Các nhà nghiên cứu bảo mật đã phát hiện một mã độc loader mới, tinh vi mang tên CountLoader malware, sử dụng các tệp PDF được vũ khí hóa để phân phối payload mã độc ransomware tới các nạn nhân ở nhiều khu vực, đặc biệt tập trung vào các mục tiêu tại Ukraine.

CountLoader malware đánh dấu sự leo thang đáng kể trong các kỹ thuật phân phối mã độc. Nó hoạt động thông qua ba phiên bản riêng biệt: triển khai bằng .NET, PowerShell và JScript. Các phiên bản này cho thấy sự linh hoạt trong phương thức tấn công.

CountLoader: Một Mối Đe Dọa Mạng Nguy Hiểm

CountLoader malware đã được liên kết trực tiếp với một số nhóm ransomware nổi tiếng như LockBit, BlackBasta và Qilin. Điều này chứng tỏ tính liên kết chặt chẽ và phức tạp trong các hoạt động tội phạm mạng hiện đại.

Các nhà phân tích mối đe dọa từ Silent Push, những người đã phát hiện và đặt tên cho mã độc này, đánh giá với mức độ tin cậy từ trung bình đến cao rằng CountLoader hoạt động như một công cụ môi giới truy cập ban đầu (Initial Access Broker – IAB) hoặc là một phần quan trọng trong kho công cụ của các chi nhánh ransomware.

Đánh giá này dựa trên các bằng chứng kỹ thuật cụ thể, liên kết các tác nhân bị thả bởi CountLoader malware với các mẫu mã độc được quan sát trong nhiều sự cố ransomware gần đây.

Chiến Dịch Lừa Đảo và Mục Tiêu Cụ Thể

Phương pháp nhắm mục tiêu tinh vi của kẻ tấn công trở nên rõ ràng thông qua một chiến dịch lừa đảo dựa trên PDF. Chiến dịch này được thiết kế đặc biệt để mạo danh cảnh sát Ukraine, khai thác bối cảnh địa chính trị.

Tệp PDF độc hại, được phân phối trong một tệp .zip có tên “vymoha_na_yavku” (lệnh triệu tập), trình bày cho nạn nhân một tài liệu trông có vẻ chính thức. Tài liệu này được cho là từ “Cảnh sát Quốc gia Ukraine“, yêu cầu họ có mặt để thẩm vấn.

Kỹ thuật kỹ thuật xã hội này khai thác hiệu quả căng thẳng địa chính trị hiện tại để tăng đáng kể khả năng nạn nhân tương tác với nội dung độc hại.

Phân Tích Chuyên Sâu Kỹ Thuật của CountLoader

Phiên bản JScript của CountLoader malware nổi bật là triển khai toàn diện và phức tạp nhất, chứa khoảng 850 dòng code với chức năng mở rộng đáng kể. Điều này cho thấy sự đầu tư lớn vào phát triển.

Sau khi hoàn tất quá trình khởi tạo ban đầu, CountLoader bắt đầu vòng lặp chính của nó. Vòng lặp này chạy một lần và sau đó tiếp tục thực thi liên tục miễn là giá trị “start” được định nghĩa trong đường dẫn thực thi của HTA.

Mã độc này thể hiện sự tinh vi trong khả năng hoạt động. Nó sử dụng sáu phương pháp khác nhau để tải tệp và ba kỹ thuật thực thi riêng biệt. Điều này chứng minh sự hiểu biết sâu sắc của các nhà phát triển về hệ điều hành Windows và các kỹ thuật né tránh phòng thủ hiệu quả.

Cơ chế Duy trì Quyền truy cập (Persistence) của CountLoader

Các cơ chế duy trì quyền truy cập của CountLoader malware được thiết kế để đảm bảo hoạt động lâu dài trên hệ thống bị nhiễm. Chúng bao gồm việc sửa đổi registry hệ thống và tạo các tác vụ theo lịch trình (scheduled task).

Cụ thể, CountLoader thiết lập quyền duy trì thông qua Windows Run Key và tạo các tác vụ theo lịch trình với tên được thiết kế để giả mạo các quy trình cập nhật hợp pháp của Google Chrome, nhằm mục đích che giấu hoạt động độc hại.

Ví dụ về sửa đổi registry để duy trì quyền:

HKCUSoftwareMicrosoftWindowsCurrentVersionRunOneDriver

Ví dụ về tên tác vụ theo lịch trình được tạo ra:

GoogleUpdaterTaskSystem135.0.7023.0

Giao tiếp Máy chủ Điều khiển (C2) và Phương thức Né tránh

Hạ tầng điều khiển và kiểm soát (Command and Control – C2) của CountLoader malware sử dụng một thuật toán tạo tên miền tinh vi (Domain Generation Algorithm – DGA).

Mã độc cố gắng thiết lập kết nối với các tên miền được đánh số tuần tự theo một mẫu nhất định, ví dụ: “ms-team-ping[number].com“.

Để đảm bảo khả năng kết nối và bền vững, CountLoader malware triển khai các cơ chế thử lại liên tục. Nó có thể cố gắng kết nối tới một triệu lần trên nhiều máy chủ C2 khác nhau.

Tất cả các giao tiếp C2 đều sử dụng mã hóa XOR kết hợp với mã hóa Base64. Khóa mã hóa, gồm sáu ký tự, được trích xuất động từ phản hồi của máy chủ, tăng cường khả năng che giấu dữ liệu.

Nếu CountLoader nhận được chuỗi “success” từ máy chủ C2, nó sẽ tiếp tục các hoạt động chính của mình, báo hiệu một kết nối thành công.

