Nhóm Săn lùng Mối đe dọa SpiderLabs gần đây đã phát hiện một chiến dịch Xworm ScreenConnect tấn công mạng phức tạp. Trong chiến dịch này, các tác nhân đe dọa đã lợi dụng ứng dụng quản lý từ xa ScreenConnect hợp pháp để phát tán Remote Access Trojan (RAT) Xworm thông qua một chuỗi lây nhiễm đa giai đoạn.

Phân Tích Chiến Dịch và Mối Đe Dọa Mạng

Kỹ Thuật Social Engineering và Lừa Đảo Ban Đầu

Cuộc tấn công bắt đầu bằng các chiến thuật kỹ thuật xã hội tinh vi. Chúng bao gồm lừa đảo qua email (phishing), quảng cáo độc hại (malvertising), và các bài đăng lừa đảo trên mạng xã hội.

Nạn nhân bị dụ dỗ truy cập các trang web giả mạo theo chủ đề AI như gptgrok[.]ai, sau đó chuyển hướng đến các tên miền đáng ngờ như anhemvn6[.]com. Mục tiêu là lừa người dùng tải xuống một trình cài đặt ngụy trang.

Trình cài đặt này được che giấu dưới dạng tệp MP4, ví dụ: “Creation_Made_By_GrokAI.mp4 Grok.com”. Thực tế, đây lại là tệp nhị phân ScreenConnect.ClientSetup.msi hợp pháp nhưng đã bị sửa đổi.

Lợi Dụng ScreenConnect để Xâm Nhập Hệ Thống

Phân tích sâu hơn cho thấy những kẻ tấn công đã thao túng các chữ ký Authenticode. Chúng đã nhúng cấu hình độc hại vào bên trong chữ ký số hợp pháp của ứng dụng ScreenConnect.

Điều này cho phép tệp nhị phân đã sửa đổi thả và thực thi mã độc trong thư mục Temp. Kỹ thuật này giúp mã độc bỏ qua các cảnh báo từ các giải pháp Phát hiện và Phản hồi Điểm cuối (EDR).

Client ScreenConnect được cấu hình để chạy ẩn, thiết lập một phiên làm việc từ xa đến các máy chủ do kẻ tấn công kiểm soát. Ví dụ: instance-keoxeq-relay[.]screenconnect[.]com.

Việc sử dụng các tham số cụ thể như “?e=Access&y=Guest&h=instance-keoxeq-relay[.]screenconnect[.]com&p=443&s=44f&k=BgIAAA&c=GROKgpt” cho phép truy cập từ xa một cách bí mật, không hiển thị các chỉ báo cho người dùng như biểu tượng hay thông báo trên khay hệ thống.

Mẫu tham số kết nối ScreenConnect bị lợi dụng:

?e=Access&y=Guest&h=instance-keoxeq-relay[.]screenconnect[.]com&p=443&s=44f<REDACTED>&k=BgIAAA<REDACTED>&c=GROKgpt

Tiến Trình Khai Thác và Triển Khai Mã Độc Xworm

Thực Thi Mã Độc qua Batch File

Khi quyền truy cập từ xa đã được thiết lập, chiến dịch Xworm ScreenConnect chuyển sang giai đoạn thực thi. Giai đoạn này bắt đầu bằng việc thả một tệp batch có tên “X-META Firebase_crypted.bat”.

Tệp batch này sau đó gọi mshta.exe để chạy các script bị che giấu. Điều này dẫn đến việc cmd.exe tải xuống và giải nén một kho lưu trữ ZIP, “5btc.zip”, từ anhemvn4[.]com.

Quá trình này tạo ra một thư mục “xmetavip” trên ổ đĩa C:. Đây là một bước quan trọng trong chuỗi lây nhiễm để thiết lập môi trường cho mã độc.

Kỹ Thuật Thực Thi Mã Độc Không File và Lẩn Tránh Phát Hiện

Bên trong thư mục “xmetavip”, một tệp pythonw.exe đã được đổi tên thành pw.exe. Tệp này thực thi các lệnh được mã hóa Base64 để tìm nạp và chạy mã Python bị che giấu.

Mã Python này được lấy từ một kho lưu trữ GitHub tại github[.]com/trieule99911/vianhthuongbtc, bao gồm các tệp như “basse64.txt”.

Cách tiếp cận không tệp (fileless) này giúp mã độc tránh bị phát hiện tĩnh. Nó tạo điều kiện cho việc tiêm tiến trình (process injection) vào các trình duyệt hợp pháp như chrome.exe và msedge.exe bằng kỹ thuật Process Hollowing (T1055.012).

