Mã độc Loki 2.1: Mối đe dọa mạng sản xuất NGHIÊM TRỌNG

Nhóm tác nhân đe dọa được biết đến với tên gọi Arcane Werewolf, còn được theo dõi dưới tên Mythic Likho, đã làm mới năng lực tấn công của mình bằng cách triển khai phiên bản mới của mã độc Loki 2.1 tùy chỉnh. Đây là một mối đe dọa mạng đáng chú ý khi nhóm này tiếp tục nhắm mục tiêu vào các công ty sản xuất với các chiến dịch tấn công tinh vi.

Arcane Werewolf: Mối Đe Dọa Persistent và Mã Độc Loki 2.1 Nâng Cấp

Trong khoảng thời gian từ tháng 10 đến tháng 11 năm 2025, các nhà nghiên cứu đã quan sát thấy nhóm Arcane Werewolf triển khai các chiến dịch đặc biệt nhắm vào các công ty sản xuất. Sự nhất quán trong việc nhắm mục tiêu này cho thấy sự quan tâm bền vững của nhóm đối với lĩnh vực công nghiệp và khả năng phát triển công cụ độc hại của chúng.

Phiên bản Loki 2.1 mới nhất đại diện cho một bản nâng cấp đáng kể. Mã độc này hiện tương thích với cả hai framework hậu khai thác Mythic và Havoc. Sự tích hợp này mang lại cho kẻ tấn công tính linh hoạt cao hơn và khả năng kiểm soát sau khai thác mạnh mẽ hơn, biến nó thành công cụ nguy hiểm trong tay các tác nhân có kinh nghiệm.

Phương Thức Phân Phối và Tấn Công Ban Đầu

Việc lây lan của mã độc Loki 2.1 được thực hiện thông qua các email lừa đảo (phishing) được soạn thảo kỹ lưỡng. Những email này được thiết kế để xuất hiện như thể đến từ các công ty sản xuất hợp pháp, nhằm đánh lừa nạn nhân. Các chiến thuật lừa đảo liên quan đến HR và IT thường có tỷ lệ nhấp cao.

Nạn nhân nhận được các thông điệp chứa liên kết dẫn đến các trang web giả mạo, bắt chước các tổ chức thật. Khi nhấp vào, những liên kết này sẽ phân phối các tệp lưu trữ ZIP được lưu trữ trên máy chủ C2 (Command and Control) của kẻ tấn công.

Chiến thuật này hiệu quả vì người dùng có xu hướng tin tưởng các email dường như đến từ các thương hiệu và tổ chức quen thuộc. Sau khi nạn nhân tải xuống và mở tệp lưu trữ, chuỗi lây nhiễm sẽ bắt đầu. Các nhà phân tích của Bi.Zone đã xác định và theo dõi phương pháp phân phối này, phân tích chi tiết quy trình lây nhiễm. Thông tin chi tiết về hoạt động của Arcane Werewolf đã được công bố.

Chuỗi Lây Nhiễm Kỹ Thuật của Mã Độc Loki 2.1

Quá trình tấn công khởi đầu khi nạn nhân mở một tệp phím tắt độc hại, hay còn gọi là tệp LNK, được ẩn bên trong tệp lưu trữ ZIP. Tệp LNK này kích hoạt một lệnh sử dụng PowerShell để tải xuống một tệp thực thi được ngụy trang dưới dạng tệp ảnh từ máy chủ của kẻ tấn công. Các lỗ hổng PowerShell zero-day thường là mục tiêu khai thác của các tác nhân đe dọa.

Go Dropper và Tải Trọng Độc Hại

Tệp được tải xuống thực chất là một dropper được viết bằng ngôn ngữ lập trình Go. Dropper này chứa các tải trọng (payload) được mã hóa ẩn bên trong.

Go dropper thực hiện giải mã và thực thi hai tải trọng riêng biệt theo trình tự. Đầu tiên, nó thả một trình tải độc hại có tên chrome_proxy.pdf. Mặc dù có tên tệp .pdf, đây là một tệp thực thi. Trình tải này chịu trách nhiệm thiết lập kênh liên lạc với máy chủ C2 của kẻ tấn công.

Khả Năng của Trình Tải Độc Hại chrome_proxy.pdf

Trình tải độc hại chrome_proxy.pdf có khả năng thu thập thông tin hệ thống chi tiết từ máy tính bị nhiễm. Các thông tin này bao gồm: tên máy tính, phiên bản hệ điều hành, địa chỉ IP nội bộ và tên người dùng.

Dữ liệu bị đánh cắp này sau đó được mã hóa bằng thuật toán mã hóa AES và truyền về cho kẻ tấn công thông qua các kết nối HTTPS. Việc sử dụng HTTPS nhằm che giấu hoạt động truyền dữ liệu độc hại trong lưu lượng truy cập web hợp pháp.

