Cụ thể, VNCERT/CC cho biết, công ty Cyble Research and Intelligence Labs (CRIL) vừa phát hiện một chiến dịch tấn công mạng tinh vi do một nhóm tin tặc có nguồn gốc từ Việt Nam thực hiện. Mục tiêu chính của chiến dịch này là các chuyên gia kinh tế số, đặc biệt là những người liên quan đến tiếp thị số và các nền tảng quảng cáo như Meta Ads (Facebook và Instagram).
Cuộc tấn công sử dụng mã độc nhiều giai đoạn để chiếm quyền kiểm soát hệ thống và triển khai Quasar RAT, một phần mềm trojan điều khiển từ xa (RAT) mạnh mẽ, giúp kẻ tấn công có thể thực hiện các hành vi độc hại như đánh cắp dữ liệu và giám sát hệ thống từ xa.
Theo CRIL, kẻ đứng sau chiến dịch tấn công này là một nhóm tin tặc Việt Nam, dựa trên việc nhắm mục tiêu vào các chuyên gia tiếp thị số sử dụng Meta Ads, và các kỹ thuật cũng như công cụ được sử dụng. Trước đó, các chuyên gia an ninh mạng cũng đã phát hiện những chiến thuật và phương thức tấn công tương tự trong một chiến dịch tương tự đã được ghi nhận vào tháng 7/2022, cũng do một nhóm tin tặc Việt Nam thực hiện và phát tán mã độc Ducktail nhằm đánh cắp thông tin từ các tài khoản quảng cáo Meta.
Theo CRIL, chiến dịch này bắt đầu từ việc phát tán các email lừa đảo chứa tệp LNK giả mạo thành tài liệu PDF liên quan đến công việc. Khi nạn nhân mở tệp LNK này, một chuỗi lệnh PowerShell sẽ được kích hoạt để tải xuống và thực thi các tệp mã độc từ các nguồn lưu trữ bên ngoài như Dropbox. Mã độc được mã hóa nhiều lớp và sử dụng các kỹ thuật tránh phát hiện tiên tiến để qua mặt các hệ thống bảo mật.
Đầu tiên, khi tệp LNK được mở, nó sẽ thực thi các lệnh PowerShell để tải về một tập tin script từ các dịch vụ lưu trữ trực tuyến như Dropbox. Tập tin script này bao gồm hai phần mã được mã hóa: một tài liệu PDF giả mạo và một tệp lệnh batch (output.bat). Tệp PDF giả này nhằm mục đích thu hút sự chú ý của nạn nhân, trong khi tệp batch có nhiệm vụ tiếp tục thực hiện chuỗi tấn công.
Tệp lệnh batch sẽ kiểm tra hệ thống của nạn nhân bằng cách truy vấn thông tin phần cứng như loại ổ đĩa và tên nhà sản xuất thông qua lệnh WMIC. Nếu phát hiện hệ thống đang chạy trong một môi trường ảo hóa (VM) hoặc sandbox, mã độc sẽ ngừng hoạt động ngay lập tức để tránh bị phân tích. Một số dấu hiệu nhận diện môi trường ảo hóa bao gồm ổ đĩa có tên QEMU, VirtualBox, hoặc BOCHS.
Nếu không phát hiện môi trường ảo hóa, mã độc sẽ tiến hành giải mã payload được mã hóa bằng AES và triển khai Quasar RAT. RAT này được mã hóa trong suốt quá trình để tránh bị phát hiện bởi các công cụ phân tích mã tĩnh, và chỉ được giải mã trong bộ nhớ khi tất cả các kiểm tra chống phân tích đã được hoàn thành.
Cuộc tấn công sử dụng nhiều kỹ thuật nhằm lẩn tránh các hệ thống giám sát và leo thang quyền hạn để chiếm quyền kiểm soát hệ thống đồng thời leo thang đặc quyền và duy trì tồn tại. Mã độc cố gắng leo thang đặc quyền lên cấp độ quản trị viên thông qua các lệnh hệ thống và chèn các tệp độc hại vào các thư mục hệ thống. Điều này giúp mã độc có thể tồn tại qua các lần khởi động lại hệ thống và duy trì hoạt động mà không bị phát hiện.
Ở giai đoạn cuối của cuộc tấn công, Quasar RAT được triển khai, cho phép kẻ tấn công chiếm quyền điều khiển hoàn toàn hệ thống bị nhiễm. Quasar RAT là một công cụ mã nguồn mở được sử dụng phổ biến bởi nhiều nhóm tin tặc để thực hiện các hành vi như: Trộm cắp dữ liệu, giám sát hệ thống, cài đặt thêm phần mềm độc hại khác hoặc khai thác thêm các lỗ hổng trên hệ thống bị nhiễm.
Nhằm đảm bảo an toàn thông tin cho hệ thống thông tin của đơn vị, góp phần đảm bảo an toàn cho không gian mạng Việt Nam, Trung tâm VNCERT/CC khuyến nghị người dùng và quản trị viên nên: Giám sát hệ thống, thường xuyên kiểm tra và phát hiện các tệp tin, quy trình hoặc hành vi đáng ngờ trong hệ thống; Kiểm tra lưu lượng mạng để phát hiện các kết nối không rõ nguồn gốc đến các máy chủ điều khiển từ xa; đào tạo và nâng cao nhận thức, đảm bảo nhân viên, đặc biệt là những người làm việc trong lĩnh vực tiếp thị số, hiểu biết về các kỹ thuật lừa đảo và cách phòng tránh các tệp đính kèm độc hại trong email. Cuối cùng là hãy luôn đảm bảo hệ thống và các phần mềm bảo mật luôn được cập nhật với các bản vá mới nhất.
Anh Nguyễn
