Một mã độc backdoor tinh vi đã được phát hiện trong AppSuite PDF Editor, cho phép các tác nhân đe dọa thực thi các lệnh tùy ý trên các hệ thống Windows bị xâm nhập. Ban đầu được phân loại là một chương trình có khả năng không mong muốn (PUA) do hành vi cài đặt mạnh mẽ, bản chất thực sự của AppSuite PDF Editor đã lộ rõ khi các thành phần độc hại của nó được giải mã và phân tích. Nghiên cứu sâu hơn bởi G DATA đã tiết lộ toàn bộ phạm vi của mã độc backdoor này.

Chiến Thuật Lây Nhiễm và Cơ Chế Phân Phối Mã Độc

Các tác nhân đe dọa đã khai thác các trang web công cụ PDF có thứ hạng cao để phân phối một trình cài đặt MSI lừa đảo, giả mạo là một ứng dụng năng suất hợp pháp. Những trang web này gợi nhớ đến các chiến dịch trojan horse trước đây như JustAskJacky, hướng nạn nhân tải xuống gói MSI được xây dựng bằng WiX.

Khi được thực thi, trình cài đặt sẽ tải xuống trình chỉnh sửa PDF dựa trên Electron từ vault.appsuites.ai vào hồ sơ người dùng. Nó sau đó thiết lập quyền duy trì bằng cách lên lịch thực thi trong tương lai với tùy chọn --cm=--fullupdate. Đây là một bước quan trọng trong chuỗi tấn công mạng nhằm thiết lập sự kiểm soát lâu dài trên hệ thống mục tiêu.

Cấu Trúc và Thành Phần Backdoor

Trái tim của sự thỏa hiệp nằm trong file pdfeditor.js, một file JavaScript bị làm rối mã chứa logic của mã độc backdoor. Các file hỗ trợ bao gồm UtilityAddon.node, một DLL trợ giúp được sử dụng để duy trì quyền truy cập thông qua các tác vụ đã lên lịch, và các binary dựa trên NSIS để thêm các mục tự khởi chạy vào registry.

Đáng chú ý, chỉ 17 trong số 3.661 dòng mã được giải mã liên quan đến giao diện người dùng đồ họa (GUI) của trình chỉnh sửa PDF; phần còn lại hoàn toàn dành cho các quy trình của mã độc backdoor. Điều này cho thấy mục đích chính của ứng dụng này không phải là cung cấp chức năng chỉnh sửa PDF, mà là cài đặt một backdoor.

Các Routine Nội Bộ và Lệnh Thực Thi

AppSuite chuyển đổi các tùy chọn người dùng (ví dụ: --install, --ping, --check, --reboot, --cleanup) thành các “wc routines” nội bộ. Các routine này thực hiện cài đặt, dọn dẹp, thăm dò cấu hình và thực thi lệnh. Các tùy chọn --partialupdate và --fullupdate liên hệ với máy chủ Command and Control (C2) để truy xuất cấu hình, thông tin đăng nhập trình duyệt và các mẫu lệnh tùy ý, sau đó được thực thi trên máy chủ.

Trong quá trình thực thi routine --install, mã độc backdoor thu thập một định danh hệ thống (SID) thông qua DLL UtilityAddon.node. Sau đó, nó đăng ký với máy chủ C2 tại appsuites.ai/api/s3/new và lưu trữ ID cài đặt cùng SID trong một file LOG1 được mã hóa. Để thực hiện điều này, nó loại bỏ tất cả các ký tự ‘-’ khỏi chuỗi ID cài đặt và tạo khóa mã hóa bằng cách nối ‘276409396fcc0a23’ với 0x10 byte đầu tiên của ID cài đặt đã xử lý.

Thiết Lập Duy Trì và Né Tránh Phát Hiện

Sau khi cài đặt, mã độc backdoor tạo ra hai tác vụ đã lên lịch:

• Một tác vụ kích hoạt --partialupdate sau một ngày trì hoãn.
• Một tác vụ khác liên tục gọi --ping.

Cơ chế này đảm bảo sự ẩn mình bằng cách né tránh các ràng buộc thời gian của môi trường sandbox, làm tăng rủi ro bảo mật và khó khăn trong việc phát hiện.