Sau khi thiết lập liên lạc, trình tải sẽ chờ lệnh từ máy chủ C2. Nó sẵn sàng thực hiện một loạt các hoạt động độc hại, bao gồm:

• Inject mã độc vào các tiến trình đang chạy trên hệ thống. Việc nhúng mã độc vào các ứng dụng hợp pháp là một kỹ thuật phổ biến.
• Tải lên tệp (upload files) lên hệ thống của nạn nhân, cho phép kẻ tấn công triển khai thêm công cụ hoặc mã độc.
• Trích xuất dữ liệu nhạy cảm (exfiltrate sensitive data) từ máy tính bị nhiễm.
• Chấm dứt các tiến trình cụ thể trên máy tính bị nhiễm. Khả năng này mang lại cho kẻ tấn công quyền kiểm soát đáng kể đối với hoạt động của hệ thống, cho phép chúng gỡ bỏ các công cụ bảo mật hoặc phần mềm khác có thể cản trở hoạt động độc hại.

Chỉ Số Lây Nhiễm (IOCs) của Chiến Dịch Mã Độc Loki 2.1

Để hỗ trợ các nhà phân tích an ninh mạng trong việc phát hiện xâm nhập và phòng ngừa, dưới đây là các chỉ số lây nhiễm (IOCs) liên quan đến chiến dịch sử dụng mã độc Loki 2.1:

• Nhóm Tác Nhân Đe Dọa: Arcane Werewolf (còn được theo dõi là Mythic Likho)
• Tên Mã Độc: Loki 2.1
• Tên Tệp Dropper (Go): Ngụy trang dưới dạng tệp ảnh (ví dụ: .jpg, .png, nhưng thực chất là tệp thực thi).
• Tên Tệp Trình Tải Độc Hại: chrome_proxy.pdf (tệp thực thi)
• Phân Phối: Email lừa đảo (phishing) chứa liên kết đến các trang web giả mạo.
• Phương Thức Khởi Phát Ban Đầu: Tệp LNK độc hại trong các tệp lưu trữ ZIP.
• Giao Thức C2: HTTPS (sử dụng mã hóa AES để truyền dữ liệu).
• Ngôn Ngữ Phát Triển Dropper: Go.
• Framework Hậu Khai Thác: Mythic, Havoc.

Biện Pháp Phòng Ngừa và Phát Hiện Các Tấn Công Mạng Sử Dụng Mã Độc Loki 2.1

Để bảo vệ hệ thống khỏi các tấn công mạng sử dụng mã độc Loki 2.1 và các biến thể tương tự, các tổ chức nên triển khai một số biện pháp an ninh mạng quan trọng:

• Đào tạo Nhận thức Bảo mật: Thường xuyên đào tạo người dùng về các mối đe dọa lừa đảo, cách nhận biết email và liên kết độc hại. Nhấn mạnh việc không mở các tệp đính kèm hoặc nhấp vào liên kết từ các nguồn không xác định hoặc đáng ngờ, đặc biệt là các tệp LNK hoặc các tệp có phần mở rộng đáng ngờ được ngụy trang.
• Giải Pháp Bảo Mật Email: Triển khai các giải pháp lọc email tiên tiến để phát hiện và chặn các email lừa đảo, các tệp đính kèm độc hại và các liên kết đến các trang web độc hại trước khi chúng đến hộp thư của người dùng.
• Endpoint Detection and Response (EDR): Sử dụng các hệ thống EDR để giám sát hoạt động bất thường trên các điểm cuối. EDR có thể phát hiện các hành vi như tệp LNK thực thi PowerShell để tải xuống các tệp lạ, các dropper Go hoạt động, hoặc các tiến trình cố gắng thực hiện mã hóa hoặc liên lạc C2 bất thường.
• Giám Sát Lưu Lượng Mạng: Theo dõi lưu lượng truy cập mạng để phát hiện các kết nối HTTPS bất thường đến các máy chủ C2 đã biết hoặc không đáng tin cậy. Phân tích các mẫu lưu lượng được mã hóa có thể giúp nhận diện hoạt động độc hại, ngay cả khi nội dung không thể giải mã.
• Quản Lý Bản Vá: Đảm bảo tất cả hệ điều hành và phần mềm, bao gồm các ứng dụng trình duyệt và các công cụ tiện ích, được cập nhật các bản vá bảo mật mới nhất để giảm thiểu các lỗ hổng mà kẻ tấn công có thể khai thác.
• Triển khai Application Whitelisting: Hạn chế các ứng dụng có thể chạy trên hệ thống, ngăn chặn việc thực thi các tệp độc hại như Go dropper hoặc trình tải chrome_proxy.pdf.

Việc kết hợp nhiều lớp bảo mật và liên tục cập nhật thông tin về các mối đe dọa mới là yếu tố then chốt để phòng chống các chiến dịch tinh vi như của nhóm Arcane Werewolf và mã độc Loki 2.1.