Duy Linh
Writer
Nhóm tội phạm mạng Void Dokkaebi, còn được biết đến với tên Famous Chollima và có liên hệ với Triều Tiên, đang nâng cấp đáng kể phương thức phát tán mã độc InvisibleFerret. Thay vì sử dụng các script Python truyền thống như trước đây, nhóm này đã chuyển sang dùng các mô-đun nhị phân được biên dịch nhằm tăng khả năng né tránh các công cụ bảo mật.
Ở các phiên bản cũ, InvisibleFerret hoạt động dưới dạng mã Python dễ đọc, giúp giới phân tích an ninh mạng có thể nhanh chóng nhận diện thông qua phân tích tĩnh và các hệ thống dò quét dựa trên chữ ký. Tuy nhiên, chiến dịch mới đã tận dụng Cython - công cụ chuyển mã Python sang C hoặc C++ để tạo ra các tệp nhị phân gốc khó phân tích hơn nhiều.
Dù thay đổi cách đóng gói, mã độc này vẫn duy trì các chức năng quen thuộc như mở cửa hậu truy cập hệ thống, đánh cắp thông tin đăng nhập trình duyệt, theo dõi clipboard, ghi thao tác bàn phím và nhắm vào ví tiền điện tử.
Theo đánh giá của các chuyên gia, chiến dịch đặc biệt nguy hiểm đối với lập trình viên và doanh nghiệp công nghệ, nơi các nhà phát triển thường sở hữu quyền truy cập vào dữ liệu quan trọng như khóa ký số, ví điện tử hay hệ thống CI/CD.
Chuỗi lây nhiễm của bộ tấn công Void Dokkaebi lợi dụng Cython để che giấu phần mềm độc hại InvisibleFerret (Nguồn: Trend Micro).
Sau khi nạn nhân thực thi mã, BeaverTail - một trình tải viết bằng JavaScript sẽ khởi động giai đoạn tấn công tiếp theo. Nếu trước đây BeaverTail chủ yếu dùng để tải payload và đánh cắp dữ liệu, thì hiện nay nó đã phát triển thành malware đa giai đoạn với nhiều tính năng tương đồng InvisibleFerret.
Trend Micro cho biết nhóm tin tặc hiện phát tán mã độc dưới dạng tệp .pyd trên Windows và .so trên macOS. Đây là bước chuyển đáng chú ý nhằm vượt qua các cơ chế bảo vệ vốn chỉ tập trung phát hiện script truyền thống.
BeaverTail tiếp tục tải xuống các payload được biên dịch bằng Cython rồi tạo script Python thực thi, thường có đuôi .mod, để chạy chúng. Do các tệp .pyd và .so chỉ là mô-đun mở rộng Python chứ không phải ứng dụng độc lập, chúng cần trình thông dịch Python để hoạt động.
Cách triển khai nhiều tầng này khiến việc phát hiện trở nên khó khăn hơn vì các giải pháp bảo mật phải đồng thời kiểm tra cả mã nhị phân lẫn script chạy thời gian thực.
Ngoài ra, BeaverTail còn được cập nhật thêm nhiều kỹ thuật che giấu dữ liệu như mảng Base64 bị làm rối, mã hóa XOR và phương pháp split-and-swap để bảo vệ thông tin hạ tầng điều khiển C2.
Đoạn mã minh họa chức năng xáo trộn IIFE (Nguồn: Trend Micro).
Những biện pháp này khiến việc truy vết địa chỉ IP hoặc tên miền điều khiển trở nên phức tạp hơn. Trong một số trường hợp, thông tin máy chủ C2 không được nhúng trực tiếp trong mã độc mà được truyền thông qua tham số dòng lệnh của script thực thi.
Các nhà phân tích có thể khôi phục payload bằng cách giải nén các đoạn dữ liệu sử dụng Zlib. Kết quả cho thấy malware vẫn áp dụng cơ chế giải mã Base64 nhiều lớp cùng các phép XOR tương tự các phiên bản trước.
Hàm PyMemoryView_FromMemory() và Zlib_Compressed_Data (Nguồn: Trend Micro).
Kiến trúc mô-đun của InvisibleFerret bao gồm nhiều thành phần phục vụ cửa hậu, đánh cắp dữ liệu trình duyệt và chèn mã độc vào các tiện ích mở rộng ví tiền điện tử.
