Nguy hiểm: Khai thác Ivanti Connect Secure, MetaRAT tấn công mạng

Chiến dịch tấn công mạng mới đây đã nhắm mục tiêu vào các công ty vận tải và logistics bằng cách khai thác Ivanti Connect Secure (ICS). Hoạt động này được phát hiện vào tháng 4 năm 2025, sử dụng hai lỗ hổng nghiêm trọng để giành quyền truy cập ban đầu vào mạng mục tiêu và triển khai nhiều biến thể mã độc PlugX, bao gồm cả biến thể MetaRAT và Talisman PlugX mới.

Phân Tích Chuỗi Tấn Công Nhắm Mục Tiêu

Quy trình tấn công cho thấy một phương pháp tiếp cận phức tạp và có nhiều giai đoạn. Kẻ tấn công ban đầu đã xâm nhập các hệ thống ICS bằng cách khai thác lỗ hổng CVE CVE-2024-21893 và CVE-2024-21887. Các lỗ hổng này cho phép kẻ tấn công thực thi mã từ xa (RCE) và bypass xác thực trên các thiết bị ICS, mở đường cho việc xâm nhập sâu hơn.

Sau khi giành được quyền truy cập ban đầu thông qua việc khai thác Ivanti Connect Secure, nhóm tấn công đã thiết lập một chỗ đứng vững chắc bằng cách cài đặt các thành phần mã độc trên các thiết bị bị xâm nhập.

Trinh Sát Mạng và Di Chuyển Ngang

Sau giai đoạn xâm nhập, nhóm tấn công tiến hành các hoạt động trinh sát chi tiết. Mục tiêu là lập bản đồ môi trường mạng nội bộ, xác định cấu trúc hệ thống và thu thập thông tin xác thực quan trọng từ các hệ thống bị xâm nhập.

Sử dụng các thông tin xác thực đã đánh cắp, đặc biệt là các tài khoản đặc quyền trong Active Directory, kẻ tấn công thực hiện di chuyển ngang qua cơ sở hạ tầng mạng của tổ chức mục tiêu. Việc này cho phép chúng mở rộng phạm vi kiểm soát và tiếp cận các tài nguyên quan trọng.

Chúng tiếp tục triển khai các biến thể mã độc PlugX một cách có hệ thống trên nhiều máy chủ nội bộ. Mục đích là để duy trì sự hiện diện dai dẳng (persistence) và mở rộng quyền kiểm soát đối với môi trường bị xâm nhập. Đây là một cuộc tấn công mạng đa giai đoạn cho thấy sự chuẩn bị kỹ lưỡng và hiểu biết sâu sắc về cấu trúc mạng doanh nghiệp.

Phát Hiện và Phân Tích Mã Độc MetaRAT

Các nhà phân tích bảo mật từ LAC Watch đã đóng vai trò quan trọng trong việc xác định các thành phần mã độc này sau khi thực hiện phân tích pháp y chuyên sâu trên các hệ thống Ivanti bị xâm nhập. Báo cáo chi tiết về nghiên cứu này có thể tham khảo tại LAC Watch.

Dấu Hiệu Xâm Nhập Hệ Thống ICS

Trong quá trình phân tích, các nhà nghiên cứu đã phát hiện các bản ghi lỗi nghiêm trọng với mã ERR31093. Mã lỗi này xuất hiện khi các tiến trình ICS xử lý các tải trọng SAML không hợp lệ, một dấu hiệu rõ ràng của việc khai thác CVE-2024-21893.

Ngoài ra, việc sử dụng Integrity Checker Tool đã tiết lộ sự hiện diện của các tệp đáng ngờ khớp với chữ ký mã độc đã biết. Các chữ ký này bao gồm LITTLELAMB, WOOLTEA, PITSOCK và PITFUEL, những biến thể mã độc đã được ghi nhận trong các cuộc tấn công tương tự trước đây nhằm vào nền tảng Ivanti.

Chi Tiết Kỹ Thuật về MetaRAT

MetaRAT đại diện cho một sự tiến hóa mới trong họ Trojan truy cập từ xa (RAT) của PlugX. Mặc dù biến thể này đã tồn tại từ ít nhất năm 2022, nhưng nó mới được đặt tên và phân tích chi tiết gần đây.

Cơ Chế Thực Thi DLL Side-loading

Các nhà nghiên cứu bảo mật đã xác nhận rằng MetaRAT mã độc thực thi thông qua kỹ thuật DLL side-loading. Phương pháp này tận dụng các tiến trình Windows hợp lệ để tải và thực thi mã độc hại. Điều này giúp mã độc tránh bị phát hiện bởi các giải pháp bảo mật truyền thống vì nó hoạt động dưới vỏ bọc của một tiến trình hợp pháp.