Mã độc còn sử dụng một kỹ thuật phức tạp là thực thi trên một desktop ẩn (T1564.003), càng làm tăng khả năng lẩn tránh phát hiện của mối đe dọa mạng này. Để tìm hiểu thêm về kỹ thuật này, bạn có thể tham khảo chi tiết tại blog của Trustwave SpiderLabs: Malicious ScreenConnect Campaign Abuses AI-Themed Lures for Xworm Delivery.

URL GitHub Repository bị lạm dụng:

https://github[.]com/trieule99911/vianhthuongbtc

Duy Trì Truy Cập và Thu Thập Thông Tin

Khả năng duy trì truy cập được thiết lập thông qua các khóa chạy registry (T1547.001). Kẻ tấn công sửa đổi khóa HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun.

Các giá trị được thêm vào mô phỏng các thành phần hệ thống, ví dụ như “Windows Security”. Mục đích là để tự động thực thi “backup.bat” khi đăng nhập, tệp này sẽ chạy lại các lệnh Python được mã hóa tương tự từ các tệp GitHub như “buquabua.txt”.

Phân tích tiếp tục cho thấy các nỗ lực truy cập thông tin xác thực (T1555.003), nhắm mục tiêu vào các tệp trình duyệt trong Google Chrome, Microsoft Edge và Mozilla Firefox.

Ngoài ra, mã độc còn thực hiện các truy vấn WMI để thu thập chi tiết về hệ điều hành (T1082) và phần mềm diệt virus (T1518.001). Đây là các bước chuẩn bị cho việc chiếm quyền điều khiển hoàn toàn và thu thập dữ liệu nhạy cảm.

Vị trí Registry Run Key được sửa đổi:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

Chỉ Số IOCs (Indicators of Compromise) và C&C

Chỉ Số Compromise (IOCs) trong Chiến Dịch Xworm ScreenConnect

Dưới đây là các chỉ số thỏa hiệp (Indicators of Compromise) được xác định trong chiến dịch Xworm ScreenConnect này:

• Tên miền độc hại:
  • gptgrok[.]ai
  • anhemvn6[.]com
  • anhemvn4[.]com
• Máy chủ ScreenConnect bị lợi dụng:
  • instance-keoxeq-relay[.]screenconnect[.]com
• Địa chỉ IP Command and Control (C2):
  • 5[.]181[.]165[.]102:7705
• Tên tệp độc hại:
  • Creation_Made_By_GrokAI.mp4 Grok.com (trình cài đặt ScreenConnect.ClientSetup.msi ngụy trang)
  • X-META Firebase_crypted.bat
  • 5btc.zip
  • pw.exe (pythonw.exe đã đổi tên)
  • basse64.txt
  • buquabua.txt
  • Exppiyt.txt
• Thư mục được tạo:
  • C:xmetavip
• Kho lưu trữ GitHub bị lợi dụng:
  • github[.]com/trieule99911/vianhthuongbtc
• Khóa Registry:
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun (với giá trị giả mạo như “Windows Security” để chạy “backup.bat”)

Địa Chỉ Command and Control (C2) Cụ Thể

Một trong các tệp Python độc hại, “Exppiyt.txt”, đã tiết lộ địa chỉ IP và cổng của máy chủ Command and Control (C2). Địa chỉ này không bị phát hiện trên VirusTotal vào thời điểm phân tích.

Thông tin C2 Server:

5[.]181[.]165[.]102:7705

Bài Học và Khuyến Nghị An Ninh Mạng

Chiến dịch này làm nổi bật việc các đối thủ tấn công lợi dụng các thương hiệu AI để tăng cường hiệu quả của kỹ thuật xã hội. Chúng vượt qua EDR thông qua các hành vi ẩn, đòi hỏi phải xem xét thủ công dòng thời gian trong các công cụ như Defender.

SpiderLabs nhấn mạnh những hạn chế của các hệ thống phát hiện tự động, đồng thời nêu bật giá trị của việc săn lùng mối đe dọa chủ động (proactive threat hunting). Điều này giúp xác định các mối đe dọa khó lường như vậy.

Để chống lại các cuộc tấn công mạng ngày càng tinh vi, việc kết hợp chuyên môn con người với sự tỉ mỉ trong điều tra là cực kỳ quan trọng. Cách tiếp cận này giúp giảm thiểu rủi ro trong bối cảnh an ninh mạng luôn thay đổi.