Trong bối cảnh các tấn công mạng ngày càng gia tăng về mức độ tinh vi, các tác nhân độc hại đang ngày càng lạm dụng các tài nguyên internet đáng tin cậy, chẳng hạn như Internet Archive, để phát tán các thành phần mã độc một cách bí mật. Chiến thuật này khai thác sự tin cậy vốn có của các nền tảng như vậy, cho phép kẻ tấn công vượt qua các bộ lọc bảo mật truyền thống và phân phối payload dưới vỏ bọc nội dung hợp pháp.

Chuỗi Tấn Công Phức Tạp Lợi Dụng Tài Nguyên Hợp Pháp

Sự cố gần đây minh họa một chuỗi phân phối tinh vi, bắt đầu bằng một JScript loader và kết thúc bằng việc triển khai Remcos Remote Access Trojan (RAT). Điều này cho thấy cách các kho lưu trữ truy cập mở có thể bị vũ khí hóa để tạo ra các lây nhiễm dai dẳng.

Giai Đoạn Khởi Tạo và Tải Độc

Cuộc tấn công mạng khởi đầu bằng một JScript loader thực thi một script PowerShell. Script này sau đó truy xuất một tệp hình ảnh PNG có vẻ vô hại, được lưu trữ trên Internet Archive. Việc sử dụng Internet Archive, một nguồn tài nguyên được tin cậy rộng rãi, giúp mã độc dễ dàng vượt qua các cơ chế kiểm soát bảo mật ban đầu, vốn thường ít khi kiểm tra kỹ lưỡng các trang web hợp pháp.

Kỹ Thuật Ẩn Giấu Payload và Thực Thi Trong Bộ Nhớ

Tệp hình ảnh PNG này đóng vai trò là một container bí mật cho một .NET loader bị che giấu. Loader này được mã hóa một cách tinh vi bên trong các giá trị RGB của từng pixel trong một bitmap được nhúng trong PNG. Kỹ thuật giấu tin (steganography) này khiến việc phát hiện trở nên cực kỳ khó khăn đối với các giải pháp bảo mật truyền thống dựa trên chữ ký, vì bản thân tệp PNG không chứa mã thực thi rõ ràng.

Sau khi được giải nén, thành phần PowerShell sẽ khởi chạy .NET loader trực tiếp trong bộ nhớ. Phương pháp thực thi trong bộ nhớ (in-memory execution) này giúp mã độc né tránh các cơ chế phát hiện dựa trên đĩa, thường được các giải pháp chống vi-rút sử dụng để quét tệp. Đây là một đặc điểm nổi bật của các mối đe dọa dai dẳng nâng cao (Advanced Persistent Threats – APT), vì nó giảm thiểu dấu vết pháp lý và làm phức tạp quá trình phân tích tĩnh.

Duy Trì Quyền Truy Cập và Triển Khai Payload Cuối Cùng

Khi đã hoạt động, .NET loader thiết lập quyền truy cập dai dẳng trên hệ thống bị xâm nhập bằng cách sửa đổi các khóa registry. Hành động này đảm bảo mã độc tồn tại qua các lần khởi động lại hệ thống và duy trì quyền truy cập lâu dài.

Sau đó, nó tiếp tục triển khai payload cuối cùng: Remcos RAT. Remcos là một công cụ truy cập từ xa linh hoạt, nổi tiếng với khả năng đánh cắp dữ liệu, ghi lại thao tác bàn phím (keystroke logging) và thực thi lệnh từ xa. Sự lựa chọn Remcos RAT cho thấy ý đồ của kẻ tấn công nhằm kiểm soát toàn diện hệ thống và trích xuất thông tin nhạy cảm.

Hạ Tầng Command-and-Control (C2) Bền Vững

Remcos RAT liên lạc với hạ tầng chỉ huy và kiểm soát (C2) của nó thông qua nhà cung cấp Duck DNS. Duck DNS là một dịch vụ DNS động (Dynamic DNS – DynDNS), tạo điều kiện cho việc phân giải tên miền linh hoạt và bền vững. Việc lựa chọn DynDNS giúp tăng cường khả năng né tránh của cuộc tấn công mạng, vì nó cho phép quay vòng máy chủ C2 nhanh chóng để tránh bị đưa vào danh sách đen (blacklisting).

Điều này làm cho việc chặn kết nối C2 trở nên khó khăn hơn, do địa chỉ IP của máy chủ C2 có thể thay đổi liên tục, buộc các biện pháp phòng thủ phải liên tục cập nhật và phản ứng.

