Nguyễn Tiến Đạt
Intern Writer
Các nhà nghiên cứu an ninh mạng vừa phát hiện một chiến dịch phần mềm độc hại phức tạp sử dụng nhiều giai đoạn tấn công để phát tán các công cụ truy cập từ xa (RAT) nguy hiểm. Chiến dịch này được nhóm nghiên cứu Securonix Threat Research đặt tên là VOID#GEIST, nổi bật với việc sử dụng các tập lệnh batch được làm rối (obfuscated) làm điểm khởi đầu cho chuỗi lây nhiễm tinh vi.
Theo phân tích kỹ thuật, chiến dịch này triển khai một chuỗi tấn công nhiều lớp nhằm tải xuống và thực thi ba loại malware phổ biến gồm XWorm, AsyncRAT và Xeno RAT. Thay vì phát tán các tệp thực thi truyền thống, kẻ tấn công sử dụng các tập lệnh và cơ chế thực thi trong bộ nhớ để tránh bị phát hiện bởi các hệ thống bảo mật.
Chuỗi tấn công bắt đầu bằng một tập lệnh batch bị làm mờ, thường được tải xuống từ hạ tầng TryCloudflare và phát tán thông qua các email lừa đảo. Khi nạn nhân mở tệp, script này sẽ kích hoạt một tập lệnh thứ hai nhằm chuẩn bị môi trường thực thi và triển khai các thành phần malware tiếp theo.
Theo các nhà nghiên cứu, cách tiếp cận này giúp các giai đoạn tấn công trông giống với hoạt động quản trị hệ thống thông thường, từ đó giảm khả năng bị phát hiện bởi các công cụ bảo mật.
Trong khi người dùng đang xem tài liệu, các tiến trình độc hại sẽ âm thầm chạy ở nền, bao gồm việc thực thi lại script thông qua PowerShell với tham số -WindowStyle Hidden nhằm ẩn hoàn toàn cửa sổ console.
Chiến thuật này giúp malware có thêm thời gian để thiết lập sự hiện diện trên hệ thống mà không gây nghi ngờ cho người dùng.
Khác với nhiều chiến dịch malware khác, phương pháp này không sửa đổi registry hệ thống, không tạo tác vụ theo lịch hoặc cài đặt dịch vụ mới. Điều này giúp giảm dấu vết điều tra và hạn chế khả năng kích hoạt các cảnh báo bảo mật.
Nhờ cơ chế thực thi “fileless” này, malware có thể tránh được nhiều phương pháp phát hiện dựa trên tệp tin của các hệ thống bảo mật.
Ngoài ra, chiến dịch còn tận dụng một tệp nhị phân hợp pháp của Microsoft là AppInstallerPythonRedirector.exe để gọi Python và kích hoạt Xeno RAT, giúp quá trình thực thi trông giống như hoạt động hợp lệ của hệ thống.
Bên cạnh đó, việc liên tục tiêm mã độc vào tiến trình explorer.exe trong thời gian ngắn được xem là một dấu hiệu hành vi quan trọng giúp các hệ thống phát hiện mối đe dọa có thể nhận diện sớm cuộc tấn công.
Mặc dù chưa xác định rõ mục tiêu cụ thể của chiến dịch này, các nhà nghiên cứu cảnh báo rằng những kỹ thuật tương tự có thể được sử dụng để nhắm vào doanh nghiệp, tổ chức tài chính hoặc hệ thống công nghệ thông tin quan trọng.
Trong bối cảnh các chiến dịch malware ngày càng tinh vi và khó phát hiện, các tổ chức được khuyến nghị tăng cường giám sát hành vi hệ thống, kiểm soát script và PowerShell, cũng như triển khai các giải pháp phát hiện dựa trên hành vi để ngăn chặn những cuộc tấn công kiểu mới như VOID#GEIST.
Theo phân tích kỹ thuật, chiến dịch này triển khai một chuỗi tấn công nhiều lớp nhằm tải xuống và thực thi ba loại malware phổ biến gồm XWorm, AsyncRAT và Xeno RAT. Thay vì phát tán các tệp thực thi truyền thống, kẻ tấn công sử dụng các tập lệnh và cơ chế thực thi trong bộ nhớ để tránh bị phát hiện bởi các hệ thống bảo mật.
Sử dụng script thay vì tệp thực thi truyền thống
Các chuyên gia cho biết chiến dịch VOID#GEIST phản ánh xu hướng mới trong các cuộc tấn công mạng hiện đại. Thay vì phân phối trực tiếp các tệp thực thi PE như trước đây, tin tặc đang chuyển sang sử dụng các chuỗi lệnh và môi trường thực thi hợp pháp để che giấu hoạt động độc hại.Chuỗi tấn công bắt đầu bằng một tập lệnh batch bị làm mờ, thường được tải xuống từ hạ tầng TryCloudflare và phát tán thông qua các email lừa đảo. Khi nạn nhân mở tệp, script này sẽ kích hoạt một tập lệnh thứ hai nhằm chuẩn bị môi trường thực thi và triển khai các thành phần malware tiếp theo.
