Duy Linh
Writer
Các chuyên gia an ninh mạng vừa công bố thêm nhiều chi tiết kỹ thuật về PHANTOMPULSE, một trojan truy cập từ xa (RAT) có độ tinh vi cao đang được sử dụng trong các chiến dịch tấn công nhiều giai đoạn nhằm vào hệ điều hành Windows.
PHANTOMPULSE được xác định là payload cuối cùng trong chuỗi tấn công từng liên quan đến việc lợi dụng plugin Obsidian và các trình tải hoạt động trong bộ nhớ. Nghiên cứu mới nhất tập trung vào các khả năng hậu xâm nhập của mã độc này sau khi đã giành được chỗ đứng trên hệ thống mục tiêu.
Các chuỗi ký tự do AI tạo ra trong mã nhị phân (Nguồn: Elastic Security Labs).
Một trong những năng lực đáng chú ý nhất là việc hỗ trợ ba phương pháp tiêm mã khác nhau. Tùy thuộc vào loại payload, mã độc sẽ sử dụng kỹ thuật ghi đè mô-đun, ánh xạ DLL thủ công hoặc cơ chế thực thi dựa trên trình gỡ lỗi được phát triển từ các công cụ proof-of-concept công khai.
Nhờ đó, mã độc có thể thực thi bên trong các tiến trình hợp pháp như explorer.exe hoặc dllhost.exe, khiến các giải pháp bảo mật đầu cuối khó phát hiện hoạt động bất thường hơn.
Để tránh sự giám sát của các công cụ bảo mật, PHANTOMPULSE sử dụng các lệnh gọi hệ thống trực tiếp thay vì các API Windows thông thường. Cách tiếp cận này cho phép nó vượt qua các cơ chế hook ở chế độ người dùng vốn được nhiều nền tảng EDR triển khai.
Trước đây, Elastic Security Labs từng ghi nhận chiến dịch REF6598, trong đó bộ công cụ tấn công Windows được cài đặt thông qua việc lạm dụng plugin Obsidian trước khi leo thang bằng trình tải PE trong bộ nhớ có tên PHANTOMPULL.
Ngoài ra, PHANTOMPULSE còn triển khai cơ chế điểm dừng phần cứng (HWBP) nhằm vô hiệu hóa các lớp bảo vệ quan trọng như AMSI (Antimalware Scan Interface), Windows Lockdown Policy (WLDP) và Event Tracing for Windows (ETW).
Chức năng thiết lập điểm dừng phần cứng (Nguồn: Elastic security labs).
Thay vì sửa đổi trực tiếp mã trong bộ nhớ, mã độc can thiệp vào quá trình thực thi trong thời gian chạy và trả về các giá trị giả mạo có vẻ hợp lệ. Điều này khiến việc phát hiện trở nên khó khăn hơn đáng kể.
Khả năng duy trì hiện diện trên hệ thống cũng được thiết kế rất bài bản. PHANTOMPULSE tạo nhiều tác vụ được lập lịch để thực thi DLL độc hại thông qua rundll32.exe mỗi khi máy tính khởi động hoặc người dùng đăng nhập. Nó còn có cơ chế tự phục hồi, cho phép khôi phục các thành phần hoặc tác vụ bị xóa trong những lần kiểm tra định kỳ.
Quá trình leo thang đặc quyền được thực hiện thông qua kỹ thuật vượt qua UAC mang tên "schuac". Bằng cách lạm dụng các giao diện COM như IElevatedFactoryServer, mã độc có thể khởi tạo các tiến trình có đặc quyền cao mà không hiển thị cảnh báo cho người dùng.
Mã độc sẽ trích xuất và giải mã trường "input" từ các giao dịch gần đây liên kết với một địa chỉ ví được nhúng sẵn trong mã. Tuy nhiên, các nhà nghiên cứu phát hiện bộ giải mã không xác thực nguồn gửi giao dịch, tạo ra một điểm yếu đáng kể.
