Duy Linh
Writer
RevengeHotels, còn được gọi là TA558, đã leo thang chiến dịch tội phạm mạng kéo dài nhiều năm bằng cách tích hợp trí tuệ nhân tạo vào chuỗi lây nhiễm, hiện triển khai phần mềm độc hại VenomRAT nhắm vào hệ điều hành Windows. Hoạt động từ năm 2015, nhóm này thường nhắm mục tiêu vào khách lưu trú tại khách sạn và khách du lịch để đánh cắp dữ liệu thẻ thanh toán thông qua email lừa đảo — nhưng các chiến dịch gần đây cho thấy thay đổi kỹ thuật và tinh vi hơn đáng kể.
Phân tích cho thấy các tập lệnh tải được chú thích rõ ràng, có cấu trúc mô-đun và chứa trình giữ chỗ biến động — dấu hiệu cho thấy chúng được tạo ra bởi các mô hình ngôn ngữ lớn (LLM). Khác với mẫu tải trước đây vốn che giấu mã nguồn, các tập lệnh do AI tạo ra có bình luận mô tả cho từng chức năng, dễ đọc và dễ tùy biến. Sau khi thực thi, trình tải giải mã và ghi một tệp PowerShell — SGDoHBZQWpLKXCAoTHWdBGlnQJLZCGBOVGLH_{TIMESTAMP}.ps1 — rồi gọi tệp này trong bộ nhớ ba lần, một kỹ thuật nhằm giảm khả năng phát hiện.
Các gói VenomRAT trên dark web .
Khi khởi chạy, VenomRAT gọi EnableProtection để củng cố mô tả bảo mật của tiến trình, loại bỏ các mục DACL có thể cho phép chấm dứt. Một luồng giám sát lặp lại mỗi 50 ms phát hiện và tắt ngay các tiến trình bảo mật như trình gỡ lỗi, trình phân tích .NET và công cụ pháp y, tăng khả năng chống tắt. Để duy trì bền bỉ, RAT tạo tập lệnh VBS thêm mục HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce và lặp lại để khởi động lại nếu bị chấm dứt. Trên hệ thống có quyền quản trị, nó nâng cấp lên SeDebugPrivilege và tự đánh dấu là quy trình quan trọng để ngăn chặn việc chấm dứt do người dùng.
VenomRAT thiết lập kênh liên lạc mạnh với máy chủ chỉ huy và điều khiển; các gói tin được tuần tự hóa, nén LZMA và mã hóa AES-128 trước khi truyền. Để vượt tường lửa, RAT cài và cấu hình đường hầm ngrok, cho phép RDP và VNC hoạt động qua các tên miền phụ trông hợp pháp. Ngoài ra, nó lây lan qua thiết bị lưu động bằng cách sao chép dưới tên “My Pictures.exe” lên USB được phát hiện, xóa luồng Zone.Identifier nhằm vô hiệu hóa Mark-of-the-Web và xóa nhật ký sự kiện Windows để che giấu dấu vết pháp y.
Ví dụ về email lừa đảo về xác nhận đặt phòng .
Các tổ chức ngành khách sạn cần: nâng cao nhận thức về lừa đảo cho nhân viên, triển khai công cụ phát hiện hành vi thay vì chỉ dựa vào chữ ký, thực thi chính sách chặn thực thi tập lệnh nghiêm ngặt và kiểm tra thực thi bộ nhớ trên các giải pháp điểm cuối. Ngoài ra, kiểm soát và giám sát tiến trình ngrok trái phép nên là một phần của giám sát mạng, và các đội ứng phó sự cố phải sẵn sàng phân tích hoạt động trong bộ nhớ để phát hiện các tải không ghi đĩa.
Khi AI hạ thấp rào cản phát triển phần mềm độc hại, các tác nhân như RevengeHotels sẽ tiếp tục tinh chỉnh và đẩy nhanh kỹ thuật của họ — vì vậy phòng thủ chủ động và phản ứng sự cố nhanh, có khả năng phát hiện hành vi trong bộ nhớ, trở nên quan trọng hơn bao giờ hết.
Đọc chi tiết tại đây: https://gbhackers.com/venomrat-in-ai-driven/
Mô tả chuỗi tấn công và công nghệ AI trong tải xuống
Làn sóng tấn công mới bắt đầu bằng email lừa đảo có mồi là hóa đơn quá hạn hoặc đơn xin việc giả gửi tới phòng đặt phòng và phòng nhân sự khách sạn. Khi nạn nhân nhấp vào liên kết nhúng, họ bị chuyển hướng tới các trang do kẻ tấn công kiểm soát, mô phỏng cổng lưu trữ tài liệu. Những trang này tự động tải xuống tệp WScript JS có định dạng tên Fat{NUMBER}.js vào thư mục tạm của nạn nhân.Phân tích cho thấy các tập lệnh tải được chú thích rõ ràng, có cấu trúc mô-đun và chứa trình giữ chỗ biến động — dấu hiệu cho thấy chúng được tạo ra bởi các mô hình ngôn ngữ lớn (LLM). Khác với mẫu tải trước đây vốn che giấu mã nguồn, các tập lệnh do AI tạo ra có bình luận mô tả cho từng chức năng, dễ đọc và dễ tùy biến. Sau khi thực thi, trình tải giải mã và ghi một tệp PowerShell — SGDoHBZQWpLKXCAoTHWdBGlnQJLZCGBOVGLH_{TIMESTAMP}.ps1 — rồi gọi tệp này trong bộ nhớ ba lần, một kỹ thuật nhằm giảm khả năng phát hiện.
