Operation Artemis: Mối đe dọa nghiêm trọng từ DLL Side-loading

Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch tấn công tinh vi, nơi các đối tượng đe dọa mạo danh các nhà văn từ các đài truyền hình lớn của Hàn Quốc để phân phối tài liệu độc hại. Chiến dịch này, được theo dõi dưới tên Operation Artemis, thể hiện một sự phát triển đáng chú ý trong các chiến thuật kỹ thuật xã hội. Chúng khai thác các nhân vật truyền thông đáng tin cậy để tạo dựng độ tin cậy với các nạn nhân tiềm năng trước khi phát tán các payload độc hại. Hoạt động này đặt ra một mối đe dọa mạng đáng kể, đòi hỏi sự cảnh giác cao từ các tổ chức và cá nhân.

Phân tích Chiến dịch Operation Artemis

Chiến dịch Operation Artemis thể hiện một chiến lược tấn công đa giai đoạn, kết hợp lừa đảo với các phương pháp kỹ thuật né tránh tiên tiến. Mục tiêu chính là đánh cắp dữ liệu nhạy cảm từ các nạn nhân được nhắm mục tiêu thông qua một chuỗi lây nhiễm phức tạp và được lên kế hoạch kỹ lưỡng.

Chiến thuật Kỹ thuật Xã hội Tinh vi

Các đối tượng đe dọa tiếp cận nạn nhân thông qua các email được ngụy trang thành các yêu cầu phỏng vấn hợp pháp hoặc cơ hội hợp tác chuyên nghiệp. Chúng tự xưng là các nhà văn có uy tín từ các chương trình truyền hình Hàn Quốc được công nhận. Các đề xuất thường mang tính xác thực, liên quan đến các vấn đề Bắc Triều Tiên và nhân quyền để phù hợp với sở thích của mục tiêu.

Cách tiếp cận này đặc biệt hiệu quả vì các chủ đề thường gây được tiếng vang với các học giả, nhà báo và chuyên gia chính sách. Những đối tượng này thường xuyên tương tác với các tổ chức truyền thông. Việc mạo danh này giúp kẻ tấn công vượt qua các hàng rào phòng thủ ban đầu và thu hút sự chú ý của nạn nhân.

Chuỗi Lây nhiễm và Kỹ thuật DLL Side-loading

Các nhà phân tích của Genians đã xác định rằng mã độc bắt nguồn từ các tài liệu HWP độc hại. Đây là các tệp Hangul Word Processor, một định dạng tài liệu tiêu chuẩn ở Hàn Quốc. Những tệp chứa mã độc này đến dưới dạng tệp đính kèm được ngụy trang thành bảng câu hỏi phỏng vấn hoặc tài liệu hướng dẫn sự kiện.

Khi nạn nhân mở tài liệu và nhấp vào các siêu liên kết được nhúng, chuỗi lây nhiễm sẽ bắt đầu âm thầm trong nền. Đây là một điểm mấu chốt trong việc thực thi mã độc, vì nó dựa vào tương tác của người dùng để kích hoạt.

Kỹ thuật DLL Side-loading Chi tiết

Việc triển khai kỹ thuật của Operation Artemis cho thấy sự tinh vi đáng kể. Cuộc tấn công khai thác kỹ thuật DLL side-loading. Đây là phương pháp mà các tiện ích hệ thống hợp pháp từ Microsoft Sysinternals trở thành đồng phạm bất đắc dĩ. Các đối tượng đe dọa đặt các tệp DLL độc hại bên cạnh các tệp thực thi hợp pháp, khiến Windows tải thư viện bị hỏng thay vì thư viện gốc.

Cụ thể, mã độc tạo các tệp có tên version.dll được tải bởi các quy trình hợp pháp như vhelp.exe và mhelp.exe. Phương pháp này giúp né tránh các công cụ bảo mật dựa trên chữ ký truyền thống. Lý do là các quy trình cha mẹ xuất hiện hợp pháp đối với phần mềm chống vi-rút tiêu chuẩn. Đây là một ví dụ điển hình về cách kẻ tấn công lợi dụng các tính năng hợp pháp của hệ điều hành để che giấu hoạt động độc hại.

Để tìm hiểu thêm về kỹ thuật này, bạn có thể tham khảo bài viết chi tiết về DLL Side-loading.

Cơ chế Mã hóa và Tối ưu hóa

Tệp DLL sử dụng nhiều lớp mã hóa thông qua các phép toán XOR với các giá trị khóa như 0xFA và 0x29 để che giấu mục đích thực sự của nó. Việc sử dụng các phép toán XOR đơn giản nhưng hiệu quả giúp mã độc khó bị phân tích tĩnh. Sự phức tạp được tăng cường bởi các lớp mã hóa chồng chéo.

