-
09/04/2020
-
101
-
899 bài viết
OneClik Malware tấn công ngành năng lượng toàn cầu, đánh cắp thông tin nhạy cảm
Các nhà nghiên cứu phát hiện chiến dịch tấn công mang tên OneClik nhắm vào ngành năng lượng, dầu khí, sử dụng công nghệ ClickOnce của Microsoft và cửa hậu Golang tinh vi để xâm nhập các tổ chức.
Kịch bản là người dùng nhận được email lừa đảo chứa liên kết đến website giả mạo, sau đó tải xuống và chạy phần mềm độc hại qua trình loader OneClikNet cùng kỹ thuật tiêm mã AppDomainManager để kích hoạt backdoor RunnerBeacon liên lạc với máy chủ điều khiển qua nhiều giao thức.
Chiến dịch này có liên quan đến các tác nhân đe dọa có mối liên hệ với Trung Quốc và Triều Tiên, sử dụng các kỹ thuật tàng hình, dùng nhiều biến thể để tránh bị phát hiện và nhắm vào các mục tiêu cụ thể trong ngành năng lượng. Ngoài ra, các nhóm này còn khai thác lỗ hổng zero-day trong phần mềm email Android và sử dụng kỹ thuật BYOVD để tấn công các mục tiêu.
Kịch bản là người dùng nhận được email lừa đảo chứa liên kết đến website giả mạo, sau đó tải xuống và chạy phần mềm độc hại qua trình loader OneClikNet cùng kỹ thuật tiêm mã AppDomainManager để kích hoạt backdoor RunnerBeacon liên lạc với máy chủ điều khiển qua nhiều giao thức.
Chiến dịch này có liên quan đến các tác nhân đe dọa có mối liên hệ với Trung Quốc và Triều Tiên, sử dụng các kỹ thuật tàng hình, dùng nhiều biến thể để tránh bị phát hiện và nhắm vào các mục tiêu cụ thể trong ngành năng lượng. Ngoài ra, các nhóm này còn khai thác lỗ hổng zero-day trong phần mềm email Android và sử dụng kỹ thuật BYOVD để tấn công các mục tiêu.
Chiến thuật và kỹ thuật tấn công
Chiến dịch này ẩn chứa nhiều kỹ thuật tấn công cùng 1 lúc1. Phishing + ClickOnce
- Tin tặc gửi email lừa đảo chứa liên kết đến website giả mạo có chứa tệp .application được triển khai bằng công nghệ ClickOnce. Khi người dùng mở tệp, một ứng dụng .NET độc hại sẽ được cài đặt và thực thi tự động, không cần đặc quyền quản trị, lợi dụng hành vi mặc định của ClickOnce.
2. OneClikNet loader và kỹ thuật tiêm DLL
- OneClikNet sử dụng kỹ thuật AppDomainManager injection để thực thi mã độc từ DLL ngay khi ứng dụng .NET khởi chạy. DLL độc được nhúng vào tiến trình hợp pháp như ZSATray.exe để tránh bị phát hiện, kết hợp kỹ thuật DLL sideloading hoặc tiêm mã phản hồi động (runtime injection).
3. Backdoor RunnerBeacon (Golang)
- RunnerBeacon sử dụng cơ chế giao tiếp với C2 thông qua nền tảng cloud hợp pháp như AWS CloudFront và Lambda, giúp mã độc ẩn mình trong lưu lượng mạng bình thường và vượt qua nhiều hệ thống giám sát.
4. Cơ chế trốn tránh phân tích
- Chống phân tích tĩnh và động qua anti-debug, anti-sandbox.
- Bypass Event Tracing for Windows (ETW) là kỹ thuật thường dùng để ẩn hành vi khỏi EDR.
- Tạo tunnel SOCKS5 là kỹ thuật thường dùng để mở kênh điều khiển nội bộ (pivot / lateral movement)
Khuyến nghị từ các chuyên gia:
- Cảnh giác với email chứa link hoặc ứng dụng lạ.
- Vô hiệu hóa ClickOnce từ Internet (GPO).
- Chặn tải và chạy file .application không rõ nguồn.
- Giới hạn truy cập đến Azure Blob, AWS CloudFront.
Theo The Hacker News