Đáng chú ý, chiến dịch hiện không chỉ nhắm tới MetaMask mà còn mở rộng sang Coinbase Wallet và Phantom. Trên macOS, malware còn có thể hạ cấp Chrome để vô hiệu một số cơ chế bảo vệ tiện ích mở rộng hiện đại, từ đó cho phép extension độc hại hoạt động.
Các nhà nghiên cứu cho biết việc chuyển sang mô-đun nhị phân Cython không đồng nghĩa với việc xóa sạch mọi dấu vết pháp y. Một số thành phần như hàm khởi tạo mô-đun, đường dẫn tệp nhúng hay tham chiếu tới mã nguồn vẫn xuất hiện trong các tệp nhị phân. Tuy nhiên, việc phân tích các dữ liệu này khó hơn nhiều so với kiểm tra script thông thường.
Sự thay đổi trong chiến thuật của Void Dokkaebi cũng cho thấy hạn chế của nhiều hệ thống phòng thủ hiện nay. Những tổ chức chỉ phụ thuộc vào cơ chế phát hiện mã lệnh có nguy cơ bỏ sót các biến thể mới. Các chuyên gia khuyến nghị doanh nghiệp nên tăng cường phân tích mã nhị phân, theo dõi các mô-đun mở rộng đã biên dịch và giám sát hoạt động của script thời gian chạy cũng như tiện ích mở rộng trình duyệt.
Trong bối cảnh Void Dokkaebi liên tục hoàn thiện công cụ tấn công, giới an ninh mạng được khuyến cáo cần siết chặt giám sát môi trường phát triển, hạn chế thực thi mã không đáng tin cậy và kiểm tra đồng thời cả script lẫn mã nhị phân trong chuỗi tấn công. Chiến dịch này tiếp tục phản ánh mức độ tinh vi ngày càng cao của các nhóm đe dọa nhắm vào chuỗi cung ứng phần mềm và hệ sinh thái tiền điện tử.
Ở các phiên bản cũ, InvisibleFerret hoạt động dưới dạng mã Python dễ đọc, giúp giới phân tích an ninh mạng có thể nhanh chóng nhận diện thông qua phân tích tĩnh và các hệ thống dò quét dựa trên chữ ký. Tuy nhiên, chiến dịch mới đã tận dụng Cython - công cụ chuyển mã Python sang C hoặc C++ để tạo ra các tệp nhị phân gốc khó phân tích hơn nhiều.
Dù thay đổi cách đóng gói, mã độc này vẫn duy trì các chức năng quen thuộc như mở cửa hậu truy cập hệ thống, đánh cắp thông tin đăng nhập trình duyệt, theo dõi clipboard, ghi thao tác bàn phím và nhắm vào ví tiền điện tử.
Theo đánh giá của các chuyên gia, chiến dịch đặc biệt nguy hiểm đối với lập trình viên và doanh nghiệp công nghệ, nơi các nhà phát triển thường sở hữu quyền truy cập vào dữ liệu quan trọng như khóa ký số, ví điện tử hay hệ thống CI/CD.
Chiến thuật phát tán và che giấu ngày càng phức tạp
Void Dokkaebi thường tiếp cận nạn nhân bằng các kịch bản tuyển dụng giả mạo. Các nhà phát triển được dụ tải về hoặc chạy những kho lưu trữ độc hại, từ đó vô tình kích hoạt chuỗi lây nhiễm.
Chuỗi lây nhiễm của bộ tấn công Void Dokkaebi lợi dụng Cython để che giấu phần mềm độc hại InvisibleFerret (Nguồn: Trend Micro).
Sau khi nạn nhân thực thi mã, BeaverTail - một trình tải viết bằng JavaScript sẽ khởi động giai đoạn tấn công tiếp theo. Nếu trước đây BeaverTail chủ yếu dùng để tải payload và đánh cắp dữ liệu, thì hiện nay nó đã phát triển thành malware đa giai đoạn với nhiều tính năng tương đồng InvisibleFerret.
Trend Micro cho biết nhóm tin tặc hiện phát tán mã độc dưới dạng tệp .pyd trên Windows và .so trên macOS. Đây là bước chuyển đáng chú ý nhằm vượt qua các cơ chế bảo vệ vốn chỉ tập trung phát hiện script truyền thống.
