Mối đe dọa mạng: Khai thác lỗ hổng nghiêm trọng từ FrostBeacon

Một mối đe dọa mạng tinh vi đã xuất hiện, nhắm mục tiêu vào các ngành tài chính và pháp lý tại các tổ chức xử lý giao dịch kinh doanh nhạy cảm. Chiến dịch này triển khai công cụ truy cập từ xa Cobalt Strike khét tiếng sau khi xâm nhập thành công vào hệ thống. Các nhà nghiên cứu bảo mật đã xác định hơn hai mươi tệp lây nhiễm ban đầu trong chuỗi tấn công đa giai đoạn này, cho thấy một chiến dịch được dàn dựng kỹ lưỡng nhằm né tránh các hệ thống bảo mật truyền thống.

Tổng quan về Chiến dịch Operation FrostBeacon

Chiến dịch được theo dõi với tên gọi Operation FrostBeacon, sử dụng các email lừa đảo (phishing) và tệp đính kèm chứa mã độc để xâm phạm mục tiêu. Các tác nhân đe dọa tạo ra những tin nhắn xoay quanh các khoản thanh toán hợp đồng, tranh chấp pháp lý và thu hồi nợ để lôi kéo người dùng mở các tệp độc hại.

Những mồi nhử này khai thác các mối lo ngại kinh doanh phổ biến trong các lĩnh vực logistics, tài chính và chuỗi cung ứng, nơi các tổ chức phụ thuộc nhiều vào hợp đồng và xử lý thanh toán. Các email trông có vẻ hợp pháp, thường được viết bằng ngôn ngữ bản địa và đề cập đến các thuật ngữ kinh doanh thông thường để xây dựng lòng tin với nạn nhân.

Kỹ thuật Lây nhiễm Ban đầu và Phishing

Chiến thuật Phishing Tinh vi

Các email lừa đảo là bước đầu tiên trong chuỗi tấn công. Chúng được thiết kế để thuyết phục người nhận mở các tệp đính kèm độc hại, thường là các tài liệu kinh doanh giả mạo. Sự khéo léo trong việc xây dựng nội dung email là yếu tố then chốt giúp chiến dịch này thành công.

Các tin nhắn được tùy chỉnh để phù hợp với ngữ cảnh kinh doanh của nạn nhân, tăng khả năng họ sẽ tương tác với email độc hại. Điều này cho thấy sự nghiên cứu kỹ lưỡng của các tác nhân đe dọa về mục tiêu của họ.

Chuỗi Tấn công Đa giai đoạn và Khai thác Lỗ hổng

Các nhà phân tích bảo mật của Seqrite đã xác định hai cụm lây nhiễm riêng biệt hoạt động song song, mỗi cụm theo một con đường riêng để đưa cùng một mã độc. Cả hai cụm đều hội tụ tại việc triển khai Cobalt Strike, một framework mạnh mẽ được các tác nhân đe dọa sử dụng để kiểm soát từ xa và thực thi lệnh trên các hệ thống bị xâm nhập.

Cụm Lây nhiễm Qua Tệp Lưu Trữ (Archive Delivery)

Cụm đầu tiên hoạt động thông qua việc gửi tệp nén, chứa một tệp lối tắt (shortcut file) độc hại ngụy trang dưới dạng PDF. Khi người dùng mở tệp này, nó kích hoạt các lệnh PowerShell ẩn, thiết lập kết nối đến một máy chủ từ xa.

Kỹ thuật này dựa vào sự sơ suất của người dùng và khả năng ẩn mã độc trong một định dạng tệp quen thuộc. Việc sử dụng tệp lối tắt giúp che giấu bản chất thực của tệp thực thi.

Cụm Lây nhiễm Qua Tài liệu Word (Document Exploitation)

Cụm thứ hai sử dụng các tài liệu Word khai thác lỗ hổng cũ, cụ thể là CVE-2017-0199 để phân phối và CVE-2017-11882 trong Equation Editor để thực thi. Cả hai lỗ hổng này đã được biết đến từ lâu và thường xuyên bị lợi dụng.

• CVE-2017-0199: Lỗ hổng thực thi mã từ xa trong Microsoft Office/WordPad khi xử lý các tệp được thiết kế đặc biệt. Chi tiết có thể tham khảo tại NVD NIST.
• CVE-2017-11882: Lỗ hổng thực thi mã từ xa trong Microsoft Office Equation Editor do lỗi tràn bộ đệm. Chi tiết có thể tham khảo tại NVD NIST.

