Mã Độc NetSupport RAT Nguy Hiểm: Tấn Công Nhiều Giai Đoạn

Một chiến dịch mã độc mới đã được phát hiện, sử dụng nhiều giai đoạn tấn công phức tạp để phát tán NetSupport RAT thông qua các chuyển hướng web ẩn và mã nguồn bị làm rối.

Chiến dịch này triển khai qua ba giai đoạn chính, bắt đầu từ việc tiêm một JavaScript loader vào các website đã bị xâm nhập.

Giai đoạn đầu tiên tải xuống một tệp HTA ẩn danh, sau đó thực thi các lệnh PowerShell được mã hóa bằng mshta.exe.

Giai đoạn cuối cùng sẽ tải và cài đặt một công cụ truy cập từ xa (RAT), trao cho kẻ tấn công quyền kiểm soát hoàn toàn máy tính của nạn nhân.

Tổng quan Chiến dịch Mã độc NetSupport RAT

Các nhà nghiên cứu bảo mật từ Securonix đã xác định và phân tích chi tiết chiến dịch này. Họ phát hiện rằng nó sử dụng nhiều lớp làm rối mã nguồn phức tạp, bao gồm ánh xạ chỉ mục số và mảng xoay vòng, nhằm che giấu mã độc hại và cản trở việc phân tích.

Nghiên cứu của Securonix cũng chỉ ra rằng khung mã độc này dường như được duy trì và tối ưu hóa tích cực để lẩn tránh và ẩn mình trên các hệ thống bị nhiễm.

Chiến dịch cũng tích hợp khả năng kiểm tra loại thiết bị của nạn nhân (di động hoặc máy tính để bàn) để phân phối payload phù hợp, tối đa hóa hiệu quả tấn công.

Phân tích Các Giai đoạn Tấn công Mạng

Giai đoạn 1: Loader JavaScript và Cơ chế Lẩn tránh Ban đầu

Khi JavaScript loader được thực thi trong trình duyệt của nạn nhân, nó sẽ thiết lập một cách âm thầm các mảng văn bản xáo trộn xoay vòng. Kỹ thuật này cùng với việc chờ trang web tải đầy đủ giúp che giấu hoạt động độc hại.

Tiếp theo, loader thực hiện kiểm tra loại thiết bị. Tùy thuộc vào kết quả, nó sẽ tạo một iframe ẩn, toàn màn hình cho thiết bị di động hoặc tải một script từ xa cho hệ thống máy tính để bàn.

Loader cũng tận dụng bộ nhớ cục bộ của trình duyệt để theo dõi trạng thái lây nhiễm của hệ thống.

Cơ chế này đảm bảo mã độc chỉ chạy một lần, giảm dấu vết và hạn chế khả năng bị phát hiện. Phương pháp cẩn thận này cho phép kẻ tấn công linh hoạt tạo các địa chỉ web độc hại và tìm nạp giai đoạn tấn công tiếp theo từ các miền do chúng kiểm soát.

Giai đoạn 2: Thực thi HTA Ẩn Danh

Giai đoạn thứ hai của cuộc tấn công mạng liên quan đến việc tải xuống một tệp ứng dụng HTML (HTA), được thực thi thông qua mshta.exe.

mshta.exe là một binary hợp pháp của Windows, nhưng thường xuyên bị kẻ tấn công lạm dụng để thực thi mã độc.

Tệp HTA này chạy hoàn toàn ẩn danh, không hiển thị trên màn hình, và ghi một script PowerShell được mã hóa vào thư mục tạm thời của máy tính.

Script này sử dụng nhiều lớp bảo vệ để che giấu mục đích, bao gồm mã hóa AES-256-ECB, mã hóa Base64 và nén GZIP.

Sau khi các lớp mã hóa và nén được gỡ bỏ, payload sẽ thực thi trực tiếp trong bộ nhớ máy tính mà không ghi bất kỳ tệp nào xuống đĩa.

Kỹ thuật thực thi không tệp (fileless execution) này làm cho các chương trình chống virus truyền thống gặp khó khăn hơn rất nhiều trong việc phát hiện mã độc, vì không có tệp vật lý đáng ngờ nào để quét. Điều này là một thách thức lớn đối với các giải pháp bảo mật dựa trên signature.

