Nhóm tác chiến dai dẳng nâng cao (APT) Sidewinder, còn được biết đến với tên gọi APT-C-24 hoặc “Rattlesnake”, đã thay đổi chiến thuật với cơ chế phân phối mới, khai thác tệp tin shortcut của Windows (LNK) để thực hiện các cuộc xâm nhập đa tầng phức tạp. Sự thay đổi này đánh dấu một bước phát triển đáng chú ý trong cách nhóm này tạo ra các mối đe dọa mạng tại khu vực Nam Á.

Chiến Thuật Mới Của APT Sidewinder

Hoạt động từ ít nhất năm 2012, nhóm APT Sidewinder đã nhắm mục tiêu vào các tổ chức chính phủ, công ty năng lượng, cơ sở quân sự và hoạt động khai thác mỏ tại Pakistan, Afghanistan, Nepal, Bhutan và Myanmar. Chiến dịch mới nhất minh chứng cho sự đổi mới liên tục của nhóm trong các hoạt động gián điệp tinh vi và là một mối đe dọa mạng nghiêm trọng.

Các nhà nghiên cứu bảo mật tại 360 Advanced Threat Research Institute đã phát hiện một loạt các kho lưu trữ nén chứa ba tệp LNK độc hại. Các kho lưu trữ này, được lưu trữ trên các máy chủ từ xa, sử dụng các tên tệp được tạo ra cẩn thận—như “file 1.docx.lnk,” “file 2.docx.lnk,” và “file 3.docx.lnk”—để ngụy trang thành các tài liệu vô hại. Để biết thêm chi tiết, bạn có thể tham khảo nghiên cứu tại 360 Advanced Threat Research Institute.

Cơ Chế Phân Phối File LNK

Khi nạn nhân thực thi bất kỳ shortcut nào, chương trình nhị phân Windows mshta.exe sẽ được gọi để tìm nạp và thực thi một payload JScript bị che giấu từ một URL từ xa. URL này được tham số hóa bằng “yui=0,” “yui=1,” hoặc “yui=2.”

Cách tiếp cận này cho thấy nhóm đã từ bỏ việc khai thác các lỗ hổng Microsoft Office cũ (như CVE-2017-0199 và CVE-2017-11882) mà nhóm từng ưa chuộng. Thay vào đó, chúng chọn một con đường thực thi không cần tệp tin (fileless) linh hoạt hơn, làm tăng khả năng tránh các biện pháp phát hiện xâm nhập truyền thống.

Cơ Chế Khai Thác Đa Tầng và Né Tránh Phát Hiện

Khi được thực thi, JScript sử dụng nhiều lớp che giấu để giải nén một payload thứ cấp được ngụy trang. Script này trực tiếp đổ dữ liệu được mã hóa Base64 vào thư mục TEMP của nạn nhân dưới tên tệp giả mạo là “file 2.docx.”

Không như các bộ giải mã thông thường, script không giải mã tệp tin cục bộ. Thay vào đó, nó dựa vào một thành phần .NET tiếp theo—được phân phối qua mshta.exe—để giải nén và loại bỏ che giấu nội dung trong bộ nhớ. Quy trình hai bước này giúp vô hiệu hóa khả năng phát hiện của các công cụ chống vi-rút quét các tạo phẩm dựa trên đĩa, làm tăng hiệu quả của mối đe dọa mạng này.

Kỹ Thuật Né Tránh Môi Trường Sandbox

Thành phần đã được giải mã, một trình tải xuống C# bị che giấu mạnh mẽ (MD5: 2e382c82d055e6e3a5feb9095d759735), bắt đầu một quy trình trinh sát môi trường. Nó truy vấn số lượng lõi CPU thông qua WMI và thoát sớm nếu phát hiện ít hơn hai lõi, đảm bảo chỉ triển khai trên các hệ thống có đủ tài nguyên. Đây là một cách thức để tránh các môi trường phân tích sandbox.

