Mã Độc BYOB Framework: Nguy Hiểm Rình Rập Mọi Nền Tảng

Các nhà nghiên cứu bảo mật đã phát hiện một máy chủ Command and Control (C2) đang hoạt động, lưu trữ hoàn chỉnh bộ khung BYOB framework sau khi phát hiện một thư mục mở bị lộ. Máy chủ này phân phối các tải trọng mã độc được thiết kế để thiết lập quyền truy cập từ xa bền bỉ trên các hệ thống Windows, Linux và macOS.

Hạ tầng C2 này chứa một bộ sưu tập đầy đủ các dropper, stager và các module hậu khai thác, cho phép kẻ tấn công duy trì quyền kiểm soát trên các máy đã bị xâm nhập mạng. Khung làm việc này đặt ra những rủi ro đáng kể do hoạt động thông qua một chuỗi lây nhiễm đa giai đoạn, khéo léo né tránh sự phát hiện trong khi cung cấp các khả năng giám sát và kiểm soát nguy hiểm.

Phân tích Hạ tầng BYOB C2 và Phát hiện

Hạ tầng được đặt tại địa chỉ IP 38[.]255[.]43[.]60 trên cổng 8081, do Hyonix lưu trữ tại Hoa Kỳ. Việc phát hiện được thực hiện bởi các nhà phân tích Hunt.io trong quá trình săn lùng mối đe dọa chủ động bằng công cụ AttackCapture của họ. Phát hiện này xảy ra khi hệ thống của họ phát hiện mẫu thư mục mở đặc trưng trên máy chủ C2 đang hoạt động.

Phân tích các mẫu thu thập được tiết lộ rằng khung làm việc đã hoạt động ít nhất từ tháng 3 năm 2024, thể hiện một chiến dịch kéo dài khoảng mười tháng. Hạ tầng cho thấy sự đa dạng hóa địa lý có chủ đích, với các node được phân phối ở Singapore, Panama và nhiều địa điểm ở Hoa Kỳ.

Điều này cho thấy kế hoạch và phân bổ tài nguyên có tổ chức từ những kẻ đứng sau triển khai mã độc này. Cổng RDP bị lộ trên máy chủ chính, hoạt động từ tháng 12 năm 2023, kết hợp với cấu hình bất thường của nhiều máy chủ web chạy đồng thời trên các cổng khác nhau, cho thấy đây là hạ tầng tấn công chuyên dụng.

Chỉ số Compromise (IOCs)

• Địa chỉ IP C2: 38[.]255[.]43[.]60
• Cổng C2: 8081

Kiến trúc Đa giai đoạn của Mã độc BYOB Framework

Thư mục bị lộ đã hé mở toàn bộ kiến trúc của bộ công cụ hậu khai thác BYOB, sử dụng quy trình lây nhiễm ba giai đoạn. Sự phức tạp của mã độc này giúp nó vượt qua nhiều lớp phòng thủ.

Giai đoạn 1: Dropper Ban đầu

Giai đoạn đầu tiên bắt đầu với một dropper nhỏ gọn chỉ 359 byte. Dropper này triển khai nhiều lớp xáo trộn bằng cách sử dụng mã hóa Base64, nén Zlib và giải mã Marshal để né tránh các hệ thống phát hiện dựa trên chữ ký.

Giai đoạn 2: Stager Kiểm tra Môi trường

Dropper này sau đó sẽ tải về giai đoạn thứ hai, một stager có kích thước 2 KB. Stager này thực hiện các kiểm tra chống máy ảo bằng cách quét các biến môi trường để tìm các chỉ báo của VirtualBox và kiểm tra các tiến trình đang chạy để phát hiện phần mềm ảo hóa như VMware, Hyper-V và XenServer.

Giai đoạn 3: Tải trọng Remote Access Trojan (RAT)

Khi môi trường được xác định là an toàn, stager sẽ tải về tải trọng cuối cùng, một Remote Access Trojan (RAT) có kích thước 123 KB. RAT này thiết lập liên lạc HTTP được mã hóa với máy chủ lệnh và tải thêm các module giám sát theo yêu cầu.

Cơ chế Duy trì Quyền Kiểm soát Đa Nền tảng

BYOB framework thể hiện các khả năng đa nền tảng đáng lo ngại, khiến nó đặc biệt nguy hiểm trong các môi trường điện toán đa dạng. Nó triển khai bảy cơ chế duy trì khác nhau, được điều chỉnh cho từng hệ điều hành, đảm bảo mã độc tồn tại sau khi khởi động lại và các nỗ lực dọn dẹp.