Sau khi hoàn tất quá trình thực thi, script sẽ tự động loại bỏ các tệp tạm thời của nó để xóa bỏ bằng chứng về sự hiện diện và hoạt động của nó trên hệ thống.

Giai đoạn 3: Triển khai và Duy trì NetSupport RAT

Payload PowerShell cuối cùng có nhiệm vụ tải xuống một tệp ZIP chứa toàn bộ các thành phần của NetSupport RAT từ một máy chủ do kẻ tấn công kiểm soát.

Sau khi tải xuống, script giải nén tệp ZIP vào một thư mục có tên CommunicationLayer nằm trong ProgramData.

Vị trí này được chọn để ngụy trang, khiến nó trông giống như một phần của ứng dụng hợp pháp và dễ dàng hòa lẫn vào môi trường hệ thống.

Để khởi chạy mã độc, nó sử dụng một trình bao bọc JScript ẩn để thực thi tệp client32.exe đã được giải nén, giúp che giấu chuỗi thực thi thực sự.

Để duy trì quyền truy cập bền bỉ (persistence) trên hệ thống, kẻ tấn công tạo một tệp lối tắt có tên WindowsUpdate.lnk trong thư mục Startup.

Lối tắt này đảm bảo rằng công cụ truy cập từ xa NetSupport RAT sẽ tự động khởi chạy mỗi khi nạn nhân đăng nhập vào máy tính của họ, cung cấp cho kẻ tấn công quyền kiểm soát liên tục đối với hệ thống bị xâm nhập.

NetSupport RAT là một công cụ mạnh mẽ, cung cấp quyền truy cập từ xa toàn diện vào hệ thống bị nhiễm. Các khả năng bao gồm kiểm soát máy tính từ xa, thực hiện các hoạt động tệp, thực thi lệnh, đánh cắp dữ liệu nhạy cảm và thiết lập các đường hầm mạng.

Điểm đáng chú ý là mã độc này tránh yêu cầu quyền quản trị viên bằng cách cài đặt ở cấp độ người dùng và sử dụng các tên tệp hoặc thư mục gây hiểu lầm, giúp nó hòa nhập với các thành phần Windows hợp pháp.

Chỉ số Nhận dạng Tấn công (IOCs)

Các chỉ số nhận dạng tấn công quan trọng liên quan đến chiến dịch này bao gồm các miền bị kiểm soát bởi kẻ tấn công. Các tổ chức nên chủ động theo dõi và chặn lưu lượng truy cập đến các địa chỉ sau:

• stoneandjon.com
• boriver.com
• kindstki.com

Việc giám sát và chặn các IOCs này là một bước thiết yếu để giảm thiểu rủi ro từ mối đe dọa mạng này.

Biện pháp Phòng ngừa và Phát hiện

Để củng cố hệ thống phòng thủ trước các chiến dịch mã độc tinh vi tương tự, các tổ chức nên xem xét và triển khai các biện pháp sau:

• Chặn Script không tin cậy: Cấu hình hệ thống và trình duyệt để ngăn chặn việc thực thi các script từ các nguồn không xác định hoặc không đáng tin cậy. Điều này bao gồm cả JavaScript và PowerShell.
• Kích hoạt Ghi nhật ký PowerShell chi tiết: Bật ghi nhật ký nâng cao cho PowerShell (ví dụ: Script Block Logging, Module Logging) để theo dõi các lệnh và hoạt động đáng ngờ, giúp phát hiện xâm nhập sớm.
• Hạn chế Thực thi mshta.exe: Giới hạn khả năng thực thi của mshta.exe thông qua các chính sách kiểm soát ứng dụng (ví dụ: AppLocker, Windows Defender Application Control) hoặc các công cụ Endpoint Detection and Response (EDR) để chỉ cho phép nó chạy trong các trường hợp cần thiết và được phê duyệt.
• Triển khai Công cụ Phát hiện dựa trên Hành vi: Sử dụng các giải pháp bảo mật tiên tiến có khả năng nhận dạng chuỗi tiến trình đáng ngờ và kỹ thuật thực thi không tệp (fileless execution). Các công cụ EDR có thể cung cấp khả năng hiển thị sâu rộng và phản ứng nhanh chóng đối với các cuộc tấn công tinh vi.