Một chiến dịch lừa đảo nhiều giai đoạn mới đã được phát hiện nhắm mục tiêu vào người dùng ở Nga bằng ransomware và một trojan truy cập từ xa có tên Amnesia RAT.
"Cuộc tấn công bắt đầu bằng các mồi nhử social engineering được gửi qua các tài liệu theo chủ đề kinh doanh, được tạo ra để trông có vẻ bình thường và vô hại," nhà nghiên cứu Cara Lin của Fortinet FortiGuard Labs cho biết trong một phân tích kỹ thuật được công bố tuần này. "Những tài liệu và script đi kèm này đóng vai trò đánh lạc hướng trực quan, chuyển hướng nạn nhân sang các tác vụ hoặc thông báo trạng thái giả mạo trong khi hoạt động độc hại diễn ra âm thầm ở chế độ nền."
Chiến dịch này nổi bật vì một vài lý do. Đầu tiên, nó sử dụng nhiều dịch vụ đám mây công cộng để phân phối các loại payload khác nhau. Trong khi GitHub chủ yếu được dùng để phân phối script, thì các payload nhị phân lại được lưu trữ trên Dropbox. Sự phân tách này làm phức tạp nỗ lực gỡ bỏ, từ đó cải thiện hiệu quả khả năng phục hồi của chiến dịch.
Một "đặc điểm nổi bật" khác của chiến dịch, theo Fortinet, là việc lạm dụng hoạt động của công cụ defendnot để vô hiệu hóa Microsoft Defender. Defendnot đã được phát hành vào năm ngoái bởi một nhà nghiên cứu bảo mật với biệt danh trực tuyến es3n1n, như một cách để đánh lừa chương trình bảo mật tin rằng một sản phẩm antivirus khác đã được cài đặt trên máy chủ Windows.
Chi tiết về Chuỗi Tấn Công
Chiến dịch này lợi dụng social engineering để phân phối các kho lưu trữ nén, chứa nhiều tài liệu mồi nhử và một tệp shortcut độc hại của Windows (LNK) với tên tệp tiếng Nga. Tệp LNK sử dụng phần mở rộng kép ("Задание_для_бухгалтера_02отдела.txt.lnk") để tạo ấn tượng rằng đó là một tệp văn bản.
Khi được thực thi, nó chạy một lệnh PowerShell để truy xuất script PowerShell giai đoạn tiếp theo được lưu trữ trên một repository GitHub ("github[.]com/Mafin111/MafinREP111"), sau đó đóng vai trò là trình tải giai đoạn đầu tiên để thiết lập chỗ đứng, chuẩn bị hệ thống để ẩn bằng chứng hoạt động độc hại và chuyển quyền kiểm soát sang các giai đoạn tiếp theo.
"Script này đầu tiên ngăn chặn việc thực thi hiển thị bằng cách ẩn cửa sổ console PowerShell theo lập trình," Fortinet cho biết. "Điều này loại bỏ mọi chỉ báo trực quan tức thì về việc một script đang chạy. Sau đó, nó tạo một tài liệu văn bản mồi nhử trong thư mục dữ liệu ứng dụng cục bộ của người dùng. Sau khi được ghi vào đĩa, tài liệu mồi nhử sẽ tự động được mở."
Một khi tài liệu được hiển thị cho nạn nhân để duy trì sự đánh lừa, script sẽ gửi một tin nhắn cho kẻ tấn công bằng cách sử dụng Telegram Bot API, thông báo cho người điều hành rằng giai đoạn đầu tiên đã được thực thi thành công. Sau một khoảng thời gian chờ 444 giây được cố ý đưa vào, script PowerShell chạy một Visual Basic Script ("SCRRC4ryuk.vbe") được lưu trữ tại cùng vị trí repository.
Điều này mang lại hai lợi thế quan trọng là giữ cho trình tải nhẹ và cho phép các tác nhân đe dọa cập nhật hoặc thay thế chức năng của payload một cách linh hoạt mà không cần phải thực hiện bất kỳ thay đổi nào đối với chính chuỗi tấn công.
Visual Basic Script này bị obfuscated cao độ và hoạt động như bộ điều khiển lắp ráp payload giai đoạn tiếp theo trực tiếp trong bộ nhớ, do đó tránh để lại bất kỳ artifact nào trên đĩa. Script giai đoạn cuối kiểm tra xem nó có đang chạy với quyền quản trị nâng cao hay không, và nếu không, sẽ liên tục hiển thị lời nhắc User Account Control (UAC) để buộc nạn nhân cấp các quyền cần thiết. Script tạm dừng trong 3.000 mili giây giữa các lần thử.