Tùy thuộc vào khả năng của hệ thống mục tiêu, mã độc sẽ tự động chọn giữa giải mã XOR theo từng byte tiêu chuẩn hoặc phương pháp SSE (Streaming SIMD Extensions) tốc độ cao xử lý 16 byte đồng thời. Cách tiếp cận thích ứng này giúp tăng tốc độ xử lý trong khi vẫn duy trì khả năng tàng hình trước các hệ thống bảo mật đối sánh mẫu. Việc tối ưu hóa này là một dấu hiệu của mã độc được phát triển chuyên nghiệp, nhằm đảm bảo hiệu suất và khả năng né tránh cao.

Payload Cuối cùng: RoKRAT Data Stealer

Mã độc cuối cùng triển khai RoKRAT, một công cụ đánh cắp dữ liệu tinh vi. Chuỗi lây nhiễm bao gồm việc thực thi đối tượng OLE bên trong các tài liệu HWP, tiếp theo là triển khai các tệp thực thi và DLL độc hại vào thư mục tạm thời. Payload trải qua các giai đoạn giải mã XOR tuần tự trước khi kích hoạt dưới dạng shellcode cuối cùng. RoKRAT malware được thiết kế để thu thập và exfiltrate dữ liệu nhạy cảm từ hệ thống bị xâm nhập, bao gồm tài liệu, thông tin đăng nhập và các dữ liệu cá nhân khác.

Hạ tầng Command-and-Control (C2)

Phân tích pháp y cho thấy các đối tượng đe dọa duy trì hạ tầng Command-and-Control (C2) thông qua các dịch vụ Yandex Cloud. Các token tài khoản cho thấy ngày đăng ký từ tháng 10 năm 2023 đến tháng 2 năm 2025, cho thấy khả năng hoạt động được duy trì liên tục. Đây là một dấu hiệu của một chiến dịch được lên kế hoạch kỹ lưỡng với nguồn lực đáng kể.

Thông tin Hạ tầng C2

• Dịch vụ đám mây sử dụng: Yandex Cloud
• Thời gian hoạt động token: Từ tháng 10 năm 2023 đến tháng 2 năm 2025
• Chức năng: Điều khiển mã độc RoKRAT, nhận dữ liệu đã đánh cắp, phát lệnh mới.

Biện pháp Phát hiện và Phòng ngừa

Việc phát hiện các cuộc tấn công như Operation Artemis đòi hỏi khả năng giám sát hành vi thông qua các giải pháp Endpoint Detection and Response (EDR) thay vì quét tệp thông thường. Các giải pháp EDR có khả năng theo dõi các hoạt động bất thường ở cấp độ hệ điều hành và ứng dụng, cung cấp một lớp bảo vệ cần thiết.

Các nhóm bảo mật cần theo dõi chặt chẽ các hành vi sau để phát hiện sớm các dấu hiệu xâm nhập:

• Tải DLL bất thường từ các thư mục tạm thời.
• Các quy trình con đáng ngờ được tạo ra từ các tệp thực thi hợp pháp.
• Các kết nối đi ra ngoài đến hạ tầng đám mây ngay sau khi thực thi tài liệu.

Ví dụ về cách giám sát quy trình và kết nối có thể bao gồm việc sử dụng các công cụ CLI như Sysmon để ghi lại các sự kiện:

# Ví dụ về quy tắc Sysmon để phát hiện tải DLL bất thường từ thư mục tạm<RuleGroup name="" groupRelation="or"> <ProcessAccess onmatch="exclude"> <GrantedAccess condition="is">0x1000</GrantedAccess> <TargetImage condition="endwith">svchost.exe</TargetImage> </ProcessAccess> <ImageLoad onmatch="include"> <Image condition="contains">\Temp\</Image> <Image condition="endwith">.dll</Image> <!-- Loại trừ các quy trình hợp lệ thường xuyên tải DLL đã ký từ Temp --> <SigningStatus condition="is">Signed</SigningStatus> </ImageLoad></RuleGroup># Giám sát kết nối mạng trên Linux (ví dụ với netstat)netstat -tulnp | grep ":443"# Giám sát kết nối mạng trên Windows với PowerShell để tìm kết nối bất thườngGet-NetTcpConnection | Where-Object { $_.State -eq "Established" -and $_.RemoteAddress -notin "192.168.1.1","8.8.8.8" } | Select-Object LocalAddress,LocalPort,RemoteAddress,RemotePort,State,OwningProcess

Chiến dịch Operation Artemis nhấn mạnh cách các đối tượng đe dọa tiếp tục tinh chỉnh phương pháp của họ để khai thác đồng thời sự tin tưởng của người dùng và các lỗ hổng phát hiện kỹ thuật. Các tổ chức cần liên tục cập nhật các chiến lược phòng thủ của mình để đối phó hiệu quả với các mối đe dọa mạng ngày càng phức tạp.