-
09/04/2020
-
110
-
1.062 bài viết
Phát hiện mã độc JScript tinh vi lợi dụng Internet Archive để phát tán Remcos RAT
Các nhà nghiên cứu an ninh mạng vừa phát hiện một chiến dịch mã độc phức tạp khai thác uy tín của Internet Archive để phát tán trojan truy cập từ xa Remcos thông qua một chuỗi tấn công sử dụng kỹ thuật giấu dữ liệu tinh vi. Sự việc này cho thấy ngày càng nhiều nhóm tội phạm mạng lợi dụng các dịch vụ hợp pháp nhằm né tránh cơ chế phát hiện bảo mật trong khi triển khai các payload nguy hiểm.
Phương pháp này giúp tin tặc vượt qua cả kiểm tra trực quan lẫn hệ thống phân tích nội dung tự động vốn thường quét tìm các tập tin đáng ngờ. Thành phần PowerShell trích xuất loader .NET ẩn từ dữ liệu bitmap và thực thi trực tiếp trong bộ nhớ, tránh bị phát hiện dựa trên file trên đĩa. Khi đã hoạt động, loader .NET thiết lập cơ chế tồn tại lâu dài thông qua chỉnh sửa registry trên Windows và triển khai payload Remcos RAT cuối cùng.
Toàn bộ quá trình tận dụng trạng thái đáng tin cậy của domain Internet Archive, vì các giải pháp bảo mật hiếm khi chặn các kết nối đến archive.org, khiến chiến dịch đặc biệt hiệu quả trong việc né tránh các biện pháp phòng thủ dựa trên mạng.
Phân tích kỹ thuật cho thấy các thành phần của chiến dịch có độ phức tạp cao. Mẫu JScript ban đầu (SHA256: 655025f2ea7fd15e7ee70b73b2e35f22b399b19130139345344f7a34fd592905) thể hiện các hành vi tinh vi, bao gồm khởi tạo tiến trình và giao tiếp mạng, nhằm tạo vẻ hợp pháp. Loader .NET trích xuất (SHA256: a777f34b8c2036c49b90b964ac92a74d4ac008db9c3ddfa3eb61e7e3f7c6ee8a) có khả năng né tránh nâng cao, trong khi payload Remcos cuối cùng (SHA256: ca68cc3f483f1737197c12676c66b7cc9f836ba393ac645aa5d3052f29cdb2e0) cung cấp đầy đủ chức năng truy cập từ xa, bao gồm ghi phím và trích xuất dữ liệu.
Kết quả phân tích động từ VMRay xác nhận tính hiệu quả của chiến dịch trong việc né tránh phát hiện, với tỷ lệ nhận diện khác nhau giữa các nhà cung cấp bảo mật, chứng minh kỹ thuật giấu dữ liệu và các cơ chế né tránh được triển khai rất tinh vi.
Chuỗi tấn công đa giai đoạn
Chiến dịch bắt đầu với một loader JScript độc hại, thực thi một tập lệnh PowerShell được thiết kế để tải về các ảnh PNG từ máy chủ archive.org. Những hình ảnh tưởng chừng vô hại này thực chất chứa một loader .NET ẩn trong giá trị màu RGB của từng điểm ảnh, sử dụng kỹ thuật giấu dữ liệu nâng cao.Phương pháp này giúp tin tặc vượt qua cả kiểm tra trực quan lẫn hệ thống phân tích nội dung tự động vốn thường quét tìm các tập tin đáng ngờ. Thành phần PowerShell trích xuất loader .NET ẩn từ dữ liệu bitmap và thực thi trực tiếp trong bộ nhớ, tránh bị phát hiện dựa trên file trên đĩa. Khi đã hoạt động, loader .NET thiết lập cơ chế tồn tại lâu dài thông qua chỉnh sửa registry trên Windows và triển khai payload Remcos RAT cuối cùng.
Toàn bộ quá trình tận dụng trạng thái đáng tin cậy của domain Internet Archive, vì các giải pháp bảo mật hiếm khi chặn các kết nối đến archive.org, khiến chiến dịch đặc biệt hiệu quả trong việc né tránh các biện pháp phòng thủ dựa trên mạng.
Kỹ thuật né tránh và phân tích hạ tầng
Chiến dịch sử dụng Duck DNS, một dịch vụ DNS động, để thực hiện các liên lạc command and control, gia tăng khả năng né tránh. Cách tiếp cận này làm khó việc chặn tấn công, vì nhà cung cấp dịch vụ thường thay đổi địa chỉ IP, khiến việc lập danh sách đen tĩnh trở nên kém hiệu quả.Phân tích kỹ thuật cho thấy các thành phần của chiến dịch có độ phức tạp cao. Mẫu JScript ban đầu (SHA256: 655025f2ea7fd15e7ee70b73b2e35f22b399b19130139345344f7a34fd592905) thể hiện các hành vi tinh vi, bao gồm khởi tạo tiến trình và giao tiếp mạng, nhằm tạo vẻ hợp pháp. Loader .NET trích xuất (SHA256: a777f34b8c2036c49b90b964ac92a74d4ac008db9c3ddfa3eb61e7e3f7c6ee8a) có khả năng né tránh nâng cao, trong khi payload Remcos cuối cùng (SHA256: ca68cc3f483f1737197c12676c66b7cc9f836ba393ac645aa5d3052f29cdb2e0) cung cấp đầy đủ chức năng truy cập từ xa, bao gồm ghi phím và trích xuất dữ liệu.
Kết quả phân tích động từ VMRay xác nhận tính hiệu quả của chiến dịch trong việc né tránh phát hiện, với tỷ lệ nhận diện khác nhau giữa các nhà cung cấp bảo mật, chứng minh kỹ thuật giấu dữ liệu và các cơ chế né tránh được triển khai rất tinh vi.
Xu hướng lợi dụng dịch vụ hợp pháp trong tấn công mạng
Các nhà nghiên cứu nhấn mạnh rằng chiến dịch này phản ánh xu hướng gia tăng, khi tội phạm mạng khai thác các nền tảng đáng tin cậy để tránh bị phát hiện. Việc lợi dụng dịch vụ hợp pháp như Internet Archive làm nổi bật nhu cầu cấp thiết về phân tích hành vi nâng cao và cơ chế phát hiện mối đe dọa hiện đại, có khả năng nhận diện các hoạt động độc hại bất kể uy tín hạ tầng lưu trữ, đặc biệt khi các kỹ thuật giấu dữ liệu ngày càng phổ biến trong các cuộc tấn công mạng hiện đại.Theo Cyber Press