Duy Linh
Writer
Một chiến dịch tấn công mạng tinh vi được cho là do nhóm tin tặc Dropping Elephant thực hiện đang thu hút sự chú ý của giới an ninh mạng. Nhóm này sử dụng tài liệu giả mạo mang chủ đề Trung Quốc cùng một biến thể phần mềm độc hại truy cập từ xa (RAT) được chỉnh sửa mạnh, hoạt động hoàn toàn trong bộ nhớ nhằm né tránh các giải pháp bảo mật truyền thống.
Theo báo cáo của Rapid7 chia sẻ với GBHackers, chuỗi tấn công kết hợp giữa các kỹ thuật khai thác tài nguyên sẵn có truyền thống và phương pháp thực thi trong bộ nhớ hiện đại. Điểm khởi đầu là một tệp phím tắt LNK, có nhiệm vụ kích hoạt trình tải xuống PowerShell được mã hóa. Trình tải này sau đó tải nhiều thành phần từ tên miền chinagreenenergy[.]org và lưu chúng vào thư mục C:\Users\Public.
Mồi nhử được sử dụng là tài liệu xác nhận hoàn thành hợp đồng GRES-3, tạo cảm giác đáng tin cậy nhờ liên quan đến lĩnh vực năng lượng. Trong khi đó, các tệp độc hại được ngụy trang bằng phần mở rộng rác và kỹ thuật đổi tên nhằm tái tạo Fondue.exe, APPWIZ.cpl cùng các thư viện thời gian chạy trong hồ sơ công khai của hệ thống.
Để duy trì khả năng tồn tại, mã độc tạo một tác vụ theo lịch trình mang tên GoogleErrorReport, được cấu hình chạy mỗi phút. Tác vụ này thực thi Fondue.exe, sau đó buộc tiến trình tải APPWIZ.cpl độc hại từ đường dẫn bất thường C:\Users\Public. Đây được xem là một dấu hiệu hành vi quan trọng mà các nhóm phòng thủ có thể giám sát.
Fondue.exe là tệp nhị phân hợp pháp của Microsoft nhưng bị lợi dụng để khởi động trình tải. Trình tải này giải mã và thực thi shellcode Donut, cho phép ánh xạ trực tiếp RAT cuối cùng vào bộ nhớ mà không ghi xuống ổ đĩa. Kết quả là một phần mềm cấy ghép nhỏ gọn, khó bị phát hiện và gây nhiều khó khăn cho quá trình phân tích tĩnh.
APPWIZ.cpl đóng vai trò trình tải trên đĩa. Thành phần này giải mã dữ liệu AES-256-CBC được lưu dưới dạng editor.dat trong thư mục C:\Windows\Tasks, sau đó lắp ráp khóa và IV trên ngăn xếp để giải mã shellcode Donut. Phân tích siêu dữ liệu PE cho thấy APPWIZ.cpl có tên tệp gốc là bluetooth_callback.dll.
APPWIZ.cpl PE metadata hiển thị tên tệp gốc bluetooth_callback.dll (Nguồn: Rapid7).
Trước khi trao quyền điều khiển cho RAT, Donut còn chủ động vô hiệu hóa các cơ chế giám sát phổ biến như AMSI, WLDP và ETW trong tiến trình hiện tại. Điều này làm giảm đáng kể khả năng thu thập dữ liệu từ xa và ghi nhận hoạt động của hệ thống bảo mật.
RAT cuối cùng được tăng cường nhiều kỹ thuật chống phân tích như:
Chuỗi phân phối hoàn chỉnh từ LNK đến RAT trong bộ nhớ (Nguồn: Rapid7).
Kênh liên lạc mạng cũng được bảo vệ bằng HTTPS tới gcl-power[.]org. Dữ liệu được mã hóa bằng Salsa20 và sử dụng mã thông báo 23 ký tự để trao đổi với máy chủ điều khiển C2.