Lỗ hổng này cho phép các nhà phòng thủ có thể gửi một giao dịch được thiết kế đặc biệt để chiếm quyền kiểm soát kênh liên lạc, từ đó vô hiệu hóa toàn bộ hệ thống bị nhiễm.
PHANTOMPULSE vô hiệu hóa AMSI, WLDP và ETW bằng cùng một cơ chế chung là thiết lập điểm dừng phần cứng trên các API mục tiêu. Phương pháp này giúp nó can thiệp vào các thành phần bảo mật mà không cần sửa đổi trực tiếp mã nguồn hoặc bộ nhớ của tiến trình.
Mã độc cũng thực hiện hoạt động thu thập thông tin hệ thống khá toàn diện, bao gồm phiên bản hệ điều hành, cấu hình phần cứng, danh sách phần mềm đã cài đặt và các sản phẩm bảo mật hiện diện trên thiết bị.
Đáng chú ý, nó đặc biệt quan tâm đến các ví tiền điện tử, ứng dụng nhắn tin và công cụ truyền tải tệp. Điều này cho thấy mục tiêu của chiến dịch có thể liên quan đến lợi ích tài chính. Dù vậy, các nhà nghiên cứu không phát hiện chức năng đánh cắp trực tiếp thông tin đăng nhập hoặc ví tiền điện tử trong biến thể hiện tại, cho thấy PHANTOMPULSE nhiều khả năng đóng vai trò như một nền tảng trung gian để triển khai các payload tiếp theo.
Đối với việc phân phối payload, lệnh C2 "inject" sẽ chuyển shellcode đến PhantomInject, DLL đến ManualMap và tệp EXE đến DbgNexum, tương ứng với ba kỹ thuật tiêm mã mà mã độc hỗ trợ.
Chèn câu lệnh switch case (Nguồn: Elastic security labs).
Một phát hiện đáng chú ý khác là tập tin nhị phân của PHANTOMPULSE chứa nhiều dấu hiệu cho thấy quá trình phát triển có thể đã được hỗ trợ bởi trí tuệ nhân tạo. Các chuỗi gỡ lỗi cho thấy sự hiện diện của những mẫu ghi nhật ký có cấu trúc, dữ liệu chẩn đoán chi tiết và các dấu vết theo dõi chức năng nhất quán, những đặc điểm thường xuất hiện trong mã được tạo bởi các mô hình ngôn ngữ lớn.
Các chuyên gia của Elastic cũng ghi nhận nhiều điểm tương đồng với chiến thuật của các nhóm tội phạm mạng có liên hệ với Triều Tiên, đặc biệt là những nhóm tập trung vào lĩnh vực tiền điện tử. Việc sử dụng hạ tầng C2 dựa trên blockchain, khả năng hoạt động đa nền tảng và quá trình do thám ví tiền điện tử có nhiều nét giống với các chiến dịch trước đây được cho là liên quan đến BlueNoroff và UNC5342.
Tổng thể, PHANTOMPULSE phản ánh xu hướng phát triển mới của các mối đe dọa mạng hiện đại, khi những kỹ thuật tấn công công khai được kết hợp với hạ tầng vận hành tiên tiến nhằm tạo ra các công cụ có khả năng né tránh phát hiện và duy trì hoạt động ở mức rất cao.
Sự kết hợp giữa nhiều phương thức xâm nhập, kỹ thuật vượt qua cơ chế phòng thủ một cách kín đáo cùng mô hình điều khiển phi tập trung cho thấy các đội ngũ bảo mật doanh nghiệp đang phải đối mặt với những thách thức ngày càng phức tạp trong việc phát hiện và ngăn chặn các chiến dịch tấn công thế hệ mới.
PHANTOMPULSE được xác định là payload cuối cùng trong chuỗi tấn công từng liên quan đến việc lợi dụng plugin Obsidian và các trình tải hoạt động trong bộ nhớ. Nghiên cứu mới nhất tập trung vào các khả năng hậu xâm nhập của mã độc này sau khi đã giành được chỗ đứng trên hệ thống mục tiêu.
