Biến thể PlugX nguy hiểm: Lây lan toàn cầu qua USB
Một biến thể mã độc PlugX mới đã được phát hiện đang lây lan âm thầm qua các ổ USB, vượt qua biên giới địa lý và đã được ghi nhận trên nhiều lục địa, trải rộng gần mười múi giờ. Đây là một mối đe dọa mạng đáng chú ý với cơ chế lây nhiễm tinh vi, nhắm mục tiêu vào dữ liệu nhạy cảm.
Phát hiện và Lây lan Địa lý của Biến thể Mã độc PlugX
Lần đầu tiên được phát hiện tại Papua New Guinea vào tháng 8 năm 2022, mã độc PlugX này đã tái xuất hiện vào tháng 1 năm 2023 tại cả Papua New Guinea và Ghana, hai quốc gia cách nhau khoảng 16.000 km.
Các trường hợp lây nhiễm sau đó được xác nhận ở Mông Cổ, Zimbabwe và Nigeria. Điều này khiến cho đây trở thành một trong những đợt bùng phát mã độc có phạm vi địa lý rộng lớn nhất trong thời gian gần đây.
PlugX không phải là một mã độc mới. Đây là một công cụ truy cập từ xa (RAT – Remote Access Trojan) đã được biết đến rộng rãi, đã được các tác nhân đe dọa sử dụng trong nhiều năm.
Điểm khác biệt của biến thể cụ thể này là tải trọng (payload) mới và mối liên hệ với một máy chủ chỉ huy và kiểm soát (C2 – Command-and-Control) chưa từng được liên kết chặt chẽ với họ mã độc này trước đây.
Cơ chế Khai thác và Lây nhiễm của Mã độc PlugX
Kỹ thuật DLL Sideloading
Mã độc sử dụng kỹ thuật DLL sideloading để thực thi mã mà không gây nghi ngờ ngay lập tức. Đây là một phương pháp mà một ứng dụng hợp pháp bị đánh lừa để tải một thư viện độc hại thay vì thư viện gốc của nó.
Các nhà nghiên cứu của Sophos X-Ops, dẫn đầu bởi nhà phân tích Gabor Szappanos, đã xác định biến thể mới này sau khi một cảnh báo CryptoGuard được kích hoạt, rất có thể là do một nỗ lực rò rỉ dữ liệu.
Để biết thêm chi tiết về nghiên cứu này, bạn có thể tham khảo báo cáo của Sophos X-Ops tại Sophos Blog.
Gói lây nhiễm bao gồm ba thành phần chính:
- Một tệp thực thi hợp pháp
AvastSvc.exe, vốn dễ bị tấn công bởi DLL sideloading. - Một thư viện DLL độc hại có tên
wsc.dll. - Một tệp tải trọng đã được mã hóa.
Cả ba thành phần này hoạt động cùng nhau để chạy backdoor PlugX một cách âm thầm trên một máy tính đã bị xâm nhập. Đây là một ví dụ điển hình về việc khai thác các điểm yếu trong phần mềm hợp pháp để đạt được quyền kiểm soát hệ thống.
Cơ chế Lây nhiễm qua USB và Che giấu
Cơ chế lây nhiễm của biến thể mã độc PlugX này được xây dựng dựa trên sự đánh lừa. Khi mã độc tự sao chép vào một ổ USB, nó sử dụng các chuỗi mutex cụ thể như USB_NOTIFY_COP và USB_NOTIFY_INF để quản lý hoạt động này.
Sau khi sao chép, ổ USB dường như hoàn toàn trống rỗng trong chế độ xem Windows Explorer thông thường. Thay vào đó, nạn nhân sẽ thấy một tệp lối tắt (shortcut file) được thiết kế trông giống như một ổ đĩa di động khác, hoàn chỉnh với biểu tượng ổ đĩa phù hợp.
Nếu người dùng nhấp vào lối tắt này, nó sẽ âm thầm chạy tệp thực thi CEFHelper, mà thực chất là tệp AvastSvc.exe đã được đổi tên. Sự ngụy trang này là có chủ đích, vì mã độc đặt tên tệp theo một tiến trình hợp pháp của Adobe để tránh sự chú ý của người dùng và các hệ thống phát hiện xâm nhập.
Tất cả các tệp và thư mục độc hại khác được gán các thuộc tính ẩn (hidden) và hệ thống (system), khiến chúng vô hình theo mặc định trong danh sách tệp tiêu chuẩn.
Mã độc lưu trữ tất cả các tệp của nó bên trong một thư mục có tên RECYCLER.BIN và thả một tệp desktop.ini khiến Windows coi thư mục này là một thùng rác thực sự.
Điều này có nghĩa là các tệp đã xóa từ ổ cứng thực của người dùng sẽ xuất hiện ở đó, càng che giấu sự hiện diện của mã độc PlugX. Bên trong RECYCLER.BIN, mã độc nhắm mục tiêu vào các tài liệu bao gồm các tệp .doc, .docx, .xls, .xlsx, .ppt, .pptx và .pdf, mã hóa chúng và lưu chúng với tên tệp được mã hóa base64 để chuẩn bị rò rỉ dữ liệu.
Dấu hiệu Nhận biết (IOCs) và Tác nhân Đe dọa
Địa chỉ C2
Hoạt động C2 của biến thể mã độc PlugX này được truy ngược về địa chỉ IP: 45.142.166[.]112. Địa chỉ này trước đây đã được đề cập trong một báo cáo năm 2019 của Unit 42, có liên quan lỏng lẻo đến PlugX nhưng không trực tiếp gắn với bất kỳ tác nhân đe dọa nào được biết đến vào thời điểm đó.
45.142.166[.]112Tác nhân Đe dọa
Các nhà nghiên cứu của Sophos hiện cho rằng tất cả các kỹ thuật được quan sát trong quá trình điều tra của họ đều phù hợp với hành vi đã biết của PKPLUG, còn được gọi là Mustang Panda.
Đây là một nhóm tấn công dai dẳng nâng cao (APT) nổi tiếng với các hoạt động gián điệp mạng. Phát hiện này củng cố mối liên hệ giữa địa chỉ IP được sử dụng và tác nhân đe dọa đứng sau chiến dịch này.
Các Biện pháp Phòng ngừa và Giảm thiểu
Các tổ chức nên coi việc kết nối ổ USB là một rủi ro nghiêm trọng, đặc biệt trong các môi trường xử lý tài liệu hoặc dữ liệu nhạy cảm. Một biện pháp bảo mật cơ bản nhưng hiệu quả là vô hiệu hóa tính năng AutoRun và AutoPlay cho tất cả các thiết bị lưu trữ di động.
Các nhóm IT cũng nên cấu hình hệ thống của họ để hiển thị các tệp ẩn và tệp hệ thống theo mặc định. Điều này có thể giúp phát hiện các thư mục đáng ngờ như RECYCLER.BIN mà biến thể mã độc PlugX này sử dụng để che giấu.
Việc giám sát thường xuyên lưu lượng C2 đi ra và triển khai các giải pháp bảo vệ điểm cuối (endpoint protection) có khả năng phát hiện hoạt động DLL sideloading vẫn là các bước quan trọng đối với bất kỳ tổ chức nào phải đối mặt với loại mối đe dọa mạng có mục tiêu này.
Cập nhật bản vá bảo mật định kỳ và đào tạo nâng cao nhận thức cho người dùng cuối về các mối nguy hiểm của việc nhấp vào các tệp shortcut không xác định hoặc cắm các ổ USB không rõ nguồn gốc là vô cùng cần thiết để củng cố an ninh mạng.
