TỔNG QUAN

Trong các chiến dịch trước, nhóm tin tặc này đã bị phát hiện sử dụng email độc hại đính kèm các tài liệu Word, Excel hoặc PDF. Một số thành viên đã khai thác lỗ hổng CVE-2017-0199, tải các tập lệnh Visual Basic Scripting (VBS) hoặc PowerShell để cài đặt các phiên bản tùy chỉnh của nhiều họ RAT khác nhau, chẳng hạn như RevengeRAT, NanoCoreRAT, NjRAT, 888 RAT và phần mềm độc hại tùy chỉnh ProCC. Các chiến dịch này đã ảnh hưởng đến các khách sạn tại nhiều quốc gia trên khắp châu Mỹ Latinh, bao gồm Brazil, Argentina, Chile và Mexico, Nga, Belarus, Thổ Nhĩ Kỳ,…

Sau đó, RevengeHotels đã mở rộng “kho vũ khí” của mình bằng cách bổ sung XWorm, một RAT với các lệnh điều khiển, đánh cắp dữ liệu và duy trì hoạt động, cùng nhiều chức năng khác. Trong quá trình điều tra chiến dịch phát tán XWorm, các nhà nghiên cứu Kaspersky phát hiện RevengeHotels cũng sử dụng công cụ RAT có tên DesckVBRAT trong hoạt động của chúng.

Vào mùa hè năm 2025, các nhà nghiên cứu đã quan sát thấy các chiến dịch mới nhắm vào cùng lĩnh vực này và sử dụng các công cụ độc hại ngày càng tinh vi. Các tác nhân đe dọa tiếp tục lạm dụng email lừa đảo với chủ đề liên quan hóa đơn để phân phối phần mềm độc hại VenomRAT thông qua JavaScript và PowerShell. Một phần đáng kể mã độc và mã tải xuống ban đầu trong chiến dịch dường như được tạo ra bởi các tác nhân mô hình ngôn ngữ lớn (LLM). Điều này cho những kẻ tấn công hiện đang sử dụng trí tuệ nhân tạo (AI) để phát triển khả năng của chúng, một xu hướng cũng được báo cáo trong các nhóm tội phạm mạng khác.

Mục tiêu chính của các chiến dịch này là các khách sạn tại Brazil. Thông qua phân tích toàn diện về các mô hình tấn công và phương thức hoạt động của tác nhân đe dọa, Kaspersky nhận định kẻ tấn công thực sự là RevengeHotels. Tính nhất quán trong các chiến thuật, kỹ thuật và quy trình (TTP) được sử dụng trong các cuộc tấn công này phù hợp với hành vi đã biết của RevengeHotels. Cơ sở hạ tầng để phân phối payload dựa trên các dịch vụ lưu trữ hợp pháp, thường sử dụng tên miền theo ngôn ngữ Bồ Đào Nha.

PHÂN TÍCH

Như đề cập, phương thức tấn công chính được RevengeHotels sử dụng là email lừa đảo với chủ đề hóa đơn, yêu cầu người nhận thanh toán các khoản thanh toán quá hạn. Chúng nhắm mục tiêu cụ thể đến các địa chỉ email liên quan đến đặt phòng khách sạn. Mặc dù tiếng Bồ Đào Nha là ngôn ngữ phổ biến, các nhà nghiên cứu cũng đã phát hiện ra các trường hợp email lừa đảo sử dụng tiếng Tây Ban Nha, cho thấy phạm vi hoạt động của kẻ tấn công vượt ra ngoài các cơ sở lưu trú tại Brazil, có thể nhắm đến các quốc gia hoặc khu vực nói tiếng Tây Ban Nha.

Hình 1. Ví dụ về mẫu email lừa đảo xác nhận đặt phòng

Trong những vụ tấn công gần đây, chủ đề đã thay đổi từ đặt phòng khách sạn sang đơn xin việc giả, trong đó kẻ tấn công gửi sơ yếu lý lịch nhằm mục đích khai thác các cơ hội việc làm tiềm năng tại các khách sạn mục tiêu.