Kết hợp nhiều kỹ thuật né tránh và duy trì quyền truy cập
PHANTOMPULSE nổi bật nhờ khả năng kết hợp hàng loạt kỹ thuật che giấu hoạt động, bao gồm tiêm mã vào tiến trình hợp pháp, vượt qua cơ chế Kiểm soát tài khoản người dùng (UAC) và vận hành hệ thống điều khiển - chỉ huy (C2) dựa trên blockchain. Những tính năng này giúp kẻ tấn công duy trì quyền truy cập bí mật và lâu dài vào thiết bị bị xâm nhập.
Các chuỗi ký tự do AI tạo ra trong mã nhị phân (Nguồn: Elastic Security Labs).
Một trong những năng lực đáng chú ý nhất là việc hỗ trợ ba phương pháp tiêm mã khác nhau. Tùy thuộc vào loại payload, mã độc sẽ sử dụng kỹ thuật ghi đè mô-đun, ánh xạ DLL thủ công hoặc cơ chế thực thi dựa trên trình gỡ lỗi được phát triển từ các công cụ proof-of-concept công khai.
Nhờ đó, mã độc có thể thực thi bên trong các tiến trình hợp pháp như explorer.exe hoặc dllhost.exe, khiến các giải pháp bảo mật đầu cuối khó phát hiện hoạt động bất thường hơn.
Để tránh sự giám sát của các công cụ bảo mật, PHANTOMPULSE sử dụng các lệnh gọi hệ thống trực tiếp thay vì các API Windows thông thường. Cách tiếp cận này cho phép nó vượt qua các cơ chế hook ở chế độ người dùng vốn được nhiều nền tảng EDR triển khai.
Trước đây, Elastic Security Labs từng ghi nhận chiến dịch REF6598, trong đó bộ công cụ tấn công Windows được cài đặt thông qua việc lạm dụng plugin Obsidian trước khi leo thang bằng trình tải PE trong bộ nhớ có tên PHANTOMPULL.
Ngoài ra, PHANTOMPULSE còn triển khai cơ chế điểm dừng phần cứng (HWBP) nhằm vô hiệu hóa các lớp bảo vệ quan trọng như AMSI (Antimalware Scan Interface), Windows Lockdown Policy (WLDP) và Event Tracing for Windows (ETW).
Chức năng thiết lập điểm dừng phần cứng (Nguồn: Elastic security labs).
Thay vì sửa đổi trực tiếp mã trong bộ nhớ, mã độc can thiệp vào quá trình thực thi trong thời gian chạy và trả về các giá trị giả mạo có vẻ hợp lệ. Điều này khiến việc phát hiện trở nên khó khăn hơn đáng kể.
Khả năng duy trì hiện diện trên hệ thống cũng được thiết kế rất bài bản. PHANTOMPULSE tạo nhiều tác vụ được lập lịch để thực thi DLL độc hại thông qua rundll32.exe mỗi khi máy tính khởi động hoặc người dùng đăng nhập. Nó còn có cơ chế tự phục hồi, cho phép khôi phục các thành phần hoặc tác vụ bị xóa trong những lần kiểm tra định kỳ.
Quá trình leo thang đặc quyền được thực hiện thông qua kỹ thuật vượt qua UAC mang tên "schuac". Bằng cách lạm dụng các giao diện COM như IElevatedFactoryServer, mã độc có thể khởi tạo các tiến trình có đặc quyền cao mà không hiển thị cảnh báo cho người dùng.
Hạ tầng C2 dựa trên blockchain và dấu hiệu liên quan đến AI
Một trong những điểm khác biệt của PHANTOMPULSE là phương thức xác định máy chủ C2 thông qua blockchain. Thay vì sử dụng tên miền cố định như nhiều dòng mã độc khác, nó lấy thông tin máy chủ điều khiển từ dữ liệu giao dịch trên các mạng Ethereum, Base và Optimism.Mã độc sẽ trích xuất và giải mã trường "input" từ các giao dịch gần đây liên kết với một địa chỉ ví được nhúng sẵn trong mã. Tuy nhiên, các nhà nghiên cứu phát hiện bộ giải mã không xác thực nguồn gửi giao dịch, tạo ra một điểm yếu đáng kể.
