Cảnh báo khẩn cấp: Mã độc ValleyRAT tấn công LINE tinh vi

Một chiến dịch tấn công mạng tinh vi đã được phát hiện, trong đó các tác nhân đe dọa đang phân phối backdoor mã độc ValleyRAT dưới dạng trình cài đặt hợp pháp cho ứng dụng nhắn tin phổ biến LINE. Cuộc tấn công mạng này tập trung chủ yếu vào người dùng nói tiếng Trung, lợi dụng một tệp thực thi lừa đảo để xâm nhập hệ thống và đánh cắp thông tin đăng nhập nhạy cảm.

Phân tích Chiến dịch Tấn công Mã độc ValleyRAT

Chiến dịch này phân phối mã độc ValleyRAT thông qua một trình cài đặt giả mạo của ứng dụng nhắn tin LINE. Mục tiêu chính là người dùng nói tiếng Trung, nhằm xâm nhập các hệ thống và đánh cắp thông tin đăng nhập nhạy cảm, bao gồm cả các thông tin cá nhân và tài khoản.

Quy trình lây nhiễm phức tạp bắt đầu bằng việc thực thi một đoạn shellcode độc hại, thường được ẩn trong trình cài đặt giả mạo. Shellcode này đóng vai trò là giai đoạn đầu tiên, tải và chuẩn bị môi trường cho việc triển khai các thành phần mã độc tiếp theo. Sau đó, nó sử dụng các binary hệ thống hợp pháp để né tránh sự phát hiện và thiết lập quyền kiểm soát lâu dài trên máy của nạn nhân.

Cơ chế Khai thác và Né tránh Phát hiện Ban đầu

Sau khi thực thi, trình cài đặt giả mạo kích hoạt một quá trình lây nhiễm nhiều giai đoạn được thiết kế để vượt qua các kiểm soát bảo mật điểm cuối. Điều này cho phép mã độc thiết lập một foothold vững chắc mà không bị cản trở.

Nó ngay lập tức vô hiệu hóa Windows Defender bằng cách sử dụng các lệnh PowerShell. Các lệnh này nhằm loại trừ toàn bộ ổ đĩa hệ thống khỏi các giao thức quét của phần mềm diệt virus. Điều này cho phép mã độc ValleyRAT hoạt động mà không bị quét hoặc bị phát hiện bởi giải pháp bảo mật tích hợp của hệ điều hành.

# Ví dụ lệnh PowerShell (giả định) để thêm ngoại lệSet-MpPreference -ExclusionPath "C:\"Set-MpPreference -ExclusionPath "D:\"

Đồng thời, mã độc triển khai một thư viện độc hại, được xác định là intel.dll. Thư viện này thực hiện các kiểm tra môi trường nghiêm ngặt để phân tích máy chủ.

Các kiểm tra này bao gồm khóa tệp và tạo mutex. Mục đích là xác định xem mã có đang chạy trong môi trường sandbox hay không. Điều này giúp mã độc tránh bị phân tích và bảo vệ khỏi bị phát hiện trong các môi trường giả lập.

Nếu môi trường được xác định là an toàn, mã độc sẽ giải nén payload chính của nó. Điều này biến thiết bị thành một node bị xâm nhập hoàn toàn bởi mã độc ValleyRAT, sẵn sàng cho các hoạt động độc hại tiếp theo.

Kỹ thuật Tiêm mã Nâng cao: PoolParty Variant 7

Các nhà phân tích của Cybereason đã xác định chiến dịch này và lưu ý rằng mã độc ValleyRAT sử dụng kỹ thuật tiêm mã nâng cao PoolParty Variant 7. Kỹ thuật này đại diện cho một phương pháp khai thác tinh vi, được thiết kế để hoạt động ẩn mình.

Phương pháp này cho phép kẻ tấn công ẩn hoạt động độc hại trong các tiến trình hệ thống đáng tin cậy, làm phức tạp đáng kể việc phát hiện. Nó tận dụng các lỗ hổng trong cách các tiến trình Windows xử lý các sự kiện I/O.

Bằng cách lạm dụng các cổng hoàn thành I/O (I/O completion ports) của Windows, mã độc tiêm mã vào các tiến trình hợp pháp. Điều này đảm bảo nó có thể hoạt động lén lút trong khi thu thập thông tin đăng nhập của người dùng và duy trì liên lạc liên tục với máy chủ chỉ huy và kiểm soát (C2).

