Các nhà nghiên cứu an ninh mạng tại FortiGuard Labs đã phát hiện một chiến dịch tấn công lừa đảo tinh vi, sử dụng MostereRAT, một trojan truy cập từ xa (Remote Access Trojan – RAT) để xâm nhập các hệ thống Windows. Mã độc này sử dụng các kỹ thuật né tránh tiên tiến và cài đặt các công cụ truy cập từ xa hợp pháp như AnyDesk và TightVNC nhằm duy trì quyền truy cập dai dẳng, bí mật vào các máy tính bị nhiễm.

Chiến Dịch Lừa Đảo Ban Đầu và Phương Thức Lây Nhiễm

Cuộc tấn công bắt đầu bằng các email lừa đảo được soạn thảo cẩn thận, nhắm mục tiêu vào người dùng Nhật Bản. Các email này được thiết kế trông giống như các yêu cầu kinh doanh hợp pháp. Nạn nhân được dẫn đến các trang web độc hại tự động tải xuống một tài liệu Word chứa mã độc, trong đó có một kho lưu trữ ZIP nhúng.

Tài liệu hiển thị một chỉ dẫn duy nhất bằng tiếng Anh: “OpenTheDocument”, hướng dẫn người dùng giải nén và thực thi tệp tin chứa bên trong. Một phần của luồng tấn công và các miền C2 liên quan đã được nhắc đến trong một báo cáo công khai năm 2020, có liên kết với một trojan ngân hàng.

Tệp thực thi ban đầu, document.exe, được xây dựng dựa trên mẫu menu wxWidgets từ GitHub, đóng vai trò là công cụ triển khai. Mã độc giải mã payload của nó bằng một phép toán SUB đơn giản với giá trị khóa ‘A’ và triển khai tất cả các thành phần vào C:ProgramDataWindows.

Kỹ Thuật Né Tránh và Che Giấu của MostereRAT

MostereRAT sử dụng nhiều phương pháp phức tạp để tránh bị phát hiện và duy trì hoạt động bí mật.

Tương Tác Dịch Vụ Windows Độc Đáo

Mã độc này sử dụng CreateSvcRpc, một RPC client tùy chỉnh, giao tiếp trực tiếp với pipe có tên ntsvcs để tương tác với Windows Service Control Manager. Phương pháp này bỏ qua các API tiêu chuẩn như OpenSCManager và CreateService.

Kỹ thuật này cho phép MostereRAT tạo các dịch vụ với đặc quyền cấp SYSTEM, đồng thời tránh bị phát hiện bởi các công cụ bảo mật giám sát các phương pháp tạo dịch vụ tiêu chuẩn. Xem thêm về các dịch vụ Windows tại GBHackers.

Sử Dụng Ngôn Ngữ Lập Trình EPL để Che Giấu

Một khía cạnh đáng chú ý của chiến dịch này là việc sử dụng Easy Programming Language (EPL), một ngôn ngữ lập trình dựa trên tiếng Trung Quốc giản thể dành cho người mới bắt đầu. Mã độc bao gồm một trình khởi chạy EPK và các tệp EPK độc hại yêu cầu thư viện thời gian chạy krnln.fnr để thực thi.

Cách tiếp cận này cung cấp một lớp che giấu bổ sung, vì mã độc dựa trên EPL ít phổ biến hơn trong bối cảnh mối đe dọa. Payload dựa trên EPL bao gồm nhiều module, mỗi module phục vụ các chức năng cụ thể.

Bên cạnh đó, mã độc còn chứa các thành phần được mã hóa được gói gọn trong tài nguyên của nó, bao gồm hình ảnh của những người nổi tiếng được sử dụng làm mồi nhử.

Duy Trì Quyền Truy Cập và Chiếm Quyền Điều Khiển Hệ Thống

MostereRAT được thiết kế để duy trì quyền truy cập lâu dài và nâng cao đặc quyền trên hệ thống bị nhiễm.

Cơ Chế Duy Trì Quyền Truy Cập (Persistence)

Module 1 (maindll.db) chịu trách nhiệm xử lý các cơ chế duy trì quyền truy cập, leo thang đặc quyền, can thiệp vào các công cụ bảo mật và cập nhật payload. Nó thiết lập quyền truy cập dai dẳng thông qua các tác vụ đã lên lịch (scheduled tasks) có tên MicrosoftWindowswinrshost và MicrosoftWindowswinresume, được cấu hình để chạy tự động dưới cả tài khoản SYSTEM và Administrator.