Trong giai đoạn tiếp theo, phần mềm độc hại khởi xướng một loạt các hành động để ngăn chặn khả năng hiển thị, vô hiệu hóa các cơ chế bảo vệ endpoint, thực hiện trinh sát, ngăn chặn phục hồi và cuối cùng triển khai các payload chính:
- Cấu hình các ngoại lệ của Microsoft Defender để ngăn chương trình quét ProgramData, Program Files, Desktop, Downloads và thư mục tạm thời của hệ thống.
- Sử dụng PowerShell để tắt các thành phần bảo vệ bổ sung của Defender.
- Triển khai defendnot để đăng ký một sản phẩm antivirus giả mạo với giao diện Windows Security Center và khiến Microsoft Defender tự vô hiệu hóa để tránh các xung đột tiềm ẩn.
- Thực hiện trinh sát môi trường và giám sát thông qua chụp màn hình bằng một module .NET chuyên dụng được tải xuống từ repository GitHub, module này chụp màn hình cứ sau 30 giây, lưu dưới dạng hình ảnh PNG và gửi dữ liệu ra ngoài bằng cách sử dụng một Telegram bot.
- Vô hiệu hóa các công cụ quản trị và chẩn đoán của Windows bằng cách can thiệp vào các điều khiển chính sách dựa trên Registry.
- Thực hiện cơ chế chiếm quyền liên kết tệp sao cho việc mở các tệp có một số phần mở rộng được xác định trước sẽ khiến một thông báo được hiển thị cho nạn nhân, hướng dẫn họ liên hệ với kẻ tấn công qua Telegram.
Các Payload Chính: Amnesia RAT và Ransomware
Một trong những payload cuối cùng được triển khai sau khi vô hiệu hóa thành công các biện pháp kiểm soát bảo mật và cơ chế phục hồi là Amnesia RAT ("svchost.scr"), được truy xuất từ Dropbox và có khả năng đánh cắp dữ liệu rộng rãi và kiểm soát từ xa. Nó được thiết kế để đánh cắp thông tin được lưu trữ trong trình duyệt web, ví cryptocurrency, Discord, Steam và Telegram, cùng với siêu dữ liệu hệ thống, ảnh chụp màn hình, hình ảnh webcam, âm thanh microphone, clipboard và tiêu đề cửa sổ đang hoạt động.
"RAT cho phép tương tác từ xa đầy đủ, bao gồm liệt kê và chấm dứt process, thực thi lệnh shell, triển khai payload tùy ý và thực thi các phần mềm độc hại bổ sung," Fortinet cho biết. "Việc trích xuất dữ liệu chủ yếu được thực hiện qua HTTPS bằng cách sử dụng Telegram Bot APIs. Các bộ dữ liệu lớn hơn có thể được tải lên các dịch vụ lưu trữ tệp của bên thứ ba như GoFile, với các liên kết tải xuống được chuyển tiếp đến kẻ tấn công qua Telegram."
Tổng cộng, Amnesia RAT tạo điều kiện thuận lợi cho việc đánh cắp thông tin đăng nhập, chiếm quyền phiên, gian lận tài chính và thu thập dữ liệu thời gian thực, biến nó thành một công cụ toàn diện để chiếm đoạt tài khoản và các cuộc tấn công tiếp theo.
Payload thứ hai được script gửi là một ransomware có nguồn gốc từ họ ransomware Hakuna Matata và được cấu hình để mã hóa tài liệu, kho lưu trữ, hình ảnh, đa phương tiện, mã nguồn và tài sản ứng dụng trên endpoint bị nhiễm, nhưng không phải trước khi chấm dứt bất kỳ process nào có thể cản trở hoạt động của nó.
Ngoài ra, ransomware theo dõi nội dung clipboard và âm thầm sửa đổi địa chỉ ví cryptocurrency bằng các ví do kẻ tấn công kiểm soát để chuyển hướng các giao dịch. Chuỗi lây nhiễm kết thúc bằng việc script triển khai WinLocker để hạn chế tương tác của người dùng.
"Chuỗi tấn công này cho thấy các chiến dịch phần mềm độc hại hiện đại có thể đạt được sự xâm nhập toàn diện hệ thống mà không cần khai thác các lỗ hổng phần mềm," Lin kết luận. "Bằng cách lạm dụng một cách có hệ thống các tính năng gốc của Windows, các công cụ quản trị và cơ chế thực thi chính sách, kẻ tấn công vô hiệu hóa các biện pháp phòng thủ endpoint trước khi triển khai các công cụ giám sát dai dẳng và payload phá hoại."
Để chống lại việc defendnot lạm dụng Windows Security Center API, Microsoft khuyến nghị người dùng bật Tamper Protection để ngăn chặn các thay đổi trái phép đối với cài đặt Defender và giám sát các cuộc gọi API đáng ngờ hoặc các thay đổi dịch vụ Defender.