Tương tự, nó xác minh rằng bộ nhớ vật lý vượt quá 810 MB trước khi tiếp tục, từ đó tránh các môi trường bị hạn chế tài nguyên thường liên quan đến máy ảo được sử dụng trong phân tích.

Nếu các kiểm tra môi trường thành công, trình tải xuống sẽ kiểm tra các tiến trình đang chạy để tìm các chuỗi liên quan đến sản phẩm bảo mật—như “Kaspersky” hoặc “ESET NOD32 Antivirus.” Các tên được phát hiện sẽ được thêm vào dưới dạng tham số truy vấn vào URL C2, nhằm thông báo cho kẻ tấn công về tình hình bảo mật của mục tiêu.

Sau đó, trình tải xuống định vị tệp “file 2.docx” đã bị thả, thực hiện giải mã Base64 và giải nén, rồi khởi chạy tài liệu giả mạo để đánh lạc hướng người dùng. Cuối cùng, nó truy xuất một payload tiếp theo từ hạ tầng C2, giải mã nó qua một quy trình XOR được tạo hạt từ 32 byte dữ liệu đầu tiên, và tải nó vào bộ nhớ một cách phản chiếu để có khả năng điều khiển từ xa. Điều này làm tăng thêm nguy cơ của mối đe dọa mạng này.

Phân Tích Cơ Sở Hạ Tầng C2 và Dấu Hiệu Nhận Diện

Kiến trúc của cuộc tấn công mạng này phản ánh các chiến dịch trước đây của Sidewinder, chia sẻ các đặc điểm nổi bật như tên tệp LNK đa phần mở rộng kết thúc bằng hai hậu tố và các URL từ xa được thêm hậu tố bằng các tham số số tăng dần.

Các kho lưu trữ trước đó sử dụng phần mở rộng “.jpg.lnk” với các tham số “q=0,1,2,” trong khi đợt hiện tại sử dụng “.docx.lnk” và “yui=0,1,2.” Tất cả các tên miền C2—bao gồm policy.mail163cn.info—đều phân giải thành IP 89.150.45.75 và thể hiện dấu vân tay JARM và tiêu đề HTTP nhất quán (“HTTP/1.1 404 Not Found,” nginx), phù hợp với các mẫu hạ tầng của Rattlesnake. Sự đồng nhất này là một dấu hiệu mạnh mẽ để phát hiện xâm nhập.

Hơn nữa, việc bao gồm các chỉ báo địa lý như “nepal,” “army,” và “lk” trong tên miền lặp lại sở thích lịch sử của Sidewinder đối với các tên miền phụ cụ thể theo khu vực. Sự phù hợp của các thuật toán che giấu, quy ước đặt tên tệp và kỹ thuật lưu trữ C2 không để lại nghi ngờ nào rằng chiến dịch LNK “yui” là tác phẩm của nhóm APT-C-24, một mối đe dọa mạng đáng gờm.

Chỉ Số Nhận Diện Compromise (IOCs)

Dưới đây là các chỉ số nhận diện compromise (IOCs) liên quan đến chiến dịch này:

• MD5 của C# downloader:2e382c82d055e6e3a5feb9095d759735
• C2 Domain:policy.mail163cn.info
• C2 IP Address:89.150.45.75

Các Biện Pháp Phòng Ngừa và Giảm Thiểu Mối Đe Dọa

Khi Sidewinder tiếp tục tinh chỉnh kỹ năng của mình, các tổ chức hoạt động tại Nam Á và xa hơn nữa phải cảnh giác với các shortcut tưởng chừng vô hại, vì chúng có thể là khởi đầu của một mối đe dọa mạng lớn.

Để giảm thiểu rủi ro từ các cuộc tấn công mạng của APT Sidewinder, việc áp dụng các chính sách thực thi nghiêm ngặt cho các tệp LNK, vô hiệu hóa mshta.exe khi khả thi, và tăng cường giám sát điểm cuối mạnh mẽ sẽ là rất quan trọng để phát hiện xâm nhập và giảm nhẹ mối đe dọa mạng hiểm độc này.