Một chiến dịch mối đe dọa mạng mới đã được phát hiện, sử dụng một phiên bản Trojan hóa của ứng dụng EarthTime từ DeskSoft để triển khai các phần mềm độc hại phức tạp. Chiến dịch này tận dụng truy cập RDP (Remote Desktop Protocol) để thực thi lệnh và thực hiện trinh sát mạng, đánh dấu một bước tiến nguy hiểm trong các kỹ thuật tấn công mạng.

Phân tích Chiến dịch Trojanized EarthTime

Các nhà phân tích bảo mật quy kết cuộc tấn công này cho một nhóm đối tác liên kết với nhiều nhóm ransomware-as-a-service (RaaS). Sự cố này nhấn mạnh xu hướng ngày càng tăng của các kỹ thuật lừa đảo kiểu chuỗi cung ứng kết hợp với chiến thuật “living-off-the-land” (LotL), một đặc điểm của nhiều mối đe dọa mạng hiện đại. Thông tin chi tiết hơn có thể được tìm thấy tại báo cáo của The DFIR Report.

Khởi đầu cuộc xâm nhập và Lỗ hổng CWE-427

Vào tháng 9 năm 2024, một người dùng đã vô tình tải xuống trình cài đặt EarthTime từ một trang web dường như là trang chính thức của DeskSoft. Khi thực thi, tệp nhị phân này – được ký bằng một chứng chỉ đã bị thu hồi từ “Brave Pragmatic Network Technology Co., Ltd.” – đã triển khai trojan truy cập từ xa SectopRAT.

Những kẻ tấn công đã khai thác một lỗ hổng CVE được xếp loại CWE-427 (Uncontrolled Search Path Element) trong trình cài đặt. Lỗ hổng này cho phép chúng bỏ qua các kiểm tra tính toàn vẹn. Payload độc hại đã được thả vào hệ thống khi trình cài đặt tìm kiếm các tệp tài nguyên trong thư mục hiện hành.

Chuỗi triển khai Malware: SectopRAT và SystemBC

Tệp nhị phân độc hại này đã khởi động một chuỗi thực thi dẫn đến việc triển khai SectopRAT, một trojan truy cập từ xa (RAT) dựa trên .NET với khả năng đánh cắp thông tin, đại diện cho một mối đe dọa mạng nghiêm trọng. Sau đó, một payload thứ cấp – SystemBC (ngụy trang dưới dạng WakeWordEngine.dll) – được đặt tại C:UsersPublicMusic và thực thi thông qua rundll32.exe.

Mục đích của SystemBC là thiết lập một tunnel proxy cho các kết nối RDP. Chuỗi độc hại này cho phép kẻ tấn công bỏ qua các kiểm soát an ninh ngoại vi và di chuyển trong mạng mà không gây ra cảnh báo đặc quyền cao.

Thiết lập Truy cập RDP và Di chuyển Ngang

Với tunnel SystemBC đã được thiết lập, tác nhân đe dọa đã kết nối đến các máy chủ nội bộ bằng RDP, cho thấy khả năng xâm nhập sâu của mối đe dọa mạng này. Các phiên RDP thường hiển thị các sự kiện logon type 3, sau đó là logon type 10, xác nhận việc sử dụng các proxy SystemBC để chuyển đổi giữa các hệ thống.

Trong các phiên này, kẻ tấn công đã sử dụng nhiều công cụ tích hợp sẵn và bên thứ ba để khám phá và di chuyển ngang. Các công cụ chính bao gồm:

• AdFind: Để thu thập thông tin về Active Directory.
• BloodHound: Phân tích các mối quan hệ và đường dẫn tấn công trong AD.
• Impacket: Bộ công cụ Python để làm việc với các giao thức mạng.
• Ntdsutil: Để tương tác với cơ sở dữ liệu Active Directory.
• SharpDPAPI: Khai thác thông tin từ DPAPI.
• SharpShares: Liệt kê và phân tích các chia sẻ mạng.
• Mimikatz: Đánh cắp thông tin xác thực từ bộ nhớ.

Đánh cắp Thông tin xác thực và Triển khai Backdoor

Các tác nhân đã thực hiện các cuộc tấn công DCSync để trích xuất thông tin xác thực miền. Sau đó, chúng sử dụng PsExec với đặc quyền SYSTEM để triển khai thêm các phiên bản SystemBC trên các máy khác. Vào ngày thứ sáu của cuộc xâm nhập, MSBuild.exe đã ghi một tệp thực thi mới, ccs.exe, được xác định là backdoor đa chức năng Betruger.

Betruger, ngụy trang thành Avast Antivirus, đã tự tiêm vào 172 tiến trình để thu thập thông tin xác thực, chụp ảnh màn hình và thực hiện trinh sát mạng. Đồng thời, một DLL loader có tên vhd.dll đã được triển khai, yêu cầu một khóa giải mã để thực thi payload ẩn của nó; tuy nhiên, khả năng của nó vẫn đang được phân tích.