Phần mềm độc hại

Các trang web độc hại thay đổi theo từng email và tải xuống tệp WScript JS khi được truy cập, kích hoạt quá trình lây nhiễm. Tên tệp JS thay đổi theo mỗi yêu cầu. Trong trường hợp này, các nhà nghiên cứu đã phân tích Fat146571[.]js(fbadfff7b61d820e3632a2f464079e8c), theo định dạng Fat\{NUMBER\}[.]js, trong đó “fatura” có nghĩa là hóa đơn.

Tập lệnh này dường như được tạo ra bởi mô hình LLM, bằng chứng là code được chú thích rất nhiều và định dạng tương tự như các tập lệnh được tạo ra bởi loại công nghệ này. Chức năng chính của tập lệnh là tải các tập lệnh tiếp theo để tạo điều kiện cho việc lây nhiễm. Một phần đáng kể trong thế hệ mã độc mới do RevengeHotels tạo ra chứa code có thể được tạo ra bởi AI.

Hình 2. Code do AI tạo ra trong một bản phần mềm độc hại so với code tùy chỉnh

Bước tải thứ hai

Khi thực thi, tập lệnh Fat\{NUMBER\}[.]js sẽ giải mã một bộ đệm đã được mã hóa và làm rối nghĩa, đóng vai trò là bước tiếp theo trong việc tải các mã độc còn lại. Bộ đệm này sau đó được lưu vào tệp PowerShell (PS1) có tên SGDoHBZQWpLKXCAoTHXdBGlnQJLZCGBOVGLH_{TIMESTAMP}[.]ps1(d5f241dee73cffe51897c15f36b713cc), trong đó “\{TIMESTAMP\}” là một số được tạo dựa trên ngày và giờ thực thi hiện tại. Điều này đảm bảo tên tệp thay đổi với mỗi lần lây nhiễm và không tồn tại lâu dài. Sau khi tập lệnh được lưu, nó sẽ được thực thi ba lần, sau đó tập lệnh tải sẽ thoát.

Tập lệnh SGDoHBZQWpLKXCAoTHXdBGlnQJLZCGBOVGLH_{TIMESTAMP}[.]ps1 chạy PowerShell với code mã hóa Base64. Code này lấy tệp cargajecerrr[.]txt(b1a5dc66f40a38d807ec8350ae89d1e4) từ một máy chủ độc hại từ xa và gọi tệp đó dưới dạng PowerShell.

Trình tải xuống này chịu trách nhiệm lấy các tệp còn lại từ máy chủ độc hại và tải chúng. Cả hai tệp đều được mã hóa Base64 và có tên mô tả: venumentrada.txt(607f64b56bb3b94ee0009471f1fe9a3c), có thể được hiểu là “điểm vào VenomRAT” và runpe[.]txt(dbf5afa377e3e761622e5f21af1f09e6) được đặt theo tên của một công cụ độc hại dùng để thực thi trong bộ nhớ. Tệp đầu tiên, venumentrada[.]txt, là một trình tải được làm rối nghĩa để đảm bảo tệp thứ hai, mã độc VenomRAT, được thực thi chính xác trong bộ nhớ. Mã độc cũng thể hiện các đặc điểm phù hợp với việc tạo ra bởi giao diện AI, bao gồm cấu trúc code tiêu chuẩn, chú thích chi tiết và đặt tên biến rõ ràng. Hơn nữa, nó khác biệt đáng kể so với các mẫu trước đó, vốn có cấu trúc khác biệt, bản chất được che giấu kỹ hơn và thiếu chú thích.

Khám phá VenomRAT

VenomRAT là một phiên bản cải tiến của QuasarRAT mã nguồn mở, được phát hiện lần đầu tiên vào giữa năm 2020 và rao bán trên dark web, với giấy phép trọn đời có giá lên tới 650 USD. Mặc dù mã nguồn của VenomRAT đã bị rò rỉ, nó vẫn đang được các tác nhân đe dọa rao bán và sử dụng.

