Các nhà nghiên cứu an ninh mạng đã ghi nhận sự tiến hóa tinh vi trong hoạt động của mã độc XWorm, với chiến dịch backdoor này triển khai các chiến thuật nâng cao nhằm né tránh hệ thống phát hiện. Trung tâm Nghiên cứu Nâng cao Trellix đã công bố chi tiết về sự thay đổi đáng kể trong chiến lược triển khai của mã độc XWorm, tiết lộ một bước chuyển mình có chủ đích sang các phương pháp lây nhiễm phức tạp và đánh lừa, được thiết kế để tăng tỷ lệ thành công mà vẫn không bị phát hiện.

Sự Tiến Hóa Chiến Lược của Mã Độc XWorm

Trước đây, mã độc XWorm thường dựa vào các cơ chế phân phối dễ đoán. Tuy nhiên, các chiến dịch gần đây cho thấy một sự chuyển đổi chiến lược rõ rệt. Mã độc này hiện sử dụng các tên tệp thực thi trông hợp pháp để ngụy trang thành các ứng dụng vô hại, lợi dụng sự tin cậy của cả người dùng và hệ thống.

Cách tiếp cận này kết hợp kỹ thuật xã hội với các vectơ tấn công kỹ thuật, vượt ra ngoài các cuộc tấn công dựa trên email thông thường. Mặc dù vậy, mã độc vẫn sử dụng các tệp tin .lnk và email lừa đảo làm điểm truy cập ban đầu.

Cơ Chế Khai Thác Giai Đoạn Đầu

Quá trình lây nhiễm bắt đầu bằng một tệp .lnk được phân phối lén lút thông qua các chiến dịch lừa đảo (phishing). Khi được thực thi, phím tắt này sẽ kích hoạt các lệnh PowerShell độc hại, khởi đầu một chuỗi phản ứng phức tạp. Quá trình này sẽ thả một tệp văn bản chứa thông điệp “domethelegandary-ontop hackingtest f**ked” vào thư mục tạm thời của hệ thống trước khi tải xuống một tệp thực thi giả mạo có tên ‘discord.exe’ từ một máy chủ từ xa.

Đa Hình và Ngụy Trang Giai Đoạn Hai

Tệp ‘discord.exe’ được tải xuống đóng vai trò là giai đoạn thứ hai của cuộc tấn công. Nó sử dụng các kỹ thuật đóng gói .NET tinh vi và ngụy trang bằng một biểu tượng ứng dụng Discord hợp pháp. Khi thực thi, nó thả hai tệp độc hại bổ sung: ‘main.exe’ và ‘system32.exe’. Tệp ‘system32.exe’ chính là payload XWorm thực sự, được đặt tên có chủ đích để bắt chước một tệp hệ thống Windows quan trọng nhằm mục đích ngụy trang.

Kỹ Thuật Né Tránh và Duy Trì Truy Cập

Thành phần ‘main.exe’ tập trung vào việc thỏa hiệp hệ thống bằng cách vô hiệu hóa Windows Firewall thông qua sửa đổi registry và kiểm tra các ứng dụng bảo mật của bên thứ ba. Trong khi đó, ‘system32.exe’ triển khai các kỹ thuật né tránh nâng cao, bao gồm phát hiện môi trường ảo để tránh phân tích trong sandbox bảo mật.

Vô Hiệu Hóa Tường Lửa và Né Tránh Phát Hiện

Mã độc tạo một khóa registry tại “HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsFirewallDisableFirewall” để đảm bảo tường lửa bị vô hiệu hóa liên tục qua các lần khởi động lại hệ thống. Điều này giúp mã độc XWorm dễ dàng giao tiếp với máy chủ C2 mà không bị cản trở.

Khai Thác PowerShell để Né Tránh Windows Defender

Mã độc XWorm thể hiện khả năng chống phân tích tinh vi thông qua một số phương pháp. Nó sử dụng các lệnh PowerShell với ExecutionPolicy Bypass để thêm chính nó vào danh sách loại trừ của Windows Defender, bỏ qua khả năng giám sát theo thời gian thực. Kỹ thuật này đặc biệt hiệu quả trong việc duy trì hoạt động mà không bị phát hiện bởi các giải pháp bảo mật mặc định.

