Mã độc Agent Tesla: Nguy hiểm từ tấn công ẩn mình tinh vi

Một chiến dịch lừa đảo (phishing) mới được phát hiện đang phân phối mã độc Agent Tesla, một trong những họ mã độc đánh cắp thông tin đăng nhập phổ biến nhất, thông qua chuỗi tấn công đa giai đoạn. Chiến dịch này được thiết kế để không để lại gần như bất kỳ dấu vết nào trên máy nạn nhân, khiến việc phát hiện trở nên cực kỳ khó khăn.

Chiến dịch này sử dụng các email lừa đảo được ngụy tạo tinh vi dưới chủ đề kinh doanh. Kẻ tấn công triển khai các script bị che giấu (obfuscated) và sử dụng kỹ thuật thực thi trong bộ nhớ (in-memory execution) để âm thầm thu thập dữ liệu nhạy cảm từ người dùng hệ điều hành Windows.

Với khả năng chạy hoàn toàn trong bộ nhớ và lẩn tránh các công cụ bảo mật truyền thống, chiến dịch này một lần nữa nhấn mạnh cách mã độc Agent Tesla có thể trở thành mối đe dọa nghiêm trọng. Đặc biệt, khi được triển khai bởi những kẻ tấn công có kỹ năng và sự chuẩn bị kỹ lưỡng.

Mã độc Agent Tesla đã hoạt động tích cực từ ít nhất năm 2014 và vẫn là một công cụ chủ lực cho tội phạm mạng. Điều này phần lớn là do mô hình Malware-as-a-Service (MaaS) của nó, cho phép ngay cả những kẻ tấn công ít kỹ năng cũng có thể dễ dàng triển khai mà không cần tự xây dựng từ đầu.

Chức năng chính của Agent Tesla bao gồm việc đánh cắp thông tin đăng nhập trình duyệt, ghi lại thao tác bàn phím (keystrokes), và trích xuất chi tiết tài khoản email. Sau đó, nó âm thầm gửi dữ liệu này đến một máy chủ điều khiển (C2) do kẻ tấn công kiểm soát. Mặc dù đã được biết đến rộng rãi, mã độc này liên tục cập nhật phương pháp phân phối để vượt qua các biện pháp phòng thủ truyền thống.

Chuỗi Tấn Công Đa Giai Đoạn của Mã Độc Agent Tesla

Các nhà nghiên cứu của Fortinet đã cung cấp phân tích chuyên sâu về chiến dịch mới nhất này tại đây. Họ lưu ý rằng điểm làm cho chiến dịch này đặc biệt nguy hiểm không phải là bản thân mã độc, mà là quy trình phân phối theo nhiều lớp được xây dựng để che giấu nó.

Chuỗi tấn công trải qua nhiều giai đoạn riêng biệt, mỗi giai đoạn được thiết kế để vượt qua khả năng phát hiện ở một điểm khác nhau. Quá trình này diễn ra từ email lừa đảo ban đầu cho đến khi payload cuối cùng chạy hoàn toàn trong bộ nhớ, tránh ghi dấu vết lên ổ đĩa.

Mức độ lập kế hoạch và chi tiết trong từng bước cho thấy những kẻ tấn công hiểu rõ cách thức hoạt động của các công cụ bảo mật endpoint. Chúng đã cố ý xây dựng chuỗi tấn công để khai thác những lỗ hổng trong các giải pháp phòng thủ hiện có.

Vectơ Lây Nhiễm Ban Đầu

Chiến dịch khởi phát bằng một email lừa đảo mạo danh một yêu cầu kinh doanh hợp pháp. Tiêu đề email thường được thiết kế để gây chú ý, ví dụ như “New Purchase Order PO0172” (Đơn đặt hàng mới PO0172).

Đính kèm trong email là một tệp RAR nén, thường có tên tương tự như PO0172.rar. Tệp nén này chứa một tệp JScript đã được mã hóa và che giấu, ví dụ: PO0172.jse.

Việc sử dụng tệp .jse thay vì các tệp thực thi phổ biến như .exe hoặc .bat là một lựa chọn có chủ ý. Hầu hết các bộ lọc email thường chặn các tệp thực thi, nhưng lại có thể bỏ qua các tệp script hợp pháp hoặc bị che giấu như .jse.

