Mã độc Backdoor cực nguy hiểm: Chiếm quyền điều khiển qua DLL Hijacking

Tội phạm mạng đang khai thác các sự kiện địa chính trị nhạy cảm để phân phối mã độc backdoor tinh vi. Một chiến dịch gần đây đã lợi dụng tin tức liên quan đến việc bắt giữ Tổng thống Venezuela Nicolás Maduro vào ngày 3 tháng 1 năm 2025 để lừa đảo người dùng.

Kẻ tấn công đã chứng minh cách các sự kiện địa chính trị tiếp tục phục vụ như mồi nhử hiệu quả cho các chiến dịch độc hại, tạo ra một mối đe dọa mạng đáng kể.

Tổng quan về phương thức lây nhiễm mã độc backdoor

Chiến dịch này nhiều khả năng bắt đầu bằng một email spear-phishing được thiết kế cẩn thận, chứa tệp nén ZIP có tên “US now deciding what’s next for Venezuela.zip”.

Bên trong tệp nén, nạn nhân sẽ tìm thấy một tệp thực thi có tên “Maduro to be taken to New York.exe” cùng với một thư viện liên kết động (DLL) độc hại được đặt tên là “kugou.dll”.

Kỹ thuật DLL Hijacking để thực thi mã độc

Tệp thực thi “Maduro to be taken to New York.exe” là một binary KuGou hợp lệ. Tuy nhiên, theo các nhà nghiên cứu bảo mật của Darktrace, nó đã bị vũ khí hóa thông qua kỹ thuật DLL hijacking để tải và thực thi thư viện “kugou.dll” độc hại.

Kỹ thuật DLL hijacking lợi dụng cách các ứng dụng Windows tìm kiếm và tải các thư viện DLL cần thiết. Kẻ tấn công đặt một DLL độc hại với cùng tên vào một vị trí mà ứng dụng hợp pháp sẽ tìm kiếm trước tiên, khiến ứng dụng tải nhầm thư viện độc hại thay vì thư viện hợp pháp. Điều này cho phép kẻ tấn công chiếm quyền điều khiển tiến trình của ứng dụng hợp lệ để thực thi mã độc backdoor mà không bị hệ điều hành hay các giải pháp bảo mật phát hiện dễ dàng.

Quá trình này được kích hoạt ngay khi người dùng mở tệp thực thi, khởi tạo chuỗi lây nhiễm và cài đặt mã độc backdoor lên hệ thống.

Hoạt động của mã độc sau lây nhiễm

Sau khi được thực thi, mã độc backdoor sẽ tạo một thư mục mới tại đường dẫn C:\ProgramData\Technology360NB. Sau đó, nó sẽ sao chép chính nó vào thư mục này và đổi tên các tệp để tránh bị phát hiện.

Để đảm bảo duy trì quyền truy cập (persistence) trên hệ thống, mã độc backdoor thiết lập một khóa registry tại “HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Lite360”. Khóa này đảm bảo rằng mã độc sẽ tự động chạy mỗi khi hệ thống khởi động.

Sau khi thiết lập persistence, mã độc hiển thị một hộp thoại yêu cầu người dùng khởi động lại máy tính. Việc khởi động lại này sẽ kích hoạt payload độc hại chính của mã độc backdoor.

Sau khi hệ thống khởi động lại, mã độc backdoor sẽ bắt đầu thiết lập các kết nối định kỳ được mã hóa tới một máy chủ Command-and-Control (C2). Máy chủ này có địa chỉ 172.81.60[.]97 và sử dụng cổng 443.

Những kết nối này cho phép kẻ tấn công nhận lệnh và cấu hình từ xa, có thể bao gồm việc tải xuống các payload bổ sung, thực hiện các lệnh từ xa, đánh cắp dữ liệu nhạy cảm, hoặc thậm chí biến hệ thống thành một phần của botnet. Điều này duy trì khả năng kiểm soát và thu thập thông tin liên tục từ hệ thống bị nhiễm bởi mã độc backdoor.

Ghi nhận sự tương đồng trong phương thức tấn công

Chiến dịch phân phối mã độc backdoor này có những điểm tương đồng với các hoạt động trước đây của nhóm tấn công được biết đến với tên Mustang Panda. Nhóm này nổi tiếng trong việc khai thác các sự kiện thời sự như chiến tranh Ukraine, các hội nghị liên quan đến Tây Tạng và các chủ đề về Đài Loan để triển khai các chiến dịch tấn công.

Tuy nhiên, các nhà nghiên cứu lưu ý rằng chưa có đủ bằng chứng để gán hoạt động này cho bất kỳ nhóm cụ thể nào một cách dứt khoát. Điều này làm phức tạp việc phân tích và chống lại các biến thể mã độc backdoor tương lai.

Chỉ số đánh dấu xâm nhập (Indicators of Compromise – IoCs)

Dưới đây là các chỉ số đánh dấu xâm nhập liên quan đến chiến dịch này, giúp các tổ chức phát hiện và ứng phó với mã độc backdoor:

• Tệp nén phân phối: US now deciding what’s next for Venezuela.zip
• Tệp thực thi lừa đảo: Maduro to be taken to New York.exe
• Thư viện độc hại: kugou.dll
• Thư mục cài đặt mã độc: C:\ProgramData\Technology360NB
• Khóa Registry duy trì quyền: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Lite360
• Địa chỉ IP máy chủ C2: 172.81.60[.]97
• Cổng C2: 443

Khuyến nghị An ninh mạng và biện pháp phòng ngừa

Sự cố này làm nổi bật mối đe dọa liên tục từ các chiến dịch phishing dựa trên chủ đề địa chính trị nhằm phát tán mã độc backdoor. Các tổ chức và cá nhân cần hết sức thận trọng khi mở các tệp đính kèm email, đặc biệt là những tệp liên quan đến tin tức nóng hổi hoặc các sự kiện thế giới.

Để tăng cường an ninh mạng và bảo vệ khỏi các loại mã độc backdoor, cần thực hiện các biện pháp sau:

• Đào tạo nhận thức bảo mật: Nâng cao nhận thức của người dùng về các mối đe dọa phishing và kỹ thuật xã hội.
• Kiểm tra tệp đính kèm: Luôn quét tệp đính kèm bằng phần mềm diệt virus cập nhật và xem xét tính hợp pháp của người gửi trước khi mở.
• Cập nhật hệ thống và phần mềm: Đảm bảo hệ điều hành và tất cả các ứng dụng, đặc biệt là trình duyệt web và phần mềm email, luôn được vá lỗi bảo mật mới nhất để giảm thiểu bề mặt tấn công.
• Sử dụng giải pháp bảo mật Endpoint: Triển khai và duy trì các giải pháp EDR (Endpoint Detection and Response) mạnh mẽ để phát hiện và ngăn chặn các hoạt động độc hại, bao gồm cả kỹ thuật DLL hijacking.
• Giám sát lưu lượng mạng: Thực hiện giám sát liên tục lưu lượng mạng để phát hiện các kết nối đáng ngờ đến máy chủ C2 hoặc các dấu hiệu khác của mã độc backdoor.

Thông tin thêm về phân tích chuyên sâu về kỹ thuật DLL hijacking và các chiến dịch tương tự có thể được tìm thấy trên Darktrace Blog.