Nhóm tấn công dai dẳng nâng cao (APT) Scaly Wolf đã tái nhắm mục tiêu vào một công ty kỹ thuật của Nga trong một cuộc tấn công mạng tinh vi, được các nhà phân tích của Dr.Web phát hiện. Sự việc này cho thấy quyết tâm của nhóm trong việc thu thập bí mật doanh nghiệp, làm nổi bật nguy cơ từ các mối đe dọa mạng dai dẳng.

Sự cố mới nhất, diễn ra vào giữa năm 2025, lặp lại một cuộc tấn công tương tự vào năm 2023, nơi nhóm này đã sử dụng các backdoor dạng module để xâm nhập mạng lưới.

Chiến Dịch Scaly Wolf: Phishing và Triển Khai Mã Độc

Mục Tiêu và Phương Thức Ban Đầu

Chiến dịch bắt đầu vào đầu tháng 5 năm 2025 bằng hàng loạt email lừa đảo (phishing), ngụy trang dưới dạng các tài liệu tài chính. Những email này chứa các tệp PDF đánh lừa và các kho lưu trữ ZIP được bảo vệ bằng mật khẩu, chứa các tệp thực thi ngụy trang thành PDF thông qua việc sử dụng phần mở rộng kép, ví dụ: Акт Сверки.pdf.exe.

Kỹ Thuật Né Tránh và Khai Thác Ban Đầu

Khi được thực thi, các tệp này đã triển khai Trojan.Updatar.1, một trình tải xuống được thiết kế để tải về các thành phần mã độc tiếp theo, bao gồm Trojan.Updatar.2 và Trojan.Updatar.3. Chúng cùng nhau tạo thành lõi của backdoor module Updatar.

Backdoor này tạo điều kiện thuận lợi cho việc đánh cắp dữ liệu, trinh sát hệ thống và duy trì quyền truy cập. Nó được tăng cường bằng kỹ thuật RockYou Obfuscation, sử dụng mã hóa XOR ngẫu nhiên và chuỗi từ điển từ danh sách mật khẩu RockYou.txt để né tránh phân tích tĩnh.

Chuỗi Tấn Công và Di Chuyển Ngang

Chuỗi tấn công diễn ra trên nhiều điểm cuối, khai thác các hệ thống không được bảo vệ và áp dụng các chiến thuật di chuyển ngang.

Giai Đoạn Lây Nhiễm và Tiếp Cận Hệ Thống

Trên máy nạn nhân ban đầu, không có phần mềm diệt virus Dr.Web, Trojan.Updatar.1 đã cài đặt thành công các module bổ sung trong vòng một giờ. Điều này cho phép triển khai Meterpreter từ framework Metasploit thông qua các tác vụ dịch vụ BITS.

Sau đó, kẻ tấn công đã sử dụng FileManager.exe để đánh cắp tệp, Tool.HandleKatz để trích xuất thông tin đăng nhập từ tiến trình LSASS, và RDP Wrapper (Program.Rdpwrap.7) để truy cập từ xa. Các công cụ tạo đường hầm lưu lượng như Tool.Chisel và Tool.Frp đã che giấu các hoạt động của chúng, làm phức tạp việc phát hiện xâm nhập.

Di Chuyển Ngang và Chiếm Quyền Điều Khiển

Sự lây lan ngang sang thiết bị thứ hai diễn ra vào ngày 14 tháng 5. Kẻ tấn công đã sử dụng thông tin đăng nhập bị đánh cắp để thực thi lệnh từ xa, sau đó cài đặt thủ công các module Updatar sau khi phần mềm diệt virus chặn các nỗ lực tự động. Đến ngày 3 tháng 6, Meterpreter đã được nhúng, cấp quyền truy cập shell. Sự hiện diện của mối đe dọa mạng này cho thấy khả năng thích nghi cao của nhóm.

Việc xâm nhập hệ thống thứ ba đã làm nổi bật khả năng thích ứng của kẻ tấn công, bắt đầu bằng việc lạm dụng thông tin đăng nhập RDP vào ngày 23 tháng 6.

Né Tránh Phòng Thủ và Thực Thi Lệnh

Các payload Metasploit ban đầu, được mã hóa trong các script PowerShell base64 nhắm mục tiêu địa chỉ 77.105.161.30, đã bị chặn bởi các phát hiện của Dr.Web như DPC:BAT.Starter.613. Không nao núng, nhóm đã chuyển sang sử dụng RemCom (Program.RemoteAdmin.877), thực thi các lệnh để vô hiệu hóa Windows Defender thông qua các cmdlet PowerShell như Set-MpPreference để thêm ngoại lệ và hủy kích hoạt giám sát theo thời gian thực.