Cơ chế C2 và Kỹ thuật Né tránh Phòng thủ

Sau khi được tiêm, tiến trình MSBuild.exe độc hại đã liên hệ với Pastebin để lấy cấu hình C2 của nó. SectopRAT cũng tự tiêm vào MSBuild.exe (một tiến trình hợp pháp được Microsoft ký) và lấy cấu hình C2 từ Pastebin, khởi tạo giao tiếp với IP 45.141.87.55 qua các cổng 9000 và 15647.

Các kỹ thuật né tránh phòng thủ bao gồm:

• Timestomping: Thay đổi dấu thời gian của tệp thành năm 2037 để che giấu dấu vết.
• Vô hiệu hóa Microsoft Defender: Bằng cách sửa đổi registry dưới khóa HKLMSOFTWAREPoliciesMicrosoftWindows Defender.
• Ngụy trang công cụ tùy chỉnh: Các công cụ GT_NET.exe và GRB_NET.exe được ngụy trang với siêu dữ liệu giả mạo của SentinelOne và Avast.

Mã lệnh thay đổi registry để vô hiệu hóa Defender có thể tương tự như sau (cần cẩn trọng khi thực thi):

reg add "HKLMSOFTWAREPoliciesMicrosoftWindows Defender" /v DisableAntiSpyware /t REG_DWORD /d 1 /f
reg add "HKLMSOFTWAREPoliciesMicrosoftWindows DefenderReal-Time Protection" /v DisableRealtimeMonitoring /t REG_DWORD /d 1 /f

Đánh cắp Dữ liệu và Chuẩn bị Ransomware

Trước khi bị phát hiện, kẻ tấn công đã lưu trữ một cách có hệ thống các thư mục có giá trị cao bằng WinRAR và chuyển chúng qua FTP không mã hóa bằng WinSCP tới IP 144.202.61.209. Gói tin thu được đã tiết lộ thông tin xác thực dạng văn bản thuần túy và các lần truyền tệp kéo dài khoảng 15 phút, nhấn mạnh nguy hiểm của các giao thức kế thừa trong môi trường hiện đại.

Mặc dù việc triển khai mã độc ransomware chưa được quan sát, sự hiện diện của các kết quả trinh sát Grixba liên quan đến các nhóm Play và DragonForce, kết hợp với các liên kết của Betruger với RansomHub, cho thấy một mối đe dọa mạng tống tiền tiềm tàng.

Các chỉ số thỏa hiệp (IOCs)

Dưới đây là các chỉ số thỏa hiệp liên quan đến mối đe dọa mạng được phân tích:

• IP C2:
  • 45.141.87.55 (SectopRAT C2)
  • 149.28.101.219 (SystemBC C2)
  • 144.202.61.209 (FTP Exfiltration)
• Tên tệp độc hại:
  • EarthTime.exe (Trojanized installer)
  • WakeWordEngine.dll (SystemBC)
  • ccs.exe (Betruger backdoor)
  • vhd.dll (Loader DLL)
• Đường dẫn:
  • C:UsersPublicMusicWakeWordEngine.dll
• Chữ ký chứng chỉ đã thu hồi: Brave Pragmatic Network Technology Co., Ltd.
• Tiến trình bị tiêm:MSBuild.exe, explorer.exe

Khuyến nghị Phòng ngừa và Phát hiện

Các nhóm bảo mật cần ưu tiên áp dụng các biện pháp sau để đối phó với những mối đe dọa mạng tương tự:

• Kiểm soát ứng dụng chặt chẽ: Thực hiện danh sách trắng ứng dụng (application whitelisting) để chỉ cho phép các chương trình đã được phê duyệt chạy.
• Giám sát Registry: Theo dõi các thay đổi trong registry liên quan đến chính sách của Microsoft Defender.
• Phân đoạn mạng: Triển khai phân đoạn mạng để hạn chế khả năng tạo tunnel RDP và di chuyển ngang của kẻ tấn công.
• Phát hiện nâng cao LotL: Tăng cường khả năng phát hiện việc sử dụng các công cụ “living-off-the-land” một cách bất thường, đặc biệt là các chuỗi thực thi liên quan đến MSBuild.exe và rundll32.exe.

Chiến dịch này minh họa rõ ràng sự hội tụ của kỹ thuật xã hội, việc xâm nhập RDP được hỗ trợ bởi proxy và kho vũ khí phần mềm độc hại đa giai đoạn được thiết kế để tàng hình và đánh cắp dữ liệu nhanh chóng, hình thành một mối đe dọa mạng phức tạp. Những biện pháp này sẽ giúp giảm thiểu rủi ro từ các cuộc tấn công phức tạp, đa giai đoạn, góp phần xây dựng một hệ thống phòng thủ vững chắc trước mọi mối đe dọa mạng.