Tấn công mạng nguy hiểm: Khai thác CVE-2017-11882 tinh vi

Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch email tinh vi, sử dụng một commodity loader để phân phối các công cụ truy cập từ xa (RATs) và đánh cắp thông tin (information stealers). Chiến dịch tấn công mạng này chủ yếu nhắm vào các tổ chức sản xuất và chính phủ, sử dụng nhiều kỹ thuật né tránh tiên tiến.

Tổng quan về Mối đe dọa mạng và Chiến dịch Tấn công

Hoạt động độc hại này chủ yếu nhắm mục tiêu vào các tổ chức thuộc lĩnh vực sản xuất và chính phủ.

Các quốc gia bị ảnh hưởng bao gồm Ý, Phần Lan và Ả Rập Xê Út. Chiến dịch sử dụng các kỹ thuật né tránh rất tinh vi để tránh bị phát hiện.

Chiến dịch này triển khai nhiều phương pháp lây nhiễm khác nhau nhằm xâm nhập hệ thống Windows.

Các tác nhân đe dọa phân phối các tài liệu Microsoft Office độc hại khai thác CVE-2017-11882.

Đây là một lỗ hổng hỏng bộ nhớ nghiêm trọng trong thành phần Equation Editor của Office.

Ngoài ra, những kẻ tấn công còn sử dụng các tệp SVG và kho lưu trữ ZIP chứa các phím tắt LNK độc hại.

Tất cả các phương pháp này đều hội tụ vào một hạ tầng loader thương mại thống nhất.

Kỹ thuật Khai thác Lỗ hổng và Lây nhiễm

Khai thác lỗ hổng CVE-2017-11882

CVE-2017-11882 là một lỗ hổng nghiêm trọng trong Equation Editor của Microsoft Office.

Lỗ hổng này cho phép thực thi mã từ xa (Remote Code Execution) khi mở một tài liệu độc hại. Bạn có thể tìm hiểu thêm về lỗ hổng này tại NVD NIST.

Việc khai thác lỗ hổng này giúp kẻ tấn công chiếm quyền kiểm soát hệ thống của nạn nhân.

Phương pháp Lây nhiễm Ban đầu

Các cuộc tấn công bắt đầu bằng các email lừa đảo (phishing) có mục tiêu cụ thể.

Những email này mạo danh các thông báo Đơn đặt hàng (Purchase Order) hợp pháp từ các đối tác kinh doanh.

Các tin nhắn lừa đảo này chứa các kho lưu trữ RAR.

Bên trong các kho lưu trữ RAR ẩn chứa payload JavaScript giai đoạn một, được thiết kế để vượt qua các lớp sàng lọc bảo mật ban đầu.

Chuỗi Thực thi Mã độc Bốn Giai đoạn

Mã độc hoạt động thông qua một đường ống thực thi tinh vi gồm bốn giai đoạn.

Cấu trúc này được thiết kế để né tránh phát hiện một cách hiệu quả.

Giai đoạn 1: Khởi tạo JavaScript và PowerShell

Tệp JavaScript ban đầu chứa mã được mã hóa mạnh mẽ (heavily obfuscated code).

Mã này tự động tái tạo các chuỗi độc hại bằng cách sử dụng các phép toán split và join.

Khi thực thi, nó tạo một tiến trình PowerShell ẩn bằng cách sử dụng các đối tượng Windows Management Instrumentation (WMI).

Giai đoạn 2: Giấu mã độc bằng Steganography

Giai đoạn thứ hai truy xuất một hình ảnh PNG độc hại từ các dịch vụ lưu trữ hợp pháp, chẳng hạn như Archive.org.

Hình ảnh này chứa các assembly .NET được mã hóa base64, được nhúng bằng kỹ thuật giấu tin (steganography) ở cuối tệp.

Script PowerShell trích xuất payload này bằng cách sử dụng một biểu thức chính quy (regular expression).