BeaverTail tiếp tục tải xuống các payload được biên dịch bằng Cython rồi tạo script Python thực thi, thường có đuôi .mod, để chạy chúng. Do các tệp .pyd và .so chỉ là mô-đun mở rộng Python chứ không phải ứng dụng độc lập, chúng cần trình thông dịch Python để hoạt động.
Cách triển khai nhiều tầng này khiến việc phát hiện trở nên khó khăn hơn vì các giải pháp bảo mật phải đồng thời kiểm tra cả mã nhị phân lẫn script chạy thời gian thực.
Ngoài ra, BeaverTail còn được cập nhật thêm nhiều kỹ thuật che giấu dữ liệu như mảng Base64 bị làm rối, mã hóa XOR và phương pháp split-and-swap để bảo vệ thông tin hạ tầng điều khiển C2.
Đoạn mã minh họa chức năng xáo trộn IIFE (Nguồn: Trend Micro).
Những biện pháp này khiến việc truy vết địa chỉ IP hoặc tên miền điều khiển trở nên phức tạp hơn. Trong một số trường hợp, thông tin máy chủ C2 không được nhúng trực tiếp trong mã độc mà được truyền thông qua tham số dòng lệnh của script thực thi.
InvisibleFerret mở rộng mục tiêu sang nhiều ví điện tử
InvisibleFerret cũng được bổ sung các kỹ thuật làm mờ mã nguồn tinh vi hơn. Dù đã chuyển sang dạng nhị phân, một phần logic Python gốc vẫn tồn tại dưới dạng dữ liệu nén bên trong mã độc.Các nhà phân tích có thể khôi phục payload bằng cách giải nén các đoạn dữ liệu sử dụng Zlib. Kết quả cho thấy malware vẫn áp dụng cơ chế giải mã Base64 nhiều lớp cùng các phép XOR tương tự các phiên bản trước.
Hàm PyMemoryView_FromMemory() và Zlib_Compressed_Data (Nguồn: Trend Micro).
Kiến trúc mô-đun của InvisibleFerret bao gồm nhiều thành phần phục vụ cửa hậu, đánh cắp dữ liệu trình duyệt và chèn mã độc vào các tiện ích mở rộng ví tiền điện tử.
Đáng chú ý, chiến dịch hiện không chỉ nhắm tới MetaMask mà còn mở rộng sang Coinbase Wallet và Phantom. Trên macOS, malware còn có thể hạ cấp Chrome để vô hiệu một số cơ chế bảo vệ tiện ích mở rộng hiện đại, từ đó cho phép extension độc hại hoạt động.
Các nhà nghiên cứu cho biết việc chuyển sang mô-đun nhị phân Cython không đồng nghĩa với việc xóa sạch mọi dấu vết pháp y. Một số thành phần như hàm khởi tạo mô-đun, đường dẫn tệp nhúng hay tham chiếu tới mã nguồn vẫn xuất hiện trong các tệp nhị phân. Tuy nhiên, việc phân tích các dữ liệu này khó hơn nhiều so với kiểm tra script thông thường.
Sự thay đổi trong chiến thuật của Void Dokkaebi cũng cho thấy hạn chế của nhiều hệ thống phòng thủ hiện nay. Những tổ chức chỉ phụ thuộc vào cơ chế phát hiện mã lệnh có nguy cơ bỏ sót các biến thể mới. Các chuyên gia khuyến nghị doanh nghiệp nên tăng cường phân tích mã nhị phân, theo dõi các mô-đun mở rộng đã biên dịch và giám sát hoạt động của script thời gian chạy cũng như tiện ích mở rộng trình duyệt.
Trong bối cảnh Void Dokkaebi liên tục hoàn thiện công cụ tấn công, giới an ninh mạng được khuyến cáo cần siết chặt giám sát môi trường phát triển, hạn chế thực thi mã không đáng tin cậy và kiểm tra đồng thời cả script lẫn mã nhị phân trong chuỗi tấn công. Chiến dịch này tiếp tục phản ánh mức độ tinh vi ngày càng cao của các nhóm đe dọa nhắm vào chuỗi cung ứng phần mềm và hệ sinh thái tiền điện tử.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
