Chủ đề

(Không gian mạng) - Các chuyên gia hãng bảo mật Cybaze-Yoroi Zlab (Ý) đã tiến hành điều tra một chiến dịch gián điệp mới đây, phát tán mã độc nhắm vào hàng loạt doanh nghiệp thuộc ngành ô tô ở Ý.

macro_popup

Mã độc lây nhiễm qua email giả mạo được biên soạn kỹ càng, với nỗ lực giả mạo một đối tác cấp cao của một hãng luật doanh nghiệp lớn từ Brazil là Veirano Advogados.

Email độc hại bị chặn đứng trong suốt quá trình CSDC chứa một tài liệu bổ trợ Power Point (tiện ích có đuôi “.ppa”), nhằm mục đích tự động mở mã macro VBA.

Mã macro trong tập .ppa chứa một cấu trúc đơn giản giúp gọi ra công cụ “mshta.exe”, để tải về và thực thi giai đoạn tiếp theo của công cụ mã độc dropper được truy hồi từ trang “hxxps://minhacasaminhavidacdt.blogspot[.]com/”.

Trang Blogspot lưu trữ trang web tải về bởi lệnh mshta.exe trông có vẻ như vô hại nếu lướt qua, vì khi nhấp chuột mở lên thì trình duyệt hiện ra một trang blog đang trong quá trình xây dựng.

Nhưng khi nghiên cứu sâu hơn vào mã nguồn của nó thì có thể thấy một đoạn mã thú vị được chèn vào một bài đăng bị ẩn, và chính bài đăng này chứa mã VBScript.

Điều buồn cười là tác giả mã độc này lại cố gắng gán mã độc cho Microsoft Corp., bằng cách thêm vào những bình luận thuộc về các tiện ích Microsoft hợp pháp.

Những bình luận trên thực tế là một phần của tiện ích “SyncAppvPublishingServer”, thường được triển khai trên các máy dùng Window 10 tại ổ “C:WindowsSystem32SyncAppvPublishingServer.vbs”. Tuy nhiên, phần còn lại của dòng lệnh có nhiệm vụ thực thi một chuỗi các hành vi độc hại gồm:

Lưu trữ một phiên bản mã hóa base64 của trình tải “RevengeRAT” vào trong khóa registry tại “HKCUAppEventsValues”

Giải mã và thực thi trình tải được lưu

Tạo và thực thi một lệnh VBScript khác vào “%AppData%LocalTempZ3j.vbs”, có khả năng tải về một trình tải mới từ địa chỉ đích từ xa “hxxp://cdtmaster.com[.]br”

Cuối cùng, tạo một tác vụ mới để chạy lại tiện ích “mshta.exe” với tham số “hxxps://pocasideiascdt.blogspot[.]com/” mỗi 2 giờ. Đường dẫn này chỉ đến trang web mà thực chất nó là trang được sao chép y hệt như trang https://minhacasaminhavidacdt.blogspot[.]com/.

Tóm lại, các giai đoạn cuối của chuỗi lây nhiễm được thiết kế nhằm cài đặt một biến thể mã độc RevengeRAT được giấu vào một khóa registry, và chạy lệnh “outlook.exe” trích xuất từ tập nhị phân “Document.exe” truy hồi từ đường dẫn “hxxp://cdtmaster.com[.]br/Document.mp3”.

Một khi được thực thi, mã độc RAT ngay lập tức liên lạc với máy chủ điều khiển và ra lệnh để gửi đi thông tin về máy nạn nhân. Trong mẫu phân tích được, tin tặc cấu hình 2 máy chủ đích khác nhau là “office365update[.]duckdns.org” và “systen32.ddns[.]net“.

Nếu một trong 2 địa chỉ trên bị sập, mã độc sẽ quay về máy chủ còn lại. Tại thời điểm đăng tin, cả 2 máy chủ từ xa đều đã bị sập, vì vậy mà chỉ có thể mô phỏng theo máy chủ để phân tích thông tin mà RAT gửi về.

Ban đầu, chúng ta có thể nhận thấy một dãy lặp lại “roma225” được dùng như ký tự ngăn cách giữa các trường dữ liệu. Chuỗi này được tin tặc chọn trong suốt quá trình chuẩn bị chiến dịch, sử dụng những tính năng tùy chỉnh từ mã độc RevengeRAT.

Như đã nói ở trên, cả 2 máy chủ C&C đều đã bị sập, tuy nhiên địa chỉ IP mới nhất cho thấy cơ sở hạ tầng của tin tặc có thể nằm tại những quốc gia khác.

Cụ thể, tên miền “office365update[.]duckdns.org” có địa chỉ IP là 184.75.209.169, nằm ở Canada. Và tên miền “systen32.ddns[.]net” có địa chỉ IP 138.36.3.228, thuộc Brazil.

Tập “Document.exe” được lưu trữ tại trang “cdtmaster.com[.]br”, được tải về máy nạn nhân nhờ tập lệnh “Z3j.vbs”. Tập PE32 này nằm trong hình ảnh Pokemon Megaball, được dùng như một biểu tượng chương trình và mục đích duy nhất của nó là chạy trình tải “Outlook.exe”.

Việc trích xuất tĩnh thông tin PE từ mẫu cuối cùng cho thấy nó có liên quan đến ứng dụng “SendBlaster”, một chương trình chuyển phát thư. Một điều thú vị nữa là, sản phẩm này hiện do doanh nghiệp eDisplay của Ý phát triển, vì vậy, ngoài dãy phân cách “roma225” thì xuất hiện thêm một thông tin khác trực tiếp liên quan đến Ý.

Khi trình tải “Outlook.exe” được triển khai, nó thực thi một cách im lặng, không có lưu lượng truy cập hay chỉnh sửa hệ thống tập tin nào, tuy nhiên nó lại liên kết với một cổng socket TCP trên máy chủ web “tcp://127.0.0.1:49356“.

Các chuyên gia tại Cybaze-Yoroi Zlab vẫn đang tiến hành phân tích mẫu Outlook.exe để tìm ra hành vi thật sự của mã độc.

Bản phân tích đầu tiên vẫn còn khó khăn để quy kết ai là thủ phạm. Trong quá khứ, mã độc RevengeRAT từng được các nhóm APT sử dụng như Gorgon Group, một nhóm tin tặc bí ẩn mà các chuyên gia thuộc Unit42 (Mỹ) đã theo dõi, là tác giả của chiến dịch mạng nhắm vào tổ chức chính phủ Anh, Tây Ban Nha, Nga và Mỹ. Tuy nhiên, mã nguồn của RAT này đã bị rò rỉ trên mạng vài năm trước đây và có thể đã trở thành vũ khí của vô số tin tặc, kém hoặc tinh vi hơn.

Dù sao, chiến dịch mới này cũng có cùng phương thức, kỹ thuật và tiến trình (TTP) tương tự như báo cáo của Unit42, như việc sử dụng cơ sở hạ tầng chung (trong trường hợp này là dịch vụ Blogger) làm máy chủ thả và mã độc RAT phổ biến khác như một backdoor giai đoạn cuối (njRAT).

Thực tế, trang “cdtmaster.com[.]br” chứa nhiều tập đáng nghi khác như tập nhị phân “nj.mp3” chứa mã độc njRAT. Tất cả các tập còn lại vẫn đang trong quá trình điều tra.

LQD (Lược dịch từ: Security Affairs)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Thích và chia sẻ bài này trên