Thành phần tải (loader) của MetaRAT, có tên là mytilus3.dll, chịu trách nhiệm tải một tệp shellcode được mã hóa. Tệp shellcode này được đặt tên là materoll và là bước đầu tiên trong chuỗi giải mã và thực thi.

Shellcode được giải mã bằng các phép toán XOR sử dụng một giá trị khóa cố định là 0xA6. Sau khi giải mã, shellcode được thực thi trực tiếp trong bộ nhớ, hạn chế khả năng phân tích bằng cách không lưu trữ payload rõ ràng trên đĩa.

Kiến Trúc Mã Hóa Đa Lớp

Sau khi shellcode ban đầu được thực thi, nó tiếp tục thực hiện giải mã AES-256-ECB trên tải trọng chính của MetaRAT đã được lưu trữ. Sau quá trình giải mã, tải trọng này được nén bằng thuật toán LZNT1. Phương pháp mã hóa và nén nhiều lớp này làm cho việc phân tích và phát hiện bằng các công cụ bảo mật trở nên khó khăn hơn đáng kể.

Khi được giải nén hoàn toàn trong bộ nhớ, MetaRAT mã độc thực sự bắt đầu hoạt động thông qua các hàm xuất được định nghĩa sẵn. Kiến trúc phức tạp này nhằm mục đích làm chậm và gây trở ngại cho các nỗ lực phân tích và gỡ lỗi.

Kỹ Thuật Chống Phân Tích Nâng Cao

Để bảo vệ khỏi việc phân tích ngược, MetaRAT triển khai kỹ thuật API hashing. Kỹ thuật này che giấu các lệnh gọi API Windows cần thiết bằng cách tính toán hàm băm của tên API thay vì gọi trực tiếp. Điều này gây khó khăn cho các công cụ phân tích tĩnh trong việc xác định các chức năng mà mã độc đang cố gắng sử dụng.

Ngoài ra, MetaRAT còn sử dụng các cơ chế chống gỡ lỗi (anti-debugging) tinh vi. Các cơ chế này được thiết kế để phát hiện sự hiện diện của một trình gỡ lỗi (debugger) và, khi bị phát hiện, chúng sẽ phá hủy các khóa giải mã cần thiết. Điều này ngăn chặn các nhà nghiên cứu bảo mật xem xét trạng thái bên trong của mã độc trong quá trình thực thi, bảo vệ bí mật về cách nó hoạt động.

Biện Pháp Giảm Thiểu và Chỉ Số Nhận Dạng

Các tổ chức đang sử dụng các phiên bản bị ảnh hưởng của Ivanti Connect Secure cần ưu tiên cao việc áp dụng các bản vá bảo mật mới nhất do Ivanti phát hành. Đồng thời, cần tăng cường giám sát hệ thống của mình để tìm kiếm bất kỳ dấu hiệu xâm nhập nào.

Indicators of Compromise (IOCs)

Dưới đây là các chỉ số nhận dạng (IOCs) có thể giúp phát hiện sự hiện diện của MetaRAT mã độc trên hệ thống:

• Sự tồn tại của các đăng ký dịch vụ Windows đáng ngờ, ví dụ: dịch vụ có tên “sihosts”.
• Các khóa registry bất thường, ví dụ: khóa có tên “matesile” trong cấu hình hệ thống.
• Sự hiện diện của tệp nhật ký khóa có tên “VniFile.hlp” trong thư mục %ALLUSERPROFILE%\mates\.

Lệnh Kiểm Tra Hệ Thống (Ví Dụ)

Để kiểm tra các IOCs liên quan đến MetaRAT trên hệ thống Windows, các quản trị viên có thể sử dụng các lệnh CLI sau trong Command Prompt (cmd) hoặc PowerShell:

REM Kiểm tra đăng ký dịch vụ "sihosts"sc query sihostsREM Kiểm tra khóa registry "matesile" (thường trong HKCU hoặc HKLM)reg query HKEY_CURRENT_USER\Software\matesilereg query HKEY_LOCAL_MACHINE\Software\matesileREM Tìm kiếm tệp VniFile.hlpdir %ALLUSERPROFILE%\mates\VniFile.hlp /s

Việc thực hiện kiểm tra định kỳ các chỉ số này, cùng với việc duy trì một chiến lược cập nhật bản vá bảo mật toàn diện, là rất quan trọng để bảo vệ chống lại các mối đe dọa tiên tiến như cuộc tấn công mạng sử dụng khai thác Ivanti Connect Secure này.