Mối Đe Dọa Mạng Toàn Cầu và Thách Thức Phát Hiện

Việc lạm dụng Internet Archive là một ví dụ điển hình cho một mô hình rộng lớn hơn, nơi các tác nhân đe dọa tái sử dụng các dịch vụ hợp pháp, từ lưu trữ đám mây đến kho lưu trữ mã nguồn, để dàn dựng mã độc. Bằng cách nhúng payload vào các tệp đa phương tiện như PNG, kẻ tấn công khai thác mức độ giám sát thấp đối với các định dạng không thực thi được.

Điều này khiến việc phát hiện phụ thuộc vào phân tích hành vi nâng cao thay vì quét dựa trên chữ ký. Các giải pháp bảo mật truyền thống gặp khó khăn khi đối phó với những mối đe dọa mạng như vậy, đòi hỏi các phương pháp tiếp cận mới.

Phát Hiện Xâm Nhập và Biện Pháp Phòng Ngừa

Các nhà nghiên cứu bảo mật tại VMRay đã phân tích chuỗi tấn công này thông qua giám sát hành vi động, tiết lộ các chỉ số chính như hoạt động mạng bất thường và thao tác registry. Báo cáo của họ tại đây nhấn mạnh các kỹ thuật che giấu mạnh mẽ của loader, bao gồm mã hóa chuỗi và phân giải API động. Những kỹ thuật này bảo vệ mã độc khỏi các nỗ lực kỹ thuật đảo ngược (reverse engineering) và làm chậm quá trình phân tích.

Để chống lại các cuộc tấn công mạng tinh vi tương tự, các tổ chức phải tăng cường giám sát các lượt tải xuống bất thường từ các trang web lưu trữ. Đồng thời, cần triển khai các kiểm soát chặt chẽ hơn đối với việc thực thi script, ví dụ như hạn chế PowerShell ở chế độ ngôn ngữ bị ràng buộc (constrained language mode).

Hơn nữa, việc tích hợp các nguồn cấp dữ liệu tình báo mối đe dọa (threat intelligence feeds) theo dõi các vector lạm dụng mới nổi có thể hỗ trợ giảm thiểu rủi ro một cách chủ động. Điều này giúp các đội ngũ an ninh mạng nhận biết sớm các chiến thuật mới và áp dụng các biện pháp phòng thủ phù hợp.

Chỉ Số Lợi Dụng (Indicators of Compromise – IOCs)

Dựa trên phân tích, mặc dù không có các IOC cụ thể như địa chỉ IP hay hàm băm tệp được cung cấp trong thông tin gốc, chiến dịch này sử dụng một số kỹ thuật và hạ tầng đặc trưng có thể được coi là chỉ dấu:

• JScript Loader: Thành phần khởi tạo ban đầu.
• PowerShell Script: Được JScript loader thực thi để tải payload tiếp theo.
• Internet Archive: Dịch vụ lưu trữ hợp pháp được lợi dụng để lưu trữ tệp PNG chứa mã độc.
• PNG Image File: Container cho .NET loader được mã hóa bằng steganography.
• .NET Loader: Thực thi trong bộ nhớ, thiết lập quyền truy cập dai dẳng.
• Remcos RAT: Payload cuối cùng, công cụ truy cập từ xa đa chức năng.
• Duck DNS: Nhà cung cấp DNS động được sử dụng cho hạ tầng C2 của Remcos RAT.

Việc theo dõi và phân tích các mẫu hoạt động liên quan đến các thành phần và kỹ thuật này là rất quan trọng để phát hiện xâm nhập và ngăn chặn các mối đe dọa tương tự.

Bảo Mật Mạng Trong Kỷ Nguyên Mối Đe Dọa Mới

Khi các nền tảng hợp pháp tiếp tục bị lợi dụng, sự cố này đóng vai trò là lời nhắc nhở về trò chơi “mèo vờn chuột” không ngừng phát triển giữa kẻ tấn công và người phòng thủ. Niềm tin vào các tài nguyên trực tuyến ngày càng trở thành một lỗ hổng bảo mật. Để duy trì một môi trường bảo mật mạng vững chắc, các tổ chức cần liên tục cập nhật chiến lược phòng thủ, không chỉ dựa vào các biện pháp truyền thống mà còn tích hợp các giải pháp phân tích hành vi và tình báo mối đe dọa.

Điều này đòi hỏi một cách tiếp cận đa lớp, kết hợp giám sát chặt chẽ, kiểm soát truy cập nghiêm ngặt và đào tạo nhận thức cho người dùng. Chỉ khi đó, chúng ta mới có thể giảm thiểu rủi ro từ những cuộc tấn công mạng ngày càng phức tạp.