Hình 3. Các gói VenomRAT trên dark web

Theo trang web của nhà cung cấp, VenomRAT cung cấp một loạt các tính năng được xây dựng dựa trên QuasarRAT, bao gồm màn hình ẩn HVNC, trình thu thập và đánh cắp tệp, reversse proxy và khai thác UAC,…

Tương tự như các họ RAT khác, máy khách VenomRAT được tạo ra với cấu hình tùy chỉnh. Dữ liệu cấu hình bên trong phần mềm độc hại (tương tự QuasarRAT) mã hóa bằng AES và PKCS #5 v2.0, với hai khóa được sử dụng: Một để giải mã dữ liệu và một để xác minh tính xác thực bằng HMAC-SHA256. Trong suốt quá trình thực thi của mã độc, các bộ khóa và vectơ khởi tạo khác nhau được sử dụng không thường xuyên, nhưng chúng luôn triển khai cùng một thuật toán AES.

Cơ chế anti-kill

Đáng chú ý, VenomRAT sử dụng cơ chế anti-kill, có thể được tác nhân đe dọa kích hoạt khi thực thi. Ban đầu, RAT gọi một hàm có tên EnableProtection, để truy xuất mô tả bảo mật của tiến trình độc hại và sửa đổi Danh sách kiểm soát truy cập tùy ý (DACL) để loại bỏ bất kỳ quyền nào có thể cản trở hoạt động bình thường của RAT.

Thành phần thứ hai của biện pháp chống kill này bao gồm một luồng chạy vòng lặp liên tục, kiểm tra danh sách các tiến trình đang chạy trong 50 ms. Vòng lặp này đặc biệt nhắm vào các tiến trình thường được các nhà phân tích bảo mật và quản trị viên hệ thống sử dụng, để giám sát hoạt động của máy chủ hoặc phân tích các tệp nhị phân .NET cùng nhiều tác vụ khác. Nếu RAT phát hiện bất kỳ tiến trình nào trong số này, nó sẽ chấm dứt chúng mà không cần nhắc nhở người dùng.

Hình 4. Danh sách các tiến trình mà phần mềm độc hại tìm kiếm để chấm dứt

Biện pháp anti-kill cũng bao gồm khả năng duy trì, được thực hiện thông qua hai cơ chế được ghi vào tệp VBS do VenomRAT tạo ra và thực thi. Các cơ chế này đảm bảo sự hiện diện liên tục của phần mềm độc hại trên hệ thống:

1. Windows Registry: Tập lệnh tạo một khóa mới trong HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, trỏ đến đường dẫn thực thi. Điều này cho phép phần mềm độc hại tồn tại trong nhiều phiên làm việc của người dùng.

2. Tiến trình: Tập lệnh chạy một vòng lặp để kiểm tra sự hiện diện của phần mềm độc hại trong danh sách tiến trình. Nếu không tìm thấy, tập lệnh sẽ thực thi lại phần mềm độc hại.

Nếu người dùng thực thi với quyền quản trị viên, mã độc sẽ thực hiện các bước bổ sung để đảm bảo tính tồn tại của nó, đồng thời thiết lập token SeDebugPrivilege, cho phép sử dụng hàm RtlSetProcessIsCritical để tự đánh dấu là một tiến trình hệ thống quan trọng. Điều này làm cho tiến trình trở nên “thiết yếu” đối với hệ thống, cho phép tồn tại ngay cả khi có nỗ lực chấm dứt. Tuy nhiên, khi quản trị viên đăng xuất hoặc máy tính sắp tắt, VenomRAT sẽ xóa dấu hiệu quan trọng để cho phép hệ thống tiếp tục các hành động này.

Như một biện pháp cuối cùng để duy trì tính bền bỉ, RAT gọi hàm SetThreadExecutionState bằng một tập hợp các cờ buộc màn hình phải bật và hệ thống phải duy trì trạng thái hoạt động. Điều này ngăn hệ thống chuyển sang chế độ sleep.

Ngoài các phương pháp trên, phần mềm độc hại còn bao gồm một cơ chế bảo vệ chống lại Windows Defender. Trong trường hợp này, RAT chủ động tìm kiếm MSASCui[.]exe trong danh sách tiến trình và chấm dứt tiến trình đó. Sau đó, phần mềm độc hại sửa đổi task scheduler và registry để vô hiệu hóa Windows Defender trên toàn hệ thống, cùng với các tính năng khác của nó.