Trong giai đoạn trinh sát, phần mềm độc hại thu thập một lượng lớn thông tin hệ thống, bao gồm:
Những khả năng đã được ghi nhận của RAT gồm:
RAT định kỳ gửi các yêu cầu HTTPS POST tới máy chủ C2 trên cổng 443 bằng INTERNET_FLAG_SECURE. Mã thông báo được sử dụng cho lưu lượng C2 là RRn926EmIRfm9IlJyP1yVO2.
Vòng lặp tín hiệu RAT hiển thị kiểm tra kết nối, thăm dò lệnh và xử lý trạm giám sát rảnh rỗi (Nguồn: Rapid7).
Mặc dù kết quả BinDiff cho thấy mức độ tương đồng thấp do kỹ thuật làm phẳng luồng điều khiển, công cụ Diaphora vẫn phát hiện sự trùng lặp đáng kể ở cấp độ chức năng. Điều này củng cố nhận định rằng mẫu phần mềm độc hại mới có cùng nguồn gốc với Dropping Elephant.
Theo báo cáo của Rapid7 chia sẻ với GBHackers, chuỗi tấn công kết hợp giữa các kỹ thuật khai thác tài nguyên sẵn có truyền thống và phương pháp thực thi trong bộ nhớ hiện đại. Điểm khởi đầu là một tệp phím tắt LNK, có nhiệm vụ kích hoạt trình tải xuống PowerShell được mã hóa. Trình tải này sau đó tải nhiều thành phần từ tên miền chinagreenenergy[.]org và lưu chúng vào thư mục C:\Users\Public.
Mồi nhử được sử dụng là tài liệu xác nhận hoàn thành hợp đồng GRES-3, tạo cảm giác đáng tin cậy nhờ liên quan đến lĩnh vực năng lượng. Trong khi đó, các tệp độc hại được ngụy trang bằng phần mở rộng rác và kỹ thuật đổi tên nhằm tái tạo Fondue.exe, APPWIZ.cpl cùng các thư viện thời gian chạy trong hồ sơ công khai của hệ thống.
Để duy trì khả năng tồn tại, mã độc tạo một tác vụ theo lịch trình mang tên GoogleErrorReport, được cấu hình chạy mỗi phút. Tác vụ này thực thi Fondue.exe, sau đó buộc tiến trình tải APPWIZ.cpl độc hại từ đường dẫn bất thường C:\Users\Public. Đây được xem là một dấu hiệu hành vi quan trọng mà các nhóm phòng thủ có thể giám sát.
Fondue.exe là tệp nhị phân hợp pháp của Microsoft nhưng bị lợi dụng để khởi động trình tải. Trình tải này giải mã và thực thi shellcode Donut, cho phép ánh xạ trực tiếp RAT cuối cùng vào bộ nhớ mà không ghi xuống ổ đĩa. Kết quả là một phần mềm cấy ghép nhỏ gọn, khó bị phát hiện và gây nhiều khó khăn cho quá trình phân tích tĩnh.
APPWIZ.cpl đóng vai trò trình tải trên đĩa. Thành phần này giải mã dữ liệu AES-256-CBC được lưu dưới dạng editor.dat trong thư mục C:\Windows\Tasks, sau đó lắp ráp khóa và IV trên ngăn xếp để giải mã shellcode Donut. Phân tích siêu dữ liệu PE cho thấy APPWIZ.cpl có tên tệp gốc là bluetooth_callback.dll.
APPWIZ.cpl PE metadata hiển thị tên tệp gốc bluetooth_callback.dll (Nguồn: Rapid7).
Chuỗi lây nhiễm RAT trong bộ nhớ và kỹ thuật né tránh phân tích
Sau khi được giải mã, Donut sẽ ánh xạ RAT 32-bit nhúng sẵn vào vùng nhớ RWX, tự động xử lý các lệnh nhập, áp dụng định vị lại và chuyển quyền thực thi mà không cần ghi mã độc xuống đĩa.Trước khi trao quyền điều khiển cho RAT, Donut còn chủ động vô hiệu hóa các cơ chế giám sát phổ biến như AMSI, WLDP và ETW trong tiến trình hiện tại. Điều này làm giảm đáng kể khả năng thu thập dữ liệu từ xa và ghi nhận hoạt động của hệ thống bảo mật.
