Các nhà nghiên cứu an ninh mạng đang kêu gọi sự chú ý đến một chiến dịch mới có tên JS#SMUGGLER, được phát hiện đang sử dụng các trang web bị xâm nhập làm phương tiện phân phối cho một Trojan truy cập từ xa (RAT) có tên NetSupport RAT.
Chuỗi tấn công, được phân tích bởi Securonix, bao gồm ba phần chính: Một JavaScript loader bị làm rối mã được tiêm vào một trang web, một HTML Application (HTA) chạy các trình dàn dựng PowerShell được mã hóa bằng "mshta.exe", và một PowerShell payload được thiết kế để tải xuống và thực thi mã độc chính.
"NetSupport RAT cho phép kẻ tấn công kiểm soát hoàn toàn máy chủ nạn nhân, bao gồm truy cập máy tính từ xa, các hoạt động tập tin, thực thi lệnh, đánh cắp dữ liệu và khả năng proxy," các nhà nghiên cứu Akshay Gaikwad, Shikha Sangwan và Aaron Beardslee cho biết.
Hiện tại có rất ít bằng chứng để liên kết chiến dịch này với bất kỳ nhóm đe dọa hoặc quốc gia nào đã biết. Hoạt động này được phát hiện nhằm vào người dùng doanh nghiệp thông qua các trang web bị xâm nhập, cho thấy đây là một nỗ lực quy mô rộng.
Công ty an ninh mạng này mô tả đây là một hoạt động mã độc dựa trên web đa giai đoạn, sử dụng các iframe ẩn, trình tải bị làm rối mã và thực thi script nhiều lớp để triển khai mã độc và kiểm soát từ xa.
Trong các cuộc tấn công này, các chuyển hướng ẩn (silent redirects) được nhúng vào các trang web bị nhiễm hoạt động như một kênh dẫn cho một JavaScript loader ("phone.js") bị làm rối mã hóa mạnh mẽ được lấy từ một miền bên ngoài, sau đó nó sẽ lập hồ sơ thiết bị để xác định xem có nên phục vụ một iframe toàn màn hình (khi truy cập từ điện thoại di động) hay tải một script giai đoạn hai từ xa khác (khi truy cập từ máy tính để bàn).
Iframe vô hình được thiết kế để chuyển hướng nạn nhân đến một URL độc hại. JavaScript loader tích hợp một cơ chế theo dõi để đảm bảo rằng logic độc hại chỉ được kích hoạt một lần và trong lần truy cập đầu tiên, từ đó giảm thiểu khả năng bị phát hiện.
"Việc phân nhánh nhận biết thiết bị này cho phép kẻ tấn công điều chỉnh đường dẫn lây nhiễm, ẩn hoạt động độc hại khỏi một số môi trường nhất định và tối đa hóa tỷ lệ thành công bằng cách phân phối các payload phù hợp với nền tảng trong khi tránh phơi nhiễm không cần thiết," các nhà nghiên cứu cho biết.
Script từ xa được tải xuống trong giai đoạn đầu tiên của cuộc tấn công đặt nền móng bằng cách tạo ra một URL tại thời gian chạy, từ đó một HTA payload được tải xuống và thực thi bằng "mshta.exe." HTA payload là một trình tải khác cho một PowerShell stager tạm thời, được ghi vào đĩa, giải mã và thực thi trực tiếp trong bộ nhớ để tránh bị phát hiện.
Hơn nữa, tệp HTA được chạy một cách lén lút bằng cách vô hiệu hóa tất cả các yếu tố cửa sổ hiển thị và thu nhỏ ứng dụng khi khởi động. Sau khi payload được giải mã được thực thi, nó cũng thực hiện các bước để xóa PowerShell stager khỏi đĩa và tự chấm dứt để tránh để lại càng ít dấu vết điều tra càng tốt.
Mục tiêu chính của PowerShell payload đã được giải mã là truy xuất và triển khai NetSupport RAT, cấp cho kẻ tấn công quyền kiểm soát hoàn toàn máy chủ bị xâm nhập.
"Sự tinh vi và các kỹ thuật né tránh nhiều lớp cho thấy đây là một framework mã độc chuyên nghiệp, được duy trì tích cực," Securonix cho biết. "Các nhà bảo vệ nên triển khai thực thi CSP mạnh mẽ, giám sát script, ghi nhật ký PowerShell, hạn chế mshta.exe và phân tích hành vi để phát hiện các cuộc tấn công như vậy một cách hiệu quả."
CHAMELEON#NET Phân phối mã độc Formbook
Tiết lộ này được đưa ra vài tuần sau khi công ty cũng công bố chi tiết một chiến dịch malspam đa giai đoạn khác có tên CHAMELEON#NET, sử dụng email lừa đảo để phân phối Formbook, một keylogger và information stealer. Các tin nhắn email nhằm mục đích lôi kéo nạn nhân trong lĩnh vực An sinh xã hội quốc gia tải xuống một kho lưu trữ tưởng chừng vô hại sau khi cung cấp thông tin đăng nhập của họ trên một cổng webmail giả mạo được thiết kế cho mục đích này.
"Chiến dịch này bắt đầu bằng một email lừa đảo lừa người dùng tải xuống một kho lưu trữ .BZ2, khởi tạo một chuỗi lây nhiễm đa giai đoạn," Sangwan cho biết. "Payload ban đầu là một tệp JavaScript bị làm rối mã mạnh mẽ hoạt động như một dropper, dẫn đến việc thực thi một loader VB.NET phức tạp. Loader này sử dụng reflection nâng cao và một bộ mã hóa XOR có điều kiện tùy chỉnh để giải mã và thực thi payload cuối cùng của nó, Formbook RAT, hoàn toàn trong bộ nhớ."
Cụ thể, JavaScript dropper giải mã và ghi vào đĩa trong thư mục %TEMP% hai tệp JavaScript bổ sung -
- svchost.js, thả một tệp thực thi loader .NET có tên DarkTortilla ("QNaZg.exe"), một crypter thường được sử dụng để phân phối các payload giai đoạn tiếp theo.
- adobe.js, thả một tệp có tên "PHat.jar," một gói cài đặt MSI có hành vi tương tự như "svchost.js."
Trong chiến dịch này, loader được cấu hình để giải mã và thực thi một DLL được nhúng, mã độc Formbook. Khả năng duy trì được thực hiện bằng cách thêm nó vào thư mục khởi động của Windows để đảm bảo rằng nó tự động khởi chạy khi hệ thống khởi động lại. Ngoài ra, nó cũng quản lý khả năng duy trì thông qua Windows Registry.
"Các tác nhân đe dọa kết hợp kỹ thuật xã hội, làm rối mã script mạnh mẽ và các kỹ thuật né tránh .NET nâng cao để xâm nhập thành công các mục tiêu," Securonix cho biết. "Việc sử dụng một quy trình giải mã tùy chỉnh theo sau bởi reflective loading cho phép payload cuối cùng được thực thi theo cách fileless, làm phức tạp đáng kể việc phát hiện và phân tích pháp y."