Theo các nhà nghiên cứu, cách tiếp cận này giúp các giai đoạn tấn công trông giống với hoạt động quản trị hệ thống thông thường, từ đó giảm khả năng bị phát hiện bởi các công cụ bảo mật.
PDF giả mạo để đánh lạc hướng nạn nhân
Một điểm đáng chú ý của chiến dịch là việc sử dụng tệp PDF giả mạo làm công cụ đánh lạc hướng. Khi script được kích hoạt, hệ thống sẽ mở trình duyệt Google Chrome ở chế độ toàn màn hình để hiển thị một tài liệu tài chính hoặc hóa đơn giả.
Trong khi người dùng đang xem tài liệu, các tiến trình độc hại sẽ âm thầm chạy ở nền, bao gồm việc thực thi lại script thông qua PowerShell với tham số -WindowStyle Hidden nhằm ẩn hoàn toàn cửa sổ console.
Chiến thuật này giúp malware có thêm thời gian để thiết lập sự hiện diện trên hệ thống mà không gây nghi ngờ cho người dùng.
Thiết lập cơ chế duy trì trên hệ thống
Để đảm bảo malware tiếp tục hoạt động sau khi máy tính khởi động lại, chiến dịch VOID#GEIST sử dụng một phương pháp duy trì khá đơn giản nhưng hiệu quả. Một tập lệnh batch phụ sẽ được đặt trong thư mục Startup của Windows, cho phép nó tự động chạy mỗi khi người dùng đăng nhập.Khác với nhiều chiến dịch malware khác, phương pháp này không sửa đổi registry hệ thống, không tạo tác vụ theo lịch hoặc cài đặt dịch vụ mới. Điều này giúp giảm dấu vết điều tra và hạn chế khả năng kích hoạt các cảnh báo bảo mật.
Tải thêm malware thông qua môi trường Python
Ở giai đoạn tiếp theo, malware kết nối tới hạ tầng TryCloudflare để tải về một tệp ZIP chứa nhiều thành phần độc hại. Các tệp này bao gồm:- runn.py – script Python dùng để giải mã và nạp payload
- new.bin – payload shellcode của XWorm
- xn.bin – payload shellcode của Xeno RAT
- pul.bin – payload shellcode của AsyncRAT
- a.json, n.json, p.json – các khóa giải mã dùng để mở khóa payload
Thực thi shellcode trực tiếp trong bộ nhớ
Khi môi trường Python đã sẵn sàng, script runn.py sẽ được thực thi để giải mã các payload và tiêm chúng vào tiến trình explorer.exe. Quá trình này sử dụng kỹ thuật Early Bird APC (Asynchronous Procedure Call injection), cho phép malware chạy trực tiếp trong bộ nhớ mà không cần tạo tệp trên ổ đĩa.Nhờ cơ chế thực thi “fileless” này, malware có thể tránh được nhiều phương pháp phát hiện dựa trên tệp tin của các hệ thống bảo mật.
Ngoài ra, chiến dịch còn tận dụng một tệp nhị phân hợp pháp của Microsoft là AppInstallerPythonRedirector.exe để gọi Python và kích hoạt Xeno RAT, giúp quá trình thực thi trông giống như hoạt động hợp lệ của hệ thống.
Ba loại RAT được triển khai
Chuỗi tấn công cuối cùng dẫn đến việc triển khai ba loại malware điều khiển từ xa:- XWorm – RAT phổ biến cho phép kiểm soát hệ thống, ghi bàn phím và đánh cắp dữ liệu
- Xeno RAT – công cụ điều khiển từ xa có khả năng tải thêm payload
- AsyncRAT – malware mã nguồn mở thường được dùng để giám sát và chiếm quyền điều khiển máy tính
Xu hướng malware ngày càng tinh vi
Các chuyên gia cho rằng chiến dịch VOID#GEIST cho thấy sự thay đổi đáng kể trong chiến thuật của tội phạm mạng. Thay vì sử dụng một mã độc đơn lẻ, các tác nhân đe dọa đang xây dựng khung tấn công mô-đun nhiều giai đoạn, cho phép chúng linh hoạt triển khai hoặc thay thế các payload khi cần thiết.Bên cạnh đó, việc liên tục tiêm mã độc vào tiến trình explorer.exe trong thời gian ngắn được xem là một dấu hiệu hành vi quan trọng giúp các hệ thống phát hiện mối đe dọa có thể nhận diện sớm cuộc tấn công.
Mặc dù chưa xác định rõ mục tiêu cụ thể của chiến dịch này, các nhà nghiên cứu cảnh báo rằng những kỹ thuật tương tự có thể được sử dụng để nhắm vào doanh nghiệp, tổ chức tài chính hoặc hệ thống công nghệ thông tin quan trọng.
Trong bối cảnh các chiến dịch malware ngày càng tinh vi và khó phát hiện, các tổ chức được khuyến nghị tăng cường giám sát hành vi hệ thống, kiểm soát script và PowerShell, cũng như triển khai các giải pháp phát hiện dựa trên hành vi để ngăn chặn những cuộc tấn công kiểu mới như VOID#GEIST.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