Phân phối, hành vi VenomRAT và biện pháp né tránh
Trình tải PowerShell sẽ tải hai tệp Base64: venumentrada.txt (trình tải mục nhập) và runpe.txt (tệp thực thi trong bộ nhớ). Venumentrada.txt tái tạo trình tải nhỏ gọn trong bộ nhớ và thực thi trực tiếp VenomRAT mà không ghi ra đĩa. VenomRAT là nhánh nâng cao từ QuasarRAT bị rò rỉ năm 2020, cung cấp khả năng như VNC ẩn (HVNC), proxy ngược, thu thập tệp, leo thang UAC và mã hóa dữ liệu (AES-128 kèm HMAC-SHA256).
Các gói VenomRAT trên dark web .
Khi khởi chạy, VenomRAT gọi EnableProtection để củng cố mô tả bảo mật của tiến trình, loại bỏ các mục DACL có thể cho phép chấm dứt. Một luồng giám sát lặp lại mỗi 50 ms phát hiện và tắt ngay các tiến trình bảo mật như trình gỡ lỗi, trình phân tích .NET và công cụ pháp y, tăng khả năng chống tắt. Để duy trì bền bỉ, RAT tạo tập lệnh VBS thêm mục HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce và lặp lại để khởi động lại nếu bị chấm dứt. Trên hệ thống có quyền quản trị, nó nâng cấp lên SeDebugPrivilege và tự đánh dấu là quy trình quan trọng để ngăn chặn việc chấm dứt do người dùng.
VenomRAT thiết lập kênh liên lạc mạnh với máy chủ chỉ huy và điều khiển; các gói tin được tuần tự hóa, nén LZMA và mã hóa AES-128 trước khi truyền. Để vượt tường lửa, RAT cài và cấu hình đường hầm ngrok, cho phép RDP và VNC hoạt động qua các tên miền phụ trông hợp pháp. Ngoài ra, nó lây lan qua thiết bị lưu động bằng cách sao chép dưới tên “My Pictures.exe” lên USB được phát hiện, xóa luồng Zone.Identifier nhằm vô hiệu hóa Mark-of-the-Web và xóa nhật ký sự kiện Windows để che giấu dấu vết pháp y.
Mục tiêu khu vực và khuyến nghị ngay lập tức
Hoạt động gần đây tập trung vào khách sạn tại Brazil, nhưng đã mở rộng sang các thị trường nói tiếng Tây Ban Nha như Mexico, Chile và Argentina, với email lừa đảo bằng tiếng Tây Ban Nha. Các tên miền lưu trữ payload theo chủ đề tiếng Bồ Đào Nha thay đổi liên tục, làm khó việc liệt kê vào danh sách đen. Việc sử dụng mồi nhử hóa đơn/nhân sự, tập lệnh tải do AI tạo và RAT tiên tiến nhấn mạnh rằng RevengeHotels tiếp tục tinh chỉnh TTP của mình.
Ví dụ về email lừa đảo về xác nhận đặt phòng .
Các tổ chức ngành khách sạn cần: nâng cao nhận thức về lừa đảo cho nhân viên, triển khai công cụ phát hiện hành vi thay vì chỉ dựa vào chữ ký, thực thi chính sách chặn thực thi tập lệnh nghiêm ngặt và kiểm tra thực thi bộ nhớ trên các giải pháp điểm cuối. Ngoài ra, kiểm soát và giám sát tiến trình ngrok trái phép nên là một phần của giám sát mạng, và các đội ứng phó sự cố phải sẵn sàng phân tích hoạt động trong bộ nhớ để phát hiện các tải không ghi đĩa.
Khi AI hạ thấp rào cản phát triển phần mềm độc hại, các tác nhân như RevengeHotels sẽ tiếp tục tinh chỉnh và đẩy nhanh kỹ thuật của họ — vì vậy phòng thủ chủ động và phản ứng sự cố nhanh, có khả năng phát hiện hành vi trong bộ nhớ, trở nên quan trọng hơn bao giờ hết.
Đọc chi tiết tại đây: https://gbhackers.com/venomrat-in-ai-driven/
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
