Mã độc BRUSHWORM: Nguy hiểm tấn công tài chính, đánh cắp dữ liệu
Một tổ chức tài chính gần đây đã trở thành mục tiêu của một cuộc tấn công mạng có chủ đích, sử dụng hai công cụ mã độc tùy chỉnh là BRUSHWORM và BRUSHLOGGER. Cuộc tấn công này kết hợp nhiều kỹ thuật, bao gồm đánh cắp dữ liệu, duy trì quyền truy cập hệ thống lâu dài và ghi lại thao tác bàn phím theo thời gian thực. Điều này nhấn mạnh nguy cơ ngày càng tăng mà các tổ chức tài chính phải đối mặt từ các cuộc xâm nhập có mục tiêu.
Tổng quan về Mã độc BRUSHWORM và BRUSHLOGGER
Hai thành phần mã độc này được triển khai dưới dạng các tệp nhị phân riêng biệt, cho thấy đây là một chiến dịch tấn công được lên kế hoạch cẩn thận. BRUSHWORM đóng vai trò là implant chính, trong khi BRUSHLOGGER tập trung vào việc thu thập thông tin nhạy cảm.
Chức năng của Mã độc BRUSHWORM
BRUSHWORM được ngụy trang dưới tên tệp paint.exe. Mã độc này chịu trách nhiệm thiết lập cơ chế duy trì quyền truy cập (persistence), liên lạc với máy chủ Command-and-Control (C2) từ xa, tải xuống các payload bổ sung, tự lây lan qua các ổ đĩa USB di động và đánh cắp tài liệu nhạy cảm từ các hệ thống bị nhiễm.
Khả năng lây lan qua USB của mã độc BRUSHWORM là một điểm đáng chú ý, cho phép nó vượt qua các hệ thống không có kết nối Internet hoặc lây lan trong môi trường mạng nội bộ.
Chức năng của Mã độc BRUSHLOGGER
Trong khi đó, BRUSHLOGGER ngụy trang dưới tên libcurl.dll, một thư viện Windows thường được tin cậy. Nó sử dụng kỹ thuật DLL side-loading để thực thi. Chức năng duy nhất của BRUSHLOGGER là âm thầm ghi lại mọi thao tác bàn phím trên máy tính bị xâm nhập, đồng thời ghi lại tiêu đề cửa sổ đang hoạt động của mỗi phiên.
Kỹ thuật DLL side-loading lợi dụng cách hệ điều hành Windows tìm kiếm các thư viện DLL. Kẻ tấn công đặt một DLL độc hại vào cùng thư mục với một ứng dụng hợp pháp, khiến ứng dụng tải DLL độc hại thay vì DLL hợp pháp.
Phân tích kỹ thuật về cơ chế hoạt động
Các nhà nghiên cứu từ Elastic Security Labs đã xác định các mã độc này trong quá trình điều tra cơ sở hạ tầng của tổ chức tài chính bị nhắm mục tiêu. Môi trường nạn nhân chỉ có khả năng giám sát ở cấp độ SIEM, điều này đã hạn chế đáng kể dữ liệu sau khi khai thác và gây khó khăn cho việc tái tạo quá trình điều tra pháp y chi tiết. Theo báo cáo của Elastic Security Labs, qua việc phân tích trên VirusTotal, các nhà nghiên cứu đã phát hiện các phiên bản phát triển ban đầu của backdoor, được tải lên dưới các tên tệp như V1.exe, V2.exe và V4.exe, cho thấy kẻ tấn công đã tích cực cải thiện bộ công cụ trước khi triển khai.
Cơ chế duy trì quyền truy cập (Persistence)
Một trong những khía cạnh đáng chú ý nhất của cuộc tấn công này là cách BRUSHWORM âm thầm cắm sâu vào hệ thống và đảm bảo nó tồn tại lâu dài. Khi thực thi lần đầu, mã độc tạo một số thư mục ẩn với các đường dẫn được mã hóa cứng:
C:\ProgramData\Photoes\Pics\: Chứa tệp nhị phân backdoor chính.C:\Users\Public\Libraries\: Chứa các module được tải xuống.
Việc viết sai chính tả “Photoes” thay vì “Photos” xuất hiện nhất quán trên cả hai thành phần và được cho là một lỗi vô tình của tác giả, có thể nhằm mục đích hòa trộn với các thư mục media hợp pháp của người dùng.
Để tồn tại qua các lần khởi động lại hệ thống, mã độc BRUSHWORM đăng ký một tác vụ đã lên lịch của Windows có tên MSGraphics thông qua giao diện COM Task Scheduler. Tác vụ này được cấu hình để chạy backdoor mỗi khi người dùng đăng nhập.
Liên lạc với máy chủ C2 và tải payload
Sau đó, BRUSHWORM tải một payload DLL từ máy chủ C2 tại resources.dawnnewsisl[.]com/updtdll bằng cách sử dụng yêu cầu WinHTTP GET. Payload này được lưu dưới tên Recorder.dll và được khởi chạy thông qua một tác vụ đã lên lịch thứ hai có tên MSRecorder qua rundll32.exe.