RAT cuối cùng được tăng cường nhiều kỹ thuật chống phân tích như:
- Làm phẳng luồng điều khiển.
- Tái cấu trúc API động bằng LoadLibrary và GetProcAddress.
- Liên kết CRT tĩnh.
- Sử dụng các điều kiện gây nhiễu.
- Kiểm tra tiến trình và môi trường máy ảo.
- Thăm dò hypervisor thông qua CPUID.
- Xác định vị trí địa lý dựa trên IP công cộng.
Chuỗi phân phối hoàn chỉnh từ LNK đến RAT trong bộ nhớ (Nguồn: Rapid7).
Kênh liên lạc mạng cũng được bảo vệ bằng HTTPS tới gcl-power[.]org. Dữ liệu được mã hóa bằng Salsa20 và sử dụng mã thông báo 23 ký tự để trao đổi với máy chủ điều khiển C2.
Trong giai đoạn trinh sát, phần mềm độc hại thu thập một lượng lớn thông tin hệ thống, bao gồm:
- Tên người dùng.
- Tên máy tính.
- Địa chỉ IP công cộng.
- Quốc gia.
- Phiên bản hệ điều hành.
- ID bot.
- Danh sách đầy đủ các tiến trình đang chạy.
Những khả năng đã được ghi nhận của RAT gồm:
- Liệt kê thư mục.
- Tải xuống và thực thi từ xa.
- Chụp ảnh màn hình bằng mã hóa WIC.
- Thực thi lệnh shell.
- Tải tệp lên máy chủ điều khiển.
RAT định kỳ gửi các yêu cầu HTTPS POST tới máy chủ C2 trên cổng 443 bằng INTERNET_FLAG_SECURE. Mã thông báo được sử dụng cho lưu lượng C2 là RRn926EmIRfm9IlJyP1yVO2.
Vòng lặp tín hiệu RAT hiển thị kiểm tra kết nối, thăm dò lệnh và xử lý trạm giám sát rảnh rỗi (Nguồn: Rapid7).
Mặc dù kết quả BinDiff cho thấy mức độ tương đồng thấp do kỹ thuật làm phẳng luồng điều khiển, công cụ Diaphora vẫn phát hiện sự trùng lặp đáng kể ở cấp độ chức năng. Điều này củng cố nhận định rằng mẫu phần mềm độc hại mới có cùng nguồn gốc với Dropping Elephant.
Khuyến nghị phòng thủ và các chỉ báo xâm nhập quan trọng
Các chuyên gia bảo mật khuyến nghị tập trung vào phát hiện hành vi thay vì chỉ dựa vào IOC truyền thống. Những dấu hiệu cần đặc biệt theo dõi gồm:- Tệp LNK khởi tạo PowerShell bị che giấu.
- Các thành phần được lưu tạm trong C:\Users\Public.
- Tác vụ theo lịch trình GoogleErrorReport chạy với tần suất bất thường.
- Fondue.exe tải APPWIZ.cpl từ đường dẫn không chuẩn.
- Các payload chỉ tồn tại trong bộ nhớ.
- Hành vi giả mạo hoặc vô hiệu hóa AMSI, WLDP và ETW.
- GRES3001.lnk: Điểm truy cập ban đầu, khởi chạy conhost.exe và PowerShell downloader.
- GRES3001.pdf: Tài liệu mồi nhử.
- Fondue.exe: Tệp Microsoft hợp pháp bị lạm dụng.
- APPWIZ.cpl: Trình tải độc hại xuất hàm RunFODW.
- msvcp140.dll và vcruntime140.dll: Thư viện VC++ Runtime đi kèm.
- editor.dat: Tệp dữ liệu mã hóa AES-256-CBC.
- editor.decrypted.bin: Payload Donut sau giải mã.
- editor.extracted.exe: RAT cuối cùng được khôi phục từ bộ nhớ.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