Phát Hiện Môi Trường Ảo (Sandbox Evasion)

Nếu phát hiện môi trường ảo hóa, mã độc XWorm sẽ tự chấm dứt bằng cơ chế failfast. Trong môi trường hợp pháp, nó tạo một bản sao có tên “Xclient.exe” và thiết lập nhiều cơ chế duy trì truy cập.

Các Cơ Chế Duy Trì Truy Cập (Persistence)

Mã độc tạo một tác vụ theo lịch trình (scheduled task) có tên “XClient” chạy mỗi phút, đảm bảo hoạt động liên tục ngay cả sau khi hệ thống khởi động lại hoặc các nỗ lực chấm dứt. Mã độc cũng tạo một mutex có tên “1JJyHGXN8Jb9yEZG” để ngăn chặn nhiều phiên bản chạy đồng thời, giúp quản lý tài nguyên và tránh xung đột.

Giao Tiếp và Khả Năng Điều Khiển từ Xa

Một khi được thiết lập, mã độc XWorm cung cấp khả năng backdoor mở rộng thông qua giao tiếp với máy chủ Command and Control (C2) của nó. Các kẻ tấn công có thể thực hiện nhiều lệnh từ xa khác nhau, biến các máy bị xâm nhập thành các nút botnet, mở rộng khả năng hoạt động của chúng.

Mã Hóa Dữ Liệu C2

Mã độc sử dụng mật mã tiên tiến, bao gồm thuật toán Rijndael cipher kết hợp với mã hóa Base64 để che giấu dữ liệu. Quá trình giải mã hai giai đoạn này bảo vệ dữ liệu hoạt động quan trọng, bao gồm thông tin máy chủ Command and Control, địa chỉ IP, tên miền và số cổng cần thiết cho giao tiếp với kẻ tấn công.

Chức Năng Backdoor Toàn Diện

Thông qua máy chủ C2, kẻ tấn công có thể thực hiện các hành động như tắt hệ thống, tải tệp, chuyển hướng URL và thực hiện các cuộc tấn công DDoS. Điều này cho thấy tiềm năng của mã độc XWorm trong việc hỗ trợ nhiều loại hình tấn công khác nhau, từ gián điệp đến phá hoại.

Thu Thập Thông Tin Hệ Thống

Mã độc thu thập dữ liệu trinh sát hệ thống một cách có hệ thống, bao gồm tên máy tính, nhà sản xuất và thông tin mẫu máy. Thông tin tình báo này giúp kẻ tấn công hiểu rõ mục tiêu của mình và tùy chỉnh các giai đoạn tấn công tiếp theo.

Biện Pháp Phòng Ngừa và Ứng Phó

Sự tiến hóa của mã độc XWorm thể hiện một bước tiến đáng kể về độ tinh vi của phần mềm độc hại, nêu bật nhu cầu cấp thiết về các phương pháp bảo mật đa lớp. Để đối phó với mối đe dọa mạng ngày càng phức tạp này, các tổ chức phải triển khai các cơ chế phát hiện tấn công mạnh mẽ, đào tạo nâng cao nhận thức người dùng và bảo vệ điểm cuối toàn diện.

Cần thiết phải áp dụng các biện pháp bảo mật chủ động để chống lại các vectơ tấn công ngày càng tinh vi, thách thức các biện pháp bảo mật truyền thống. Theo Trellix Advanced Research Center, việc hiểu rõ các chiến thuật mới của XWorm là chìa khóa để xây dựng hệ thống phòng thủ hiệu quả.

Các Chỉ Số Thỏa Hiệp (IOCs) và Kỹ Thuật (TTPs)

• Tên tệp ngụy trang:discord.exe, system32.exe
• Tệp payload thực:system32.exe (ngụy trang XWorm)
• Thành phần kiểm soát tường lửa:main.exe
• Khóa Registry vô hiệu hóa tường lửa:HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsFirewallDisableFirewall
• Tên bản sao trong môi trường hợp pháp:Xclient.exe
• Tên Scheduled Task:XClient
• Tên Mutex:1JJyHGXN8Jb9yEZG
• Kỹ thuật né tránh Defender: Sử dụng PowerShell với ExecutionPolicy Bypass để thêm vào danh sách loại trừ.
• Kỹ thuật mã hóa C2: Rijndael cipher kết hợp Base64 encoding.