Nguyễn Tiến Đạt
Intern Writer
Các chuyên gia an ninh mạng vừa cảnh báo về chiến dịch JS#SMUGGLER, một hoạt động tấn công lợi dụng các trang web bị xâm phạm để triển khai NetSupport RAT, loại trojan cho phép kiểm soát từ xa toàn bộ máy tính nạn nhân. Phát hiện này đến từ nhóm nghiên cứu của Securonix, cho thấy kẻ tấn công đang sử dụng chuỗi lây nhiễm nhiều giai đoạn dựa trên JavaScript, HTA và PowerShell.
Theo các chuyên gia Akshay Gaikwad, Shikha Sangwan và Aaron Beardslee, NetSupport RAT mang lại cho kẻ tấn công khả năng truy cập hệ thống từ xa, thao tác tệp, thực thi lệnh, đánh cắp dữ liệu và thậm chí dùng máy nạn nhân làm proxy. Hiện chưa có dấu hiệu chiến dịch thuộc về bất kỳ nhóm đe dọa cụ thể nào, song việc nhắm vào người dùng doanh nghiệp thông qua các trang web bị xâm nhập cho thấy đây là một chiến dịch rộng và có chủ đích.
Ở giai đoạn tiếp theo, tập lệnh từ xa xây dựng URL theo thời điểm chạy để tải và thực thi tải trọng HTA thông qua mshta.exe. Tệp HTA hoạt động như một trình tải khác, ghi tạm mã PowerShell lên đĩa, giải mã và thực thi trong bộ nhớ để tránh để lại dấu vết. Tệp HTA cũng chạy ẩn hoàn toàn bằng cách vô hiệu hóa thành phần cửa sổ và thu nhỏ ngay khi khởi động.
Sau khi tải trọng được giải mã thực thi, nó tự xóa trình phân tích PowerShell và kết thúc tiến trình nhằm giảm tối đa dấu vết pháp y. Mục tiêu cuối cùng của tải trọng PowerShell là lấy về và triển khai NetSupport RAT, từ đó trao quyền điều khiển toàn diện máy nạn nhân cho kẻ tấn công.
Securonix nhận định chiến dịch này cho thấy mức độ tinh vi cao, sử dụng nhiều tầng né tránh và cơ chế giấu mã. Các tổ chức được khuyến nghị tăng cường thực thi CSP, giám sát tập lệnh, ghi nhật ký PowerShell, hạn chế mshta.exe và áp dụng phân tích hành vi.
Tệp JavaScript ban đầu được làm tối nghĩa, đóng vai trò dropper, dẫn đến trình tải VB.NET phức tạp dùng phản chiếu nâng cao và mã hóa XOR có điều kiện để giải mã và thực thi payload Formbook hoàn toàn trong bộ nhớ.
JavaScript dropper cũng giải mã hai tệp và ghi vào thư mục %TEMP%:
Theo các chuyên gia Akshay Gaikwad, Shikha Sangwan và Aaron Beardslee, NetSupport RAT mang lại cho kẻ tấn công khả năng truy cập hệ thống từ xa, thao tác tệp, thực thi lệnh, đánh cắp dữ liệu và thậm chí dùng máy nạn nhân làm proxy. Hiện chưa có dấu hiệu chiến dịch thuộc về bất kỳ nhóm đe dọa cụ thể nào, song việc nhắm vào người dùng doanh nghiệp thông qua các trang web bị xâm nhập cho thấy đây là một chiến dịch rộng và có chủ đích.
Chiến dịch nhiều giai đoạn dựa trên JavaScript, HTA và PowerShell
Securonix mô tả đây là hoạt động lây nhiễm dựa trên web, sử dụng iframe ẩn, trình tải JavaScript bị che giấu và kỹ thuật thực thi theo lớp. Trong quá trình tấn công, các trang web bị nhiễm được nhúng chuyển hướng ẩn dẫn đến một trình tải JavaScript mã hóa mạnh có tên “phone.js”. Trình tải này tiến hành lập hồ sơ thiết bị để xác định đường dẫn phù hợp:- Nếu truy cập từ điện thoại di động: hiển thị một iframe toàn màn hình.
- Nếu truy cập từ máy tính: kích hoạt tải xuống tập lệnh giai đoạn 2 từ xa.
Ở giai đoạn tiếp theo, tập lệnh từ xa xây dựng URL theo thời điểm chạy để tải và thực thi tải trọng HTA thông qua mshta.exe. Tệp HTA hoạt động như một trình tải khác, ghi tạm mã PowerShell lên đĩa, giải mã và thực thi trong bộ nhớ để tránh để lại dấu vết. Tệp HTA cũng chạy ẩn hoàn toàn bằng cách vô hiệu hóa thành phần cửa sổ và thu nhỏ ngay khi khởi động.
Sau khi tải trọng được giải mã thực thi, nó tự xóa trình phân tích PowerShell và kết thúc tiến trình nhằm giảm tối đa dấu vết pháp y. Mục tiêu cuối cùng của tải trọng PowerShell là lấy về và triển khai NetSupport RAT, từ đó trao quyền điều khiển toàn diện máy nạn nhân cho kẻ tấn công.
Securonix nhận định chiến dịch này cho thấy mức độ tinh vi cao, sử dụng nhiều tầng né tránh và cơ chế giấu mã. Các tổ chức được khuyến nghị tăng cường thực thi CSP, giám sát tập lệnh, ghi nhật ký PowerShell, hạn chế mshta.exe và áp dụng phân tích hành vi.
CHAMELEON#NET và Formbook: chiến dịch đa giai đoạn tương tự
Tiết lộ về JS#SMUGGLER xuất hiện chỉ vài tuần sau khi Securonix công bố CHAMELEON#NET, chiến dịch thư rác phát tán Formbook, loại malware chuyên ghi thao tác bàn phím và đánh cắp thông tin. Email lừa đảo nhắm vào Cơ quan An sinh Xã hội Quốc gia, dụ nạn nhân nhập thông tin trên một cổng webmail giả rồi tải về tệp .BZ2 chứa chuỗi lây nhiễm nhiều tầng.Tệp JavaScript ban đầu được làm tối nghĩa, đóng vai trò dropper, dẫn đến trình tải VB.NET phức tạp dùng phản chiếu nâng cao và mã hóa XOR có điều kiện để giải mã và thực thi payload Formbook hoàn toàn trong bộ nhớ.
JavaScript dropper cũng giải mã hai tệp và ghi vào thư mục %TEMP%:
- svchost.js: thả trình tải .NET DarkTortilla (“QNaZg.exe”), thường dùng để phân phối payload tiếp theo.
- adobe.js: thả tệp “PHat.jar”, một gói MSI có hành vi tương tự.
Nguồn: thehackernews
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