Một khi tệp .jse được mở bởi nạn nhân, cuộc tấn công sẽ tự động tiến hành các giai đoạn tiếp theo mà không cần thêm bất kỳ tương tác nào từ người dùng.

Quy Trình Thực Thi Đa Giai Đoạn và Exfiltration

Dữ liệu bị đánh cắp cuối cùng sẽ được gửi đến máy chủ điều khiển và ra lệnh (C2) của kẻ tấn công tại mail[.]taikei-rmc-co[.]biz thông qua giao thức SMTP. Chuỗi thực thi chi tiết diễn ra qua các bước sau:

• Email: Nạn nhân nhận email lừa đảo có chứa tệp đính kèm độc hại.
• RAR attachment: Nạn nhân giải nén và kích hoạt tệp script trong tệp RAR.
• JScript loader (.jse): Tệp JScript (.jse) được thực thi, đóng vai trò là trình tải (loader) ban đầu.
• PowerShell (downloaded): Script JSE liên hệ với một máy chủ từ xa (ví dụ: catbox[.]moe) để tải xuống một script PowerShell đã được mã hóa.
• PowerShell (in-memory): Script PowerShell được giải mã và thực thi hoàn toàn trong bộ nhớ, sử dụng hàm giải mã AES-CBC tùy chỉnh.
• .NET loader (in-memory): Script PowerShell sau đó tải một .NET loader vào bộ nhớ.
• .NET Agent Tesla payload (in-memory): .NET loader này cuối cùng tiêm và thực thi payload chính của mã độc Agent Tesla hoàn toàn trong bộ nhớ, hoàn thành quy trình lây nhiễm.

Các Kỹ Thuật Lẩn Tránh và Che Giấu Nâng Cao

Điểm tinh vi nhất của chiến dịch này nằm ở cách nó di chuyển từ một script đơn giản đến một payload đang chạy mà không hề ghi bất kỳ tệp tin nào vào ổ đĩa. Điều này làm tăng đáng kể khả năng lẩn tránh các giải pháp bảo mật dựa trên chữ ký và quét tệp.

Sau khi tệp JSE chạy, nó sẽ liên hệ với một máy chủ bên ngoài, chẳng hạn như catbox[.]moe, để tìm nạp một script PowerShell được mã hóa. Script này sử dụng một hàm giải mã AES-CBC tùy chỉnh, gọi là Invoke-AESDecryption với mã hóa PKCS7, để giải nén giai đoạn tiếp theo trực tiếp trong bộ nhớ của hệ thống.

Bằng cách duy trì toàn bộ quá trình thực thi trong bộ nhớ, cuộc tấn công không để lại các tệp độc hại trên ổ đĩa. Điều này khiến cho các công cụ bảo mật truyền thống gặp khó khăn trong việc quét và phát hiện mã độc.

Kỹ Thuật Process Hollowing và Mạo Danh

Script PowerShell giai đoạn hai thực hiện kỹ thuật process hollowing (làm rỗng tiến trình) trên aspnet_compiler.exe. Đây là một tiện ích .NET đáng tin cậy của Windows, thường nằm tại đường dẫn C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_compiler.exe.

Quá trình này bao gồm việc khởi chạy tiến trình aspnet_compiler.exe ở trạng thái tạm dừng, sau đó xóa bộ nhớ của nó. Kẻ tấn công sau đó tiêm payload của mã độc Agent Tesla vào không gian bộ nhớ đã được làm rỗng này.

Vì mã độc chạy dưới tên một tiến trình hợp pháp và đáng tin cậy của Windows, các công cụ bảo mật dựa trên chữ ký hoặc danh sách trắng (whitelisting) sẽ khó có thể gắn cờ nó là mối đe dọa. Đây là một kỹ thuật hiệu quả để vượt qua các biện pháp bảo vệ cơ bản.

Kiểm Tra Chống Phân Tích Môi Trường

Trước khi bắt đầu thu thập dữ liệu, mã độc Agent Tesla sẽ thực hiện các kiểm tra môi trường kỹ lưỡng để xác định xem nó có đang bị phân tích hay không.