Trên Hệ thống Windows

Trên các hệ thống Windows, mã độc tạo các khóa chạy registry ngụy trang thành “Java-Update-Manager”. Nó cũng đặt các tệp phím tắt URL vào thư mục khởi động, thiết lập các tác vụ theo lịch trình thực thi hàng giờ và triển khai đăng ký Windows Management Instrumentation (WMI) để thực thi theo sự kiện.

Trên Hệ thống Linux và macOS

Các hệ thống Linux bị xâm nhập thông qua các mục crontab độc hại. Trong khi đó, các thiết bị macOS bị lây nhiễm bằng cách sử dụng các tệp danh sách thuộc tính LaunchAgent, tự động thực thi trong quá trình đăng nhập của người dùng. Các phương pháp duy trì dư thừa này làm phức tạp đáng kể các nỗ lực gỡ bỏ.

Khả năng Giám sát và Thu thập Dữ liệu của Mã độc BYOB

Ngoài việc thiết lập quyền truy cập, tải trọng BYOB còn cung cấp các khả năng giám sát mở rộng thông qua các thành phần module có thể được tải dựa trên mục tiêu của kẻ tấn công. Đây là một điểm đáng chú ý trong các phân tích threat intelligence.

Keylogger

Module keylogger triển khai khả năng ghi lại thao tác bàn phím cụ thể cho từng nền tảng, sử dụng pyHook cho Windows và pyxhook cho các hệ thống dựa trên Unix. Nó thu thập mọi thao tác gõ phím cùng với tên cửa sổ đang hoạt động để cung cấp ngữ cảnh về ứng dụng nào đang được sử dụng khi thông tin nhạy cảm như mật khẩu hoặc số thẻ tín dụng được nhập.

Để biết thêm về cách phát hiện keylogger, bạn có thể tham khảo tại đây.

Packet Sniffer

Module packet sniffer sử dụng raw socket để chặn lưu lượng mạng ở lớp IP. Nó phân tích các header để trích xuất địa chỉ nguồn và đích, thông tin giao thức và dữ liệu tải trọng, có thể tiết lộ thông tin xác thực được truyền ở dạng văn bản rõ hoặc các giao tiếp mạng nội bộ.

Thu thập Email Outlook

Module thu thập email Outlook đại diện cho một trong những khả năng đáng lo ngại nhất, vì nó tận dụng tự động hóa Windows COM để truy cập Microsoft Outlook một cách lập trình mà không yêu cầu xác thực.

Bằng cách kết nối với phiên Outlook đã được xác thực, mã độc có thể tìm kiếm nội dung hộp thư đến, trích xuất email chứa các từ khóa cụ thể và liệt kê tổng số tin nhắn trước khi thực hiện các hoạt động trích xuất đầy đủ. Khả năng này đặc biệt nguy hiểm trong môi trường doanh nghiệp nơi các giao tiếp quan trọng, thông tin tài chính và tài liệu nội bộ thường xuyên được chia sẻ qua email.

Thao tác Tiến trình

Khung làm việc cũng bao gồm các chức năng thao tác tiến trình cho phép kẻ tấn công chấm dứt phần mềm bảo mật, liệt kê các ứng dụng đang chạy và tự động chặn các công cụ bảo vệ như Task Manager khởi chạy. Điều này làm tăng nguy cơ hệ thống bị xâm nhập sâu hơn.

Chiến lược Kiếm tiền và Dấu hiệu Đe dọa

Phân tích hạ tầng đã tiết lộ thêm các chi tiết đáng lo ngại về phạm vi chiến dịch và chiến lược kiếm tiền. Hai trong năm node Command and Control được xác định đã lưu trữ phần mềm đào tiền điện tử XMRig cùng với BYOB framework.

Điều này cho thấy hạ tầng có mục đích kép, tạo ra doanh thu thụ động thông qua cryptojacking trong khi vẫn duy trì khả năng truy cập từ xa. Sự kết hợp giữa việc triển khai bộ công cụ truy cập từ xa và đào tiền điện tử cho thấy những kẻ tấn công có động cơ tài chính đang tìm kiếm nhiều nguồn doanh thu từ các hệ thống bị xâm phạm.

Những phát hiện này nhấn mạnh tầm quan trọng của việc giám sát liên tục hạ tầng mạng và cập nhật thường xuyên các bản vá bảo mật để đối phó hiệu quả với các mối đe dọa mạng phức tạp như BYOB framework.