Truyền gói tin

VenomRAT sử dụng cơ chế tuần tự hóa gói tin tùy chỉnh cho kết nối mạng với máy chủ điều khiển và ra lệnh (C2). Mỗi gói tin được điều chỉnh theo một hành động cụ thể do RAT thực hiện, với một trình xử lý gói tin chuyên dụng cho từng hành động. Các gói tin được truyền đến máy chủ C2 trải qua một quy trình gồm nhiều bước:

1. Đầu tiên, gói tin được tuần tự hóa để chuẩn bị truyền đi.

2. Gói tin sau đó nén bằng phương pháp LZMA để giảm kích thước.

3. Gói tin nén được mã hóa bằng AES-128, sử dụng cùng một khóa và khóa xác thực đã đề cập trước đó.

4. Khi nhận được các gói tin từ máy chủ C2, VenomRAT sẽ đảo ngược quá trình này để giải mã và trích xuất nội dung.

Ngoài ra, VenomRAT còn thực hiện tạo đường hầm (tunnel) bằng cách cài đặt ngrok trên máy tính bị nhiễm. Máy chủ C2 chỉ định token, giao thức và cổng cho đường hầm, được gửi trong gói tin tuần tự. Điều này cho phép các dịch vụ điều khiển từ xa như RDP và VNC hoạt động thông qua đường hầm và được kết nối với Internet.

Lây nhiễm qua USB

VenomRAT cũng có khả năng lây lan qua ổ đĩa USB. Để làm được điều này, nó quét các ký tự ổ đĩa từ C đến M và kiểm tra xem mỗi ổ đĩa có thể tháo rời hay không. Nếu phát hiện ổ đĩa di động, RAT sẽ tự sao chép sang tất cả các ổ đĩa khả dụng dưới tên My Pictures[.]exe.

Các bước ẩn bổ sung

Ngoài việc tự sao chép vào một thư mục khác và thay đổi tên thực thi, VenomRAT còn sử dụng một số kỹ thuật ẩn danh giúp phân biệt nó với QuasarRAT. Hai ví dụ đáng chú ý bao gồm:

- Xóa luồng Zone[.]Identifier: VenomRAT xóa luồng Mark of the Web, chứa metada về URL mà tệp thực thi được tải xuống. Bằng cách xóa thông tin này, RAT có thể tránh bị phát hiện bởi các công cụ bảo mật như Windows Defender và tránh bị cách ly, đồng thời xóa bỏ dấu vết kỹ thuật số của nó.

- Xóa log sự kiện Windows: Phần mềm độc hại xóa tất cả log sự kiện Windows trên hệ thống bị xâm nhập, tạo ra một “bảng trắng” cho các hoạt động của nó. Hành động này đảm bảo rằng mọi sự kiện được tạo ra trong quá trình thực thi RAT đều bị xóa, khiến các nhà phân tích bảo mật khó phát hiện và theo dõi hoạt động của nó hơn.

NẠN NHÂN

Mục tiêu chính của các cuộc tấn công RevengeHotels vẫn nhắm vào các khách sạn và quầy lễ tân, tập trung vào các cơ sở tại Brazil. Tuy nhiên, các tác nhân đe dọa đã và đang điều chỉnh chiến thuật, hiện nay email lừa đảo được gửi bằng các ngôn ngữ khác ngoài tiếng Bồ Đào Nha. Cụ thể, Kaspersky đã quan sát thấy email bằng tiếng Tây Ban Nha đang được sử dụng để nhắm mục tiêu vào các khách sạn và công ty du lịch ở các quốc gia nói tiếng Tây Ban Nha, cho thấy khả năng mở rộng phạm vi của tác nhân đe dọa. 

KẾT LUẬN

RevengeHotels đã tăng cường đáng kể năng lực tấn công, phát triển các chiến thuật mới nhắm vào lĩnh vực khách sạn và du lịch. Với sự hỗ trợ của LLM, nhóm này đã có thể tạo ra và điều chỉnh các mồi nhử lừa đảo, mở rộng các cuộc tấn công sang các khu vực mới. Các trang web được sử dụng cho các cuộc tấn công này liên tục thay đổi, đồng thời các payload ban đầu cũng liên tục thay đổi, nhưng mục tiêu cuối cùng vẫn như cũ, đó là triển khai RAT. Trong trường hợp này, RAT được đề cập là VenomRAT, một biến thể của QuasarRAT nguồn mở.