Đáng chú ý, cả hai cụm đều chuyển hướng đến một tệp HTML Application (HTA) đóng vai trò là thành phần thực thi cốt lõi. Sự chuyển hướng này giúp hợp nhất quy trình phân phối payload.

Cơ chế Vượt qua Phát hiện Nâng cao

Kỹ thuật Mã hóa và Nén Đa Lớp

Sự tinh vi thực sự nằm ở cơ chế phân phối payload. Một khi tệp HTA thực thi, nó tái tạo nhiều khối được mã hóa Base64 thành một script PowerShell đã được nén bằng gzip. Script này triển khai ba lớp che giấu được thiết kế để ngăn chặn phát hiện.

• Lớp đầu tiên: Sử dụng nén Gzip và mã hóa Base64.
• Lớp thứ hai: Chứa các hàm tùy chỉnh giải quyết động các giao diện lập trình ứng dụng (API) của Windows mà không ghi bất kỳ tệp nào vào ổ đĩa.
• Lớp cuối cùng: Sử dụng một khối dữ liệu (blob) được mã hóa Base64, sau đó được mã hóa XOR với khóa 35. Khối này giải mã thành mã shellcode thô được thực thi trong bộ nhớ.

Giải pháp Động API và Tiêm Mã vào Bộ nhớ

Mã shellcode đã được giải mã hoạt động như một bộ nạp Cobalt Strike Beacon, thiết lập liên lạc với các máy chủ điều khiển và chỉ huy (C2) giả mạo là các tệp tải xuống jQuery thông thường. Kỹ thuật này giúp che giấu lưu lượng C2 trong các yêu cầu web hợp pháp.

Mã độc sử dụng các kỹ thuật tinh vi, bao gồm NtMapViewOfSection để tiêm quy trình (process injection) và các cấu hình Cobalt Strike tùy chỉnh để che giấu sự hiện diện của nó. Việc sử dụng NtMapViewOfSection là một phương pháp tiêm mã tiên tiến, giúp payload hoạt động ẩn mình trong không gian bộ nhớ của một quy trình hợp pháp.

Triển khai và Hoạt động của Cobalt Strike Beacon

Sử dụng Cobalt Strike làm Công cụ Điều khiển Từ xa

Cobalt Strike Beacon là công cụ chính được triển khai, cho phép các tác nhân đe dọa duy trì quyền truy cập dai dẳng và thực hiện các hoạt động hậu khai thác. Khả năng tùy chỉnh cao của Cobalt Strike giúp nó thích nghi với nhiều môi trường khác nhau và né tránh các biện pháp phát hiện thông thường.

Các tùy chỉnh cấu hình Cobalt Strike bao gồm việc thay đổi các mẫu giao tiếp C2, thời gian chờ và phương pháp tiêm quy trình, làm cho việc phát hiện dựa trên chữ ký trở nên khó khăn hơn đối với các hệ thống phòng thủ.

Che giấu Cơ sở Hạ tầng Điều khiển và Chỉ huy (C2)

Phân tích cơ sở hạ tầng đã tiết lộ các tên miền điều khiển và chỉ huy (C2) được đăng ký thông qua các nhà cung cấp dịch vụ địa phương. Lưu lượng C2 được ẩn trong các yêu cầu web có vẻ hợp pháp, khiến việc phân biệt giữa lưu lượng truy cập bình thường và độc hại trở nên phức tạp.

Các tác nhân đe dọa đã đầu tư đáng kể vào việc xây dựng cơ sở hạ tầng bền vững và khó bị phát hiện. Đây là một đặc điểm của các tấn công mạng có mục tiêu và được tài trợ tốt.

Phân tích Mức độ Nguy hiểm

Sự kết hợp của các kỹ thuật này cho thấy một nhóm đe dọa có động cơ tài chính, sở hữu kiến thức kỹ thuật sâu rộng về các phương pháp né tránh. Mức độ tinh vi trong việc che giấu mã độc và C2 là một đặc điểm nổi bật của mối đe dọa mạng này.

Các tổ chức trong các ngành tài chính và pháp lý cần đặc biệt chú ý đến các chiến dịch lừa đảo và đảm bảo rằng các hệ thống của họ được vá lỗi kịp thời để chống lại các lỗ hổng đã biết. Đây là một cảnh báo nghiêm trọng về tầm quan trọng của việc cập nhật bản vá và đào tạo nhận thức bảo mật cho nhân viên.