Một chiến dịch tấn công mạng tinh vi đã được nhóm APT Patchwork (còn gọi là APT Group 72) triển khai, nhắm vào các tổ chức giá trị cao tại Pakistan. Chiến dịch này ban đầu bị gán nhầm cho một nhóm có tên là DarkSamural, được nhận định là một hình thức giả mạo để đánh lừa cộng đồng tình báo về các mối đe dọa mạng.

Kẻ tấn công sử dụng các tệp tin LNK độc hại giả dạng tài liệu PDF và các container MSC phức tạp, tích hợp công nghệ GrimResource. Mục tiêu chính là phát tán payload đa tầng nhằm đánh cắp dữ liệu quan trọng từ các mục tiêu.

Phân tích nhóm APT Patchwork (APT Group 72)

Patchwork là một nhóm đe dọa dai dẳng tiên tiến (APT) đã hoạt động từ khoảng năm 2009. Nhóm này nổi lên vào năm 2015 khi Cymmetria công bố các hoạt động gián điệp quy mô lớn của họ. Đối tượng nhắm mục tiêu chính của Patchwork bao gồm các tổ chức quân sự, ngoại giao, giáo dục và nghiên cứu khoa học tại Trung Quốc, Pakistan và Bangladesh. Tìm hiểu thêm về Patchwork trên MITRE ATT&CK.

Đặc trưng của Patchwork là kỹ thuật spear-phishing, tạo ra các email có tệp đính kèm trông vô hại nhưng chứa mã thực thi độc hại. Trong chiến dịch tấn công mạng gần đây, chúng khai thác các tệp MSC của Windows, ngụy trang bằng biểu tượng PDF để đánh lừa nạn nhân.

Khi được mở, các container MSC này kích hoạt mmc.exe để tải một đối tượng ActiveX, cho phép mã JavaScript nhúng thực thi các payload tiếp theo từ máy chủ C2 (Command-and-Control) từ xa.

Kho công cụ của Patchwork

Patchwork duy trì một kho vũ khí đa dạng bao gồm cả công cụ độc quyền và mã nguồn mở. Danh sách này bao gồm:

• BADNEWS RAT: Để truy cập từ xa một cách lén lút.
• QuasarRAT và AsyncRAT: Cho giao tiếp C2 đơn giản.
• Mythic: Một framework kiểm thử xâm nhập có tính mô-đun.
• Remcos RAT: Một công cụ thương mại.
• NorthStarC2: Công cụ điều khiển và kiểm soát tùy chỉnh.

Việc luân phiên sử dụng các công cụ này giúp nhóm duy trì quyền kiểm soát liên tục trên các môi trường bị xâm nhập mạng và né tránh các hệ thống phòng thủ dựa trên chữ ký.

Chi tiết kỹ thuật chuỗi tấn công và lây nhiễm

Quá trình tấn công mạng ban đầu dựa vào các email lừa đảo chứa một tệp nén có tên “Drone_Information.pdf.msc”. Khi tệp .msc này được thực thi, nó sử dụng GrimResource để giải mã và chạy một JScript bị che giấu.

JScript này sau đó tải xuống tệp HTML thứ cấp có tên “Unit-942-Drone-Info-MAK3.html”.

Giai đoạn phát tán Payload thứ hai

Tệp HTML này chứa hai lớp JavaScript bị che giấu:

• Lớp thứ nhất: Kích hoạt chuyển đổi XSLT thông qua CLSID{2933BF90-7B36-11D2-B20E-00C04F983E60}, lấy thêm script từ một URL từ xa.
• Lớp thứ hai: Tải xuống payload thực sự, tệp “Drone_Information.pdf”, vào thư mục C:UsersPublic.

Kỹ thuật né tránh và duy trì bền vững

Để né tránh các hệ thống phát hiện tấn công, JavaScript được che giấu rất kỹ lưỡng qua nhiều lớp. Đồng thời, các tiện ích Windows hợp pháp như dism.exe được sử dụng để sideload một DLL độc hại, được đổi tên thành DismCore.dll.

Sự bền vững được thiết lập bằng cách đăng ký các tác vụ đã lên lịch với tên “MicrosoftEdgeUpdateTaskMachineCoreXUI” và tạo các mục khởi động trong hệ thống bị tấn công mạng.

