như thư mục khởi động hoặc các thư mục thực thi phổ biến là một chiến thuật tinh vi. Điều này đảm bảo mã độc được duy trì và thực thi khi hệ thống khởi động hoặc khi người dùng tương tác với các tệp bị nhiễm.

Loader .NET WinRunApp.exe và Giao tiếp C2

Trong một cuộc tấn công ngày 22 tháng 7 năm 2025, tệp RAR độc hại Запрос_Минпромторг_22.07.rar đã triển khai WinRunApp.exe. Đây là một loader .NET dựa trên C# có chức năng tìm nạp và thực thi payload từ xa trong bộ nhớ. Các máy chủ C2 được sử dụng bao gồm indoorvisions.org.

Loader này tạo một mutex để ngăn chặn nhiều phiên bản chạy cùng lúc. Ví dụ, một mutex được sử dụng là Global_22576733.

Global_22576733

Nó đi vào một vòng lặp để liên tục truy vấn C2 với thông tin chi tiết về nạn nhân (hostname và username) được nối vào các URL. Đồng thời, nó sử dụng các chuỗi User-Agent cụ thể để hòa lẫn với lưu lượng truy cập hợp pháp.

Nếu thành công, nó sẽ tải một assembly .NET thông qua Assembly.Load và gọi các phương thức từ các lớp đã cấu hình. Một ví dụ về lớp như vậy là EatLanguageSubject.AnswerEndSight.PainGroupStep.

EatLanguageSubject.AnswerEndSight.PainGroupStep

Các cuộc tấn công tiếp theo vào ngày 31 tháng 7 và 1 tháng 8 liên quan đến các tệp lưu trữ DON_AVIA_TRANS_RU.rar và DON_AVIA_TRANS_UZ.rar. Các tệp này đã nhúng ADS vào nhiều tệp PDF đánh lừa và một tệp LNK.

Chúng triển khai một biến thể WinRunApp.exe tương tự với những sửa đổi nhỏ, bao gồm kiểm tra sự tồn tại của tệp và một mutex được cập nhật. Theo báo cáo từ BI.ZONE Threat Intelligence (bi.zone), dữ liệu cấu hình chỉ định khoảng thời gian ngủ khoảng 330 giây. Điều này đảm bảo liên lạc C2 được duy trì liên tục.

Một bài đăng trên diễn đàn ngầm đã rao bán một exploit lỗ hổng zero-day WinRAR với giá 80.000 đô la. Điều này có thể liên quan đến lỗ hổng được Paper Werewolf khai thác. Điều này gợi ý rằng nhóm này có thể đã mua và điều chỉnh nó cho mục đích gián điệp có mục tiêu.

Chỉ số Thỏa hiệp (IOCs)

Các chỉ số thỏa hiệp liên quan đến các chiến dịch của Paper Werewolf bao gồm:

• Tệp Lưu trữ Độc hại:
  • minprom_04072025.rar
  • Запрос_Минпромторг_22.07.rar
  • DON_AVIA_TRANS_RU.rar
  • DON_AVIA_TRANS_UZ.rar
• Tệp Thực thi Mã độc:
  • xpsrchvw74.exe
  • WinRunApp.exe
• Máy chủ Chỉ huy và Kiểm soát (C2):
  • 89.110.88.155:8090
  • indoorvisions.org
• Mutex ID:
  • Global_22576733

Biện pháp Phòng ngừa và Phát hiện

Các sự cố này làm nổi bật sự tập trung của nhóm Paper Werewolf vào việc khai thác điểm yếu của các công cụ nén. Mục đích là để giành quyền truy cập ban đầu, kết hợp các lỗ hổng zero-day với kỹ thuật xã hội. Các tổ chức cần ưu tiên các biện pháp bảo vệ để giảm thiểu rủi ro từ các cuộc tấn công này.

• Cập nhật bản vá WinRAR: Ưu tiên vá các phiên bản WinRAR lên phiên bản 7.13 hoặc mới hơn. Việc này sẽ khắc phục các WinRAR vulnerability đã biết, bao gồm cả lỗ hổng zero-day được khai thác.
• Giám sát giải nén bất thường: Theo dõi các hoạt động giải nén tệp lưu trữ bất thường. Đặc biệt chú ý đến việc giải nén vào các thư mục hệ thống nhạy cảm hoặc thư mục khởi động.
• Phân tích lưu lượng mạng: Phân tích lưu lượng mạng đến các miền hoặc địa chỉ IP đáng ngờ. So sánh với các IOC đã biết để phát hiện liên lạc C2.
• Tích hợp Threat Intelligence: Tích hợp thông tin tình báo mối đe dọa (threat intelligence) vào hệ thống phòng thủ. Điều này giúp phát hiện sớm các TTPs quen thuộc của nhóm Paper Werewolf, chẳng hạn như việc nhúng tracking pixels trong email lừa đảo.
• Triển khai Giải pháp EDR/XDR: Sử dụng các giải pháp phát hiện và phản hồi nâng cao để theo dõi hành vi hệ thống và chặn các hoạt động độc hại.

Sự phụ thuộc vào các TTPs có thể phát hiện được mang lại cơ hội phát hiện sớm thông qua phân tích hành vi và tích hợp thông tin tình báo mối đe dọa. Việc chủ động ứng phó sẽ giúp các tổ chức bảo vệ mình khỏi các cuộc tấn công tinh vi, đặc biệt là các cuộc tấn công khai thác lỗ hổng zero-day.