Sự phức tạp kỹ thuật của biến thể mã độc ValleyRAT này thể hiện rõ nhất ở các chiến lược né tránh và duy trì quyền truy cập của nó. Mã độc tiêm mã vào Explorer.exe và UserAccountBroker.exe. Nó sử dụng tiến trình sau làm “watchdog” để đảm bảo các thành phần độc hại luôn hoạt động và khởi động lại nếu bị chấm dứt.

Việc tiêm mã này dựa trên việc thao túng các handle hệ thống thông qua các API Windows cụ thể như ZwSetIoCompletion. Điều này cho phép kẻ tấn công thực thi mã trong không gian bộ nhớ của các tiến trình đáng tin cậy, biến các tiến trình này thành vật chủ cho mã độc, thực thi các chức năng của mã độc ValleyRAT một cách lén lút và hiệu quả.

Để biết thêm chi tiết kỹ thuật về chiến dịch này, bạn có thể tham khảo bài viết từ Cybereason.

Chiến lược Duy trì Quyền Truy cập và Vượt qua Phòng thủ

Ngoài ra, mã độc chủ động quét tìm các sản phẩm bảo mật từ các nhà cung cấp như Qihoo 360. Nó chấm dứt kết nối mạng của chúng để vô hiệu hóa các biện pháp phòng thủ cục bộ. Điều này đảm bảo rằng các giải pháp bảo mật trên máy tính nạn nhân không thể can thiệp vào hoạt động của mã độc.

Để duy trì quyền truy cập, mã độc đăng ký các tác vụ đã lên lịch thông qua giao thức RPC (Remote Procedure Call). Các tác vụ này được cấu hình để tự động khởi chạy khi người dùng đăng nhập hoặc theo một lịch trình định sẵn, đảm bảo mã độc ValleyRAT luôn hoạt động.

Mã độc cũng sử dụng một chứng chỉ số được cấp cho “Chengdu MODIFENGNIAO Network Technology Co., Ltd” để giả mạo tính hợp pháp. Tuy nhiên, chữ ký này không hợp lệ về mặt mật mã. Mặc dù chứng chỉ được sử dụng để tạo vẻ hợp pháp, việc nó không hợp lệ về mặt mật mã là một dấu hiệu đỏ rõ ràng.

Chỉ số Đánh dấu Thỏa hiệp (IOCs)

• Tên tệp độc hại: intel.dll
• Tiến trình bị tiêm mã: Explorer.exe, UserAccountBroker.exe
• Tổ chức cấp chứng chỉ giả mạo: Chengdu MODIFENGNIAO Network Technology Co., Ltd

Biện pháp Phòng ngừa và Tăng cường An ninh Mạng

Để ngăn chặn lây nhiễm mã độc ValleyRAT, người dùng chỉ nên tải xuống trình cài đặt từ các nguồn chính thức. Luôn kiểm tra kỹ nguồn gốc và tính toàn vẹn của mọi phần mềm trước khi cài đặt.

Các nhóm bảo mật nên cấu hình các quy tắc phát hiện để gắn cờ các chứng chỉ không hợp lệ. Điều này giúp nhận diện các ứng dụng giả mạo đang cố gắng cài đặt mã độc ValleyRAT. Việc kiểm tra chữ ký số là một bước quan trọng trong quy trình xác thực phần mềm.

Cần giám sát các tiến trình con đáng ngờ được tạo ra bởi Explorer.exe. Ví dụ, sự xuất hiện của UserAccountBroker.exe với các hoạt động bất thường có thể chỉ ra hoạt động tiêm tiến trình (process hollowing) tiềm ẩn hoặc xâm nhập hệ thống. Các giải pháp EDR (Endpoint Detection and Response) có thể hữu ích trong việc phát hiện xâm nhập.

Việc tăng cường an ninh mạng toàn diện, bao gồm cả giải pháp EDR tiên tiến và phân tích hành vi người dùng, là vô cùng thiết yếu để đối phó với các mối đe dọa tinh vi như mã độc ValleyRAT và các chiến dịch tấn công mạng tương tự.