Lỗ hổng này cho phép các nhà phòng thủ có thể gửi một giao dịch được thiết kế đặc biệt để chiếm quyền kiểm soát kênh liên lạc, từ đó vô hiệu hóa toàn bộ hệ thống bị nhiễm.
PHANTOMPULSE vô hiệu hóa AMSI, WLDP và ETW bằng cùng một cơ chế chung là thiết lập điểm dừng phần cứng trên các API mục tiêu. Phương pháp này giúp nó can thiệp vào các thành phần bảo mật mà không cần sửa đổi trực tiếp mã nguồn hoặc bộ nhớ của tiến trình.
Mã độc cũng thực hiện hoạt động thu thập thông tin hệ thống khá toàn diện, bao gồm phiên bản hệ điều hành, cấu hình phần cứng, danh sách phần mềm đã cài đặt và các sản phẩm bảo mật hiện diện trên thiết bị.
Đáng chú ý, nó đặc biệt quan tâm đến các ví tiền điện tử, ứng dụng nhắn tin và công cụ truyền tải tệp. Điều này cho thấy mục tiêu của chiến dịch có thể liên quan đến lợi ích tài chính. Dù vậy, các nhà nghiên cứu không phát hiện chức năng đánh cắp trực tiếp thông tin đăng nhập hoặc ví tiền điện tử trong biến thể hiện tại, cho thấy PHANTOMPULSE nhiều khả năng đóng vai trò như một nền tảng trung gian để triển khai các payload tiếp theo.
Đối với việc phân phối payload, lệnh C2 "inject" sẽ chuyển shellcode đến PhantomInject, DLL đến ManualMap và tệp EXE đến DbgNexum, tương ứng với ba kỹ thuật tiêm mã mà mã độc hỗ trợ.
Chèn câu lệnh switch case (Nguồn: Elastic security labs).
Một phát hiện đáng chú ý khác là tập tin nhị phân của PHANTOMPULSE chứa nhiều dấu hiệu cho thấy quá trình phát triển có thể đã được hỗ trợ bởi trí tuệ nhân tạo. Các chuỗi gỡ lỗi cho thấy sự hiện diện của những mẫu ghi nhật ký có cấu trúc, dữ liệu chẩn đoán chi tiết và các dấu vết theo dõi chức năng nhất quán, những đặc điểm thường xuất hiện trong mã được tạo bởi các mô hình ngôn ngữ lớn.
Các chuyên gia của Elastic cũng ghi nhận nhiều điểm tương đồng với chiến thuật của các nhóm tội phạm mạng có liên hệ với Triều Tiên, đặc biệt là những nhóm tập trung vào lĩnh vực tiền điện tử. Việc sử dụng hạ tầng C2 dựa trên blockchain, khả năng hoạt động đa nền tảng và quá trình do thám ví tiền điện tử có nhiều nét giống với các chiến dịch trước đây được cho là liên quan đến BlueNoroff và UNC5342.
Tổng thể, PHANTOMPULSE phản ánh xu hướng phát triển mới của các mối đe dọa mạng hiện đại, khi những kỹ thuật tấn công công khai được kết hợp với hạ tầng vận hành tiên tiến nhằm tạo ra các công cụ có khả năng né tránh phát hiện và duy trì hoạt động ở mức rất cao.
Sự kết hợp giữa nhiều phương thức xâm nhập, kỹ thuật vượt qua cơ chế phòng thủ một cách kín đáo cùng mô hình điều khiển phi tập trung cho thấy các đội ngũ bảo mật doanh nghiệp đang phải đối mặt với những thách thức ngày càng phức tạp trong việc phát hiện và ngăn chặn các chiến dịch tấn công thế hệ mới.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