Leo Thang Đặc Quyền Mạnh Mẽ

Mã độc này thể hiện khả năng leo thang đặc quyền tinh vi bằng cách tận dụng tài khoản TrustedInstaller, một trong những tài khoản dịch vụ mạnh mẽ nhất của Windows. Sử dụng mã nguồn mượn từ dự án NSudo trên GitHub, nó nhân đôi các token tiến trình và khởi chạy các phiên bản mới với đầy đủ đặc quyền nâng cao, cho phép truy cập hệ thống không hạn chế, từ đó chiếm quyền điều khiển hoàn toàn.

Né Tránh Giải Pháp Bảo Mật và Điều Khiển Từ Xa

Khả năng né tránh và giao tiếp với máy chủ C2 là những yếu tố then chốt giúp MostereRAT hoạt động hiệu quả.

Can Thiệp Các Sản Phẩm Bảo Mật

MostereRAT bao gồm danh sách toàn diện các đường dẫn và tên sản phẩm bảo mật, nhắm mục tiêu vào các giải pháp phổ biến như:

• 360 Safe
• Kingsoft Antivirus
• Tencent PC Manager
• Windows Defender
• ESET
• Avira
• Avast
• Malwarebytes

Mã độc sử dụng các bộ lọc Windows Filtering Platform (WFP) để chặn lưu lượng mạng từ các sản phẩm bảo mật bị phát hiện, ngăn chúng truyền dữ liệu phát hiện, cảnh báo hoặc đo từ xa (telemetry) đến máy chủ của chúng.

Giao Thức Giao Tiếp và Điều Khiển Từ Xa

Module 2 (elsedll.db) cung cấp chức năng truy cập từ xa cốt lõi, thiết lập giao tiếp bảo mật với các máy chủ Command and Control (C2) bằng cách sử dụng xác thực mTLS (mutual TLS). Phân tích của FortiGuard cho thấy giao thức giao tiếp của MostereRAT sử dụng một số ma thuật 1234567890, theo sau là độ dài gói tin và định danh lệnh.

Mã độc hỗ trợ 37 lệnh khác nhau, cho phép kiểm soát hệ thống toàn diện bao gồm các hoạt động tệp tin, triển khai payload, chụp màn hình và liệt kê người dùng. Để tìm hiểu thêm về phân tích này, bạn có thể tham khảo bài viết của Fortinet: MostereRAT Deployed AnyDesk, TightVNC For Covert Full Access.

Triển Khai Công Cụ Truy Cập Từ Xa Hợp Pháp

Điểm đáng kể nhất trong hoạt động của MostereRAT là việc triển khai các công cụ truy cập từ xa hợp pháp. Mã độc có thể cài đặt và cấu hình AnyDesk, TightVNC và RDP Wrapper, cung cấp cho kẻ tấn công nhiều con đường để truy cập từ xa liên tục.

Các công cụ này được cấu hình để cấp quyền truy cập độc quyền cho kẻ tấn công, đồng thời vẫn ẩn khỏi người dùng hợp pháp thông qua các sửa đổi registry và kỹ thuật che giấu cửa sổ.

Phòng Chống và Tăng Cường An Ninh Mạng

MostereRAT đại diện cho một sự phát triển đáng kể về khả năng của trojan truy cập từ xa, kết hợp kỹ thuật xã hội, các kỹ thuật né tránh tiên tiến và lạm dụng công cụ hợp pháp để đạt được sự xâm nhập hệ thống dai dẳng. Để bảo vệ khỏi các mối đe dọa tinh vi như vậy, các tổ chức cần thực hiện các biện pháp an ninh mạng sau:

• Đào tạo nhận thức bảo mật toàn diện: Nâng cao nhận thức của người dùng về các cuộc tấn công lừa đảo và cách nhận diện chúng.
• Duy trì các giải pháp bảo mật cập nhật: Đảm bảo rằng tất cả các phần mềm bảo mật, hệ điều hành và ứng dụng đều được cập nhật các bản vá lỗi mới nhất.
• Giám sát hoạt động truy cập từ xa bất thường: Theo dõi các triển khai hoặc hoạt động bất thường của các công cụ truy cập từ xa trên hệ thống.