Khả Năng Đe Dọa Nghiêm Trọng và Ảnh Hưởng Hệ Thống

Khả năng nghiêm trọng nhất của mã độc backdoor này nằm trong các routine --check và --reboot. Sau khi xác minh các ràng buộc thời gian để tránh thực thi lặp lại, backdoor lấy các mẫu lệnh được mã hóa từ sdk.appsuites.ai/api/s3/options và sdk.appsuites.ai/api/s3/config. Các mẫu này cho phép thực thi trực tiếp các lệnh tùy ý trên hệ thống bị nhiễm, bao gồm:

• Thay đổi registry.
• Thao tác cài đặt trình duyệt.
• Khởi chạy phần mềm độc hại bổ sung.

Các trình xử lý bổ sung nhắm mục tiêu vào các trình duyệt dựa trên Chromium và các ứng dụng tùy chỉnh như OneLaunch và Wave Browser. Chúng trích xuất các tùy chọn người dùng, giải mã thông tin đăng nhập đã lưu thông qua DLL UtilityAddon.node và ghi đè các file cấu hình cục bộ. Các khóa registry được sửa đổi hoặc thêm vào để duy trì quyền truy cập hoặc vô hiệu hóa các công cụ bảo mật, ảnh hưởng nghiêm trọng đến an ninh mạng của hệ thống.

Khắc Phục và Chỉ Số Thỏa Hiệp (IOCs)

Mặc dù có routine --cleanup được gọi bởi trình gỡ cài đặt để hủy đăng ký cài đặt khỏi máy chủ và loại bỏ các tác vụ đã lên lịch, các tác vụ bổ sung được tạo trong thời gian chạy và quyền truy cập backdoor còn sót lại khiến trình gỡ cài đặt chính thức trở nên không hiệu quả. Điều này đặt ra một thách thức lớn trong việc khắc phục.

Để đảm bảo loại bỏ hoàn toàn mã độc backdoor này, yêu cầu phải cài đặt lại hệ điều hành (repaving) trên các hệ thống bị ảnh hưởng. Đây là biện pháp duy nhất để loại bỏ hoàn toàn các cơ chế duy trì trái phép và khôi phục sự an toàn cho hệ thống.

Chỉ Số Thỏa Hiệp (Indicators of Compromise – IOCs)

Các tổ chức nên theo dõi các chỉ số sau để phát hiện và ứng phó với mã độc backdoor AppSuite PDF Editor:

• Tên miền C2:
  • appsuites.ai
  • sdk.appsuites.ai
  • vault.appsuites.ai
• File độc hại:
  • pdfeditor.js (chứa logic backdoor)
  • UtilityAddon.node (DLL hỗ trợ duy trì)
  • File LOG1 được mã hóa (chứa ID cài đặt và SID)
• Switch đặc trưng:
  • --cm=--fullupdate
  • --partialupdate
  • --ping
  • --install
  • --check
  • --reboot
  • --cleanup

AppSuite PDF Editor rõ ràng là một phần mềm độc hại, kết hợp một trình chỉnh sửa PDF có chức năng với một mã độc backdoor đầy đủ tính năng. Chiến thuật táo bạo nộp phần mềm độc hại để yêu cầu loại bỏ sai sót (false-positive removal) cho thấy một chiến lược mới nổi của các tác nhân đe dọa. Các nhà cung cấp bảo mật nên tăng cường kiểm tra các “công cụ năng suất” đáng ngờ, và các tổ chức gặp phải nhiễm AppSuite phải cài đặt lại máy bị ảnh hưởng để đảm bảo loại bỏ hoàn toàn.

Nhu cầu về các trình chỉnh sửa PDF miễn phí vẫn cao, nhưng sự cố này nhấn mạnh sự cần thiết cấp bách của sự cảnh giác từ cả nhà cung cấp và người dùng đối với phần mềm bị trojan hóa.

Để biết thêm chi tiết kỹ thuật về phân tích mã độc backdoor này, bạn có thể tham khảo bài viết của G DATA: AppSuite PDF Editor Backdoor Analysis.