Sau khi được cài đặt, mã độc ghi dữ liệu nhật ký vào C:ProgramData6092E833-F189-4160-951D.log trước khi đổi tên thành DismCore.dll và gọi hàm DllRegisterServer của nó. Hàm này sẽ giải quyết động các địa chỉ API và khởi tạo tác nhân Mythic.

Tác nhân Mythic và Giao tiếp C2

Tác nhân Mythic, được biên dịch vào ngày 29 tháng 5 năm 2025, giao tiếp với máy chủ C2 tại https://d11d6t6zp1jvtm.cloudfront.net/data sử dụng mã hóa AES-HMAC. Mã độc tạo các yêu cầu POST thông qua WinHTTP APIs, thêm giá trị IV vào các payload được mã hóa bằng khóa 256-bit dùng chung.

Trong mỗi lần kiểm tra, mã độc báo cáo chi tiết máy chủ bị tấn công mạng bao gồm IP, hệ điều hành (OS), người dùng, tên máy chủ, PID và UUID. Thông tin này mô phỏng các mẫu lưu lượng truy cập hợp pháp của Mythic. Cờ checkin trong trường hành động của mẫu, cấu trúc dữ liệu gói trực tuyến và phương pháp mã hóa AES-128-GCM đều được sử dụng để duy trì tính bảo mật của giao tiếp C2.

Hoạt động giả mạo và đánh giá

Trang mồi HTML chứa thương hiệu bằng tiếng Việt, tự nhận là có liên kết với Dark Samurai, cho thấy đây là một sự đánh lạc hướng có chủ đích. Phân tích tương quan các miền và các mẫu Protego bổ sung đã dẫn đến việc các nhà nghiên cứu quy kết toàn bộ hoạt động cho Patchwork. Điều này xác nhận DarkSamural là một chiến dịch giả mạo có mục đích, được thiết kế để gây nhầm lẫn trong cộng đồng tình báo mối đe dọa.

Các chỉ số thỏa hiệp (IOCs)

Các chỉ số thỏa hiệp (IOCs) được xác định từ chiến dịch tấn công mạng này bao gồm:

• Tên tệp:
  • Drone_Information.pdf.msc
  • Unit-942-Drone-Info-MAK3.html
  • Drone_Information.pdf (payload cuối cùng)
  • DismCore.dll
• Đường dẫn tệp/Nhật ký:
  • C:ProgramData6092E833-F189-4160-951D.log
  • Tải về Drone_Information.pdf tới C:UsersPublic
• URL C2:
  • https://d11d6t6zp1jvtm.cloudfront.net/data
• Tên tác vụ đã lên lịch:
  • MicrosoftEdgeUpdateTaskMachineCoreXUI
• CLSID liên quan đến XSLT:
  • CLSID{2933BF90-7B36-11D2-B20E-00C04F983E60}

Khuyến nghị phòng ngừa và phát hiện

Trước các chiến dịch tấn công mạng liên tục và tinh vi của Patchwork, các tổ chức tại Nam Á và các khu vực khác cần tăng cường các biện pháp bảo vệ. Để giảm thiểu rủi ro bị xâm nhập mạng, cần tập trung vào các lĩnh vực sau:

• Lọc email mạnh mẽ: Triển khai các giải pháp lọc email tiên tiến để ngăn chặn các email spear-phishing có chứa tệp đính kèm độc hại.
• Kiểm tra tài liệu kỹ lưỡng: Hướng dẫn người dùng và hệ thống tự động kiểm tra kỹ lưỡng các tệp tài liệu dường như vô hại, đặc biệt là các tệp có định dạng MSC hoặc LNK.
• Phát hiện hành vi: Triển khai các công cụ phát hiện tấn công dựa trên hành vi có khả năng phân tích các script đa lớp và nhận diện các hoạt động đáng ngờ, thay vì chỉ dựa vào chữ ký tĩnh.

Với bộ công cụ ngày càng phát triển của Patchwork, các nhà bảo vệ đang đối mặt với một đối thủ đáng gờm, rất thành thạo trong việc lừa đảo và xoay vòng chuỗi công cụ nhanh chóng.