Trong các môi trường không có kết nối internet hoạt động, BRUSHWORM chuyển sang phương pháp xuất dữ liệu vật lý. Nó sao chép tất cả các tệp bị đánh cắp trực tiếp vào bất kỳ ổ đĩa USB được kết nối nào để vượt qua các mạng air-gapped.
Đánh giá kỹ năng của kẻ tấn công
Mặc dù là một cuộc tấn công có chủ đích, nhưng không có tệp nhị phân nào sử dụng các kỹ thuật che giấu mã (code obfuscation), đóng gói (packing) hoặc các biện pháp bảo vệ nâng cao đáng kể. Chất lượng mã tổng thể của mã độc BRUSHWORM và BRUSHLOGGER được đánh giá là yếu.
Ví dụ, BRUSHWORM ghi cấu hình đã giải mã của nó ra đĩa ở dạng văn bản thuần (cleartext) trước khi tạo một bản sao được mã hóa và sau đó xóa bản gốc. Trình tự này dễ gây lỗi và cho thấy kỷ luật phát triển kém.
Kết hợp với việc sử dụng cơ sở hạ tầng DNS động miễn phí trong các phiên bản thử nghiệm và không có công tắc ngắt (kill switch), các nhà nghiên cứu đã đánh giá với mức độ tin cậy trung bình rằng tác giả mã độc tương đối thiếu kinh nghiệm và có thể đã sử dụng các công cụ tạo mã AI trong quá trình phát triển mà không xem xét kỹ lưỡng đầu ra.
Tác động của cuộc tấn công
Tác động của cuộc tấn công này không chỉ dừng lại ở việc đánh cắp dữ liệu đơn thuần. BRUSHWORM được xây dựng để tự sao chép vào các ổ đĩa USB được kết nối bằng cách sử dụng các tên tệp được thiết kế theo kỹ thuật xã hội, chẳng hạn như Salary Slips.exe, Documents.exe và Dont Delete.exe. Những cái tên này được tạo ra cụ thể để lừa nhân viên trong môi trường tài chính doanh nghiệp mở chúng.
Song song đó, BRUSHLOGGER âm thầm thu thập mọi thao tác bàn phím, thu hoạch thông tin đăng nhập, dữ liệu tài chính và các liên lạc nội bộ trong suốt thời gian nhiễm độc. Điều này cho thấy mục tiêu không chỉ là dữ liệu mà còn là thông tin nhạy cảm có thể dẫn đến các cuộc tấn công tiếp theo hoặc thiệt hại lớn hơn.
Chỉ số Đánh dấu Sự Xâm nhập (IOCs)
Các tổ chức nên theo dõi các chỉ số sau để phát hiện và ngăn chặn các cuộc tấn công liên quan đến mã độc BRUSHWORM và BRUSHLOGGER:
- Tên tệp độc hại:
paint.exe(BRUSHWORM)libcurl.dll(BRUSHLOGGER)V1.exe,V2.exe,V4.exe(Phiên bản phát triển)Salary Slips.exe,Documents.exe,Dont Delete.exe(Ngụy trang USB)Recorder.dll(Payload được tải xuống)
- Đường dẫn thư mục ẩn:
C:\ProgramData\Photoes\Pics\C:\Users\Public\Libraries\
- Tác vụ đã lên lịch của Windows:
MSGraphics(Chạy BRUSHWORM khi đăng nhập)MSRecorder(Khởi chạyRecorder.dll)
- Máy chủ C2:
resources.dawnnewsisl[.]com
Khuyến nghị Bảo mật và Phòng ngừa
Các nhóm bảo mật được khuyến nghị áp dụng các biện pháp sau để bảo vệ hệ thống trước các mối đe dọa như mã độc BRUSHWORM:
- Hạn chế thực thi tệp nhị phân không dấu: Ngăn chặn việc chạy các ứng dụng không có chữ ký số hợp lệ để giảm thiểu rủi ro từ mã độc.
- Giám sát tác vụ đã lên lịch: Theo dõi chặt chẽ việc tạo các tác vụ đã lên lịch bất thường, đặc biệt là các tác vụ có tên MSGraphics hoặc MSRecorder. Có thể sử dụng lệnh CLI để kiểm tra:
schtasks /query /TN MSGraphicsschtasks /query /TN MSRecorder - Giải pháp phát hiện điểm cuối (EDR) với giám sát USB: Triển khai các giải pháp EDR có khả năng giám sát hoạt động của USB để ngăn chặn sự lây lan của BRUSHWORM qua các thiết bị di động.
- Kiểm toán hành vi tải DLL: Kiểm tra hành vi tải DLL trên các điểm cuối là cần thiết để phát hiện các nỗ lực DLL side-loading như những gì BRUSHLOGGER đã sử dụng.
- Sử dụng quy tắc YARA: Các quy tắc YARA có sẵn để xác định cả BRUSHWORM và BRUSHLOGGER trên các điểm cuối và môi trường mạng. Việc triển khai các quy tắc này giúp nhanh chóng phát hiện sự hiện diện của mã độc.
Việc tăng cường an ninh mạng thông qua các biện pháp phòng thủ đa lớp là cực kỳ quan trọng để bảo vệ các tổ chức khỏi các cuộc tấn công tinh vi và dai dẳng như thế này.