Set-MpPreference -ExclusionPath "C:PathToMalware" -DisableRealtimeMonitoring $true

Các truy vấn đối với dịch vụ Dr.Web (ví dụ: wmic service where "name='DrWebAVService'" get PathName) nhằm mục đích xác định và vô hiệu hóa các biện pháp bảo vệ. Trong khi đó, các hoạt động truyền tải BITS đã cố gắng triển khai shellcode.exe (BackDoor.Shell.244) và installer.exe (Trojan.Updatar.1). Mặc dù có những nỗ lực này, các can thiệp của phần mềm diệt virus đã chặn các payload này, cho thấy hiệu quả của các giải pháp phòng thủ mạnh mẽ chống lại mối đe dọa mạng.

Cơ Sở Hạ Tầng và Dấu Hiệu Thỏa Hiệp (IOCs)

Máy Chủ Điều Khiển (C2) và Công Cụ Tùy Chỉnh

Phân tích cơ sở hạ tầng đã tiết lộ nhiều miền C2. Những miền này bao gồm roscosmosmeet[.]online cho việc tải xuống các tệp độc hại và updating-services[.]com cho các giao tiếp của Trojan.Updatar.3. Các miền khác như adobe-updater[.]net cũng được ghi nhận. Các dấu hiệu này là bằng chứng rõ ràng của cuộc tấn công mạng.

Các Artifacts đã liên kết mã độc với Scaly Wolf, nhất quán với các chiến dịch trước đó của nhóm. Chúng tránh sử dụng Malware-as-a-Service mà thay vào đó sử dụng các công cụ tùy chỉnh và các tiện ích mã nguồn mở như Metasploit. Ngoài ra, chúng còn sử dụng các ứng dụng mồi nhử hiển thị các cảnh báo bảo mật giả mạo để đánh lừa người dùng.

Chỉ số Thỏa hiệp (IOCs)

Các chỉ số thỏa hiệp liên quan đến chiến dịch của Scaly Wolf bao gồm:

• Tên tệp độc hại:
  • Акт Сверки.pdf.exe
  • FileManager.exe
  • Tool.HandleKatz
  • Tool.Chisel
  • Tool.Frp
  • shellcode.exe
  • installer.exe
• Họ mã độc:
  • Trojan.Updatar.1
  • Trojan.Updatar.2
  • Trojan.Updatar.3
  • BackDoor.Shell.244
  • Trojan.Uploader.36875 (mẫu chưa sử dụng)
  • BackDoor.Siggen2.5423 (mẫu chưa sử dụng, cho điều khiển VNC)
• Công cụ được sử dụng:
  • Meterpreter
  • Metasploit framework
  • RDP Wrapper (Program.Rdpwrap.7)
  • RemCom (Program.RemoteAdmin.877)
• Tên phát hiện của Dr.Web:
  • DPC:BAT.Starter.613
• Địa chỉ IP và miền C2:
  • 77.105.161.30
  • roscosmosmeet[.]online
  • updating-services[.]com
  • adobe-updater[.]net

Kho Công Cụ Mở Rộng

Các mẫu chưa được sử dụng bổ sung, như Trojan.Uploader.36875 để đánh cắp dữ liệu và BackDoor.Siggen2.5423 cho điều khiển VNC, nhấn mạnh kho vũ khí ngày càng mở rộng của nhóm. Đây là một mối đe dọa mạng không ngừng phát triển, đòi hỏi sự cảnh giác liên tục.

Cuộc tấn công này nhấn mạnh bối cảnh mối đe dọa đang phát triển, nơi các tác nhân APT như Scaly Wolf kết hợp phishing, đánh cắp thông tin đăng nhập và các công cụ hậu khai thác để vượt qua hàng rào phòng thủ. Các tổ chức phải ưu tiên cấu hình chống virus toàn diện, vá lỗi kịp thời và giám sát cảnh giác để giảm thiểu những sự xâm nhập dai dẳng như vậy, vì cài đặt mặc định thường không đủ chống lại những đối thủ quyết tâm. Để tìm hiểu thêm về phân tích này, bạn có thể tham khảo báo cáo chi tiết từ Dr.Web: Dr.Web: The Scaly Wolf APT gang uses a new Updatar modular backdoor.