Mã độc này truy vấn WMI để phát hiện sự hiện diện của các môi trường máy ảo như VMware, VirtualBox, hoặc Hyper-V. Đồng thời, nó cũng tìm kiếm các thư viện DLL cụ thể thường liên quan đến các giải pháp bảo mật hoặc sandbox, bao gồm snxhk.dll (Avast), SbieDll.dll (Sandboxie), và cmdvrt32.dll (Comodo).

Nếu bất kỳ dấu hiệu nào của môi trường phân tích được phát hiện, mã độc có thể tự tắt hoàn toàn. Mục đích là để tránh bị phân tích, giữ cho cơ sở hạ tầng và kỹ thuật của nó được ẩn giấu khỏi các nhà nghiên cứu bảo mật. Khi môi trường được xác định là an toàn, nó sẽ tiến hành thu thập cookie trình duyệt, thông tin đăng nhập đã lưu và danh bạ. Các dữ liệu này sau đó được đóng gói thành các tệp văn bản và gửi đi qua SMTP.

Chỉ Số Lây Nhiễm (IOCs)

Để hỗ trợ phát hiện xâm nhập và phòng thủ, các chỉ số lây nhiễm liên quan đến chiến dịch này bao gồm:

• Tên tệp độc hại:
  • PO0172.rar
  • PO0172.jse
• Máy chủ Command-and-Control (C2):
  • mail[.]taikei-rmc-co[.]biz
  • catbox[.]moe
• Tiến trình bị mạo danh:
  • C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_compiler.exe
• Thư viện DLL dùng để kiểm tra môi trường:
  • snxhk.dll (liên quan đến Avast)
  • SbieDll.dll (liên quan đến Sandboxie)
  • cmdvrt32.dll (liên quan đến Comodo)

Chiến Lược Phòng Ngừa và Phát Hiện Xâm Nhập

Để bảo vệ hệ thống khỏi các tấn công mạng tinh vi sử dụng mã độc Agent Tesla và các kỹ thuật tương tự, các đội ngũ an ninh cần thực hiện các biện pháp phòng thủ chủ động sau:

• Chặn tệp đính kèm script tại gateway: Cấu hình các gateway email để chặn hoàn toàn các tệp đính kèm dựa trên script như .jse và .js. Đây là biện pháp phòng ngừa hiệu quả ở lớp đầu tiên.
• Hạn chế thực thi PowerShell: Áp dụng các chính sách hạn chế thực thi PowerShell trên toàn hệ thống. Điều này có thể bao gồm việc sử dụng chế độ Ngôn ngữ bị hạn chế (Constrained Language Mode) hoặc chặn hoàn toàn việc thực thi PowerShell không dấu (unsigned) đối với người dùng thông thường.
• Triển khai giải pháp EDR tiên tiến: Đầu tư và triển khai các công cụ Endpoint Detection and Response (EDR) có khả năng phát hiện các kỹ thuật tiên tiến. Đặc biệt là injection dựa trên bộ nhớ và process hollowing. Các giải pháp này rất quan trọng để bắt các mối đe dọa không ghi vào ổ đĩa.
• Giám sát lưu lượng mạng outbound: Liên tục giám sát lưu lượng SMTP đi (outbound traffic) để tìm kiếm các dấu hiệu bất thường. Ví dụ như dữ liệu được gửi đến các máy chủ C2 lạ hoặc hành vi exfiltration dữ liệu. Đây là một yếu tố quan trọng trong việc phát hiện xâm nhập.
• Đào tạo nhận thức về lừa đảo: Thực hiện các chương trình đào tạo nhận thức về lừa đảo định kỳ và toàn diện cho nhân viên. Việc nâng cao hiểu biết về các chiến thuật kỹ thuật xã hội là một trong những biện pháp phòng thủ đáng tin cậy nhất để ngăn chặn các cuộc tấn công bắt đầu từ người dùng.

Việc triển khai toàn diện và duy trì các chiến lược này sẽ nâng cao đáng kể khả năng phòng thủ và an toàn thông tin của tổ chức, giảm thiểu rủi ro từ các mối đe dọa dai dẳng như Agent Tesla.