Phân phối Payload và Tác động Hệ thống

Phân tích phân phối payload của CountLoader malware đã tiết lộ rằng nó nhắm mục tiêu vào nhiều hệ thống giá trị cao. Các hệ thống được liên kết tên miền (domain-joined systems) nhận được sự ưu tiên đặc biệt trong chiến dịch này.

Trong các môi trường doanh nghiệp, mã độc này thường xuyên thực hiện các tác vụ trinh sát bổ sung. Các tác vụ này bao gồm các lệnh liệt kê miền Windows và thu thập thông tin hệ thống chi tiết.

Điều đáng chú ý là mã độc dàn dựng các payload đã tải xuống chủ yếu trong thư mục “Music” của người dùng. Đây là một lựa chọn vị trí bất thường nhưng đã được quan sát trong các chiến dịch mã độc trước đây.

Các payload bị bắt giữ bao gồm nhiều công cụ độc hại, ví dụ như Cobalt Strike beacons, AdaptixC2 implants, công cụ truy cập từ xa PureHVNC và mã độc thu thập thông tin Lumma Stealer. Sự đa dạng này cho thấy mục tiêu tấn công đa dạng.

Phân tích kỹ thuật chuyên sâu đã tiết lộ các watermark Cobalt Strike cụ thể là 1473793097 và 1357776117. Các nhà nghiên cứu bảo mật đã liên kết những watermark này trước đây với các hoạt động ransomware của BlackBasta, Qilin và LockBit.

Điều này thiết lập các kết nối rõ ràng giữa CountLoader malware và các hệ sinh thái ransomware đã được thiết lập, khẳng định vai trò của nó trong chuỗi tấn công.

Phân tích Hạ tầng Kẻ Tấn công

Phân tích hạ tầng đã phát hiện các mẫu nhất quán trong hoạt động của kẻ tấn công, bao gồm các quy ước đặt tên subdomain chuẩn hóa sử dụng tiền tố “sso” và “login“.

Những tiền tố này được thiết kế để pha trộn lưu lượng truy cập độc hại với các giao tiếp doanh nghiệp hợp pháp, gây khó khăn cho việc phát hiện.

Cách tiếp cận này cho thấy khả năng tạo hạ tầng tự động và một mức độ trưởng thành cao trong hoạt động của nhóm tác nhân đe dọa.

Indicators of Compromise (IOCs) của CountLoader

Để hỗ trợ các chuyên gia bảo mật trong việc phát hiện và phòng thủ hiệu quả, dưới đây là các Indicators of Compromise (IOCs) chính liên quan đến CountLoader malware:

• Tên tệp nén độc hại:vymoha_na_yavku.zip (thường chứa tệp PDF lừa đảo)
• Mẫu tên miền C2 (DGA):ms-team-ping[number].com (ví dụ cụ thể: ms-team-ping123.com)
• Mẫu URI cho tải payload:/api/getFile?fn= (được quan sát trên lưu lượng HTTP và HTTPS)
• Khóa Registry thiết lập Persistence:HKCUSoftwareMicrosoftWindowsCurrentVersionRunOneDriver
• Tên Scheduled Task được tạo để duy trì quyền:GoogleUpdaterTaskSystem135.0.7023.0 (giả mạo cập nhật Google Chrome)
• Watermark Cobalt Strike liên quan:
  • 1473793097
  • 1357776117

Chiến Lược Phát Hiện và Giảm Thiểu trong An Ninh Mạng

Các tổ chức nên ưu tiên triển khai giám sát toàn diện cho các chỉ số của CountLoader malware. Đặc biệt quan trọng là giám sát các hệ thống thường xuyên bị tấn công bởi các nhóm tội phạm mạng liên quan đến Nga hoặc các nhóm đe dọa dai dẳng nâng cao (Advanced Persistent Threat – APT).

Việc mã độc sử dụng các tiện ích Windows hợp pháp như certutil, bitsadmin và PowerShell để phân phối payload yêu cầu các phương pháp phát hiện dựa trên phân tích hành vi phức tạp, thay vì chỉ dựa vào chữ ký truyền thống.

Các nhóm an ninh mạng cần chủ động giám sát mẫu URI đặc trưng “/api/getFile?fn=” trên toàn bộ lưu lượng HTTP và HTTPS, vì đây là một dấu vân tay nhất quán across các biến thể của CountLoader.

Ngoài ra, việc giám sát các nỗ lực tạo tên miền tuần tự theo mẫu DGA và hoạt động bất thường trong thư mục “Music” của người dùng có thể cung cấp các chỉ số cảnh báo sớm quan trọng.

Cấu hình bảo mật email nên bao gồm khả năng phân tích PDF nâng cao, đặc biệt đối với các tài liệu chứa script nhúng hoặc các tham chiếu bên ngoài. Điều này giúp ngăn chặn các cuộc tấn công ban đầu.

Chiến dịch mạo danh cảnh sát Ukraine chứng tỏ tầm quan trọng của nhận thức văn hóa và khu vực trong tình báo mối đe dọa. Kẻ tấn công ngày càng khai thác các sự kiện địa chính trị để nâng cao hiệu quả kỹ thuật xã hội của chúng.

Việc phát hiện CountLoader malware làm nổi bật sự tinh vi ngày càng tăng của các cơ chế phân phối mã độc. Nó cũng nhấn mạnh tầm quan trọng thiết yếu của các chiến lược phòng thủ đa lớp trong việc chống lại các hoạt động ransomware phức tạp, vốn thường được thực hiện bởi nhiều nhóm tác nhân đe dọa và trên nhiều khu vực địa lý.