Sau đó, nó tải payload trực tiếp vào bộ nhớ mà không ghi vào đĩa, là một kỹ thuật né tránh tiên tiến trong chuỗi tấn công mạng này.

Giai đoạn 3: Trojan hóa thư viện TaskScheduler

Ở giai đoạn thứ ba, những kẻ tấn công sử dụng thư viện mã nguồn mở TaskScheduler hợp pháp từ GitHub.

Bằng cách nối thêm các chức năng độc hại vào mã nguồn và biên dịch lại, chúng tạo ra một assembly bị trojan hóa.

Assembly này vẫn giữ vẻ ngoài là một phần mềm chính hãng nhưng lại chứa các khả năng độc hại.

Giai đoạn 4: Kỹ thuật Process Injection (Process Hollowing)

Giai đoạn cuối cùng sử dụng các kỹ thuật tiêm tiến trình (process injection).

Kỹ thuật này tạo một tiến trình RegAsm.exe bị treo (suspended) và tiêm payload đã giải mã vào không gian bộ nhớ của nó.

Quá trình “process hollowing” này cho phép mã độc mạo danh các tiện ích Windows hợp pháp trong khi thực thi mã độc.

Các Loại Mã độc Được Phân phối và Thông tin IOC

Chiến dịch phân phối nhiều công cụ đánh cắp thông tin và RATs khác nhau.

Các mã độc này bao gồm:

• PureLog Stealer
• Katz Stealer
• DC Rat
• Async Rat
• Remcos

Payload PureLog Stealer được giải mã bằng mã hóa Triple DES ở chế độ CBC trước khi được kích hoạt.

Mã độc này được dùng để đánh cắp dữ liệu nhạy cảm, bao gồm thông tin đăng nhập trình duyệt, thông tin ví tiền điện tử và chi tiết hệ thống toàn diện.

Việc nắm rõ các loại mã độc này là rất quan trọng để phát hiện và phản ứng với các cuộc tấn công mạng.

Kỹ thuật Lách Quyền Người Dùng (UAC Bypass) Mới

Các nhà nghiên cứu tại Cyble Research and Intelligence Labs (CRIL) đã xác định một kỹ thuật lách quyền người dùng (UAC bypass) mới.

Trong kỹ thuật này, mã độc theo dõi các sự kiện tạo tiến trình hệ thống.

Sau đó, nó tận dụng cơ hội để kích hoạt lời nhắc UAC trong quá trình khởi chạy hợp pháp, lừa người dùng cấp quyền nâng cao.

Đây là một kỹ thuật đặc biệt tinh vi để vượt qua các biện pháp bảo mật của hệ điều hành.

Phân tích Liên chiến dịch và Cơ sở hạ tầng chung

Phân tích chéo chiến dịch cho thấy một phương pháp tiêu chuẩn hóa trên nhiều tác nhân đe dọa.

Điều này cho thấy loader hoạt động như một khung phân phối chung.

Nghiên cứu từ Seqrite, Nextron Systems và Zscaler đã ghi lại các quy ước đặt tên lớp và mô hình thực thi giống hệt nhau trên nhiều họ mã độc khác nhau.

Điều này xác nhận sự sẵn có rộng rãi của cơ sở hạ tầng này cho các chiến dịch tấn công mạng.

Khuyến nghị Bảo mật và Biện pháp Giảm thiểu

Các tổ chức cần triển khai các biện pháp tăng cường an ninh mạng để bảo vệ hệ thống của mình.

Cần thực hiện lọc email nâng cao để ngăn chặn các email lừa đảo.

Đồng thời, vô hiệu hóa các thành phần Equation Editor cũ của Office để loại bỏ lỗ hổng CVE-2017-11882.

Các tệp đính kèm hình ảnh cần được kiểm tra kỹ lưỡng, đặc biệt là khi có dấu hiệu bất thường.

Cuối cùng, giám sát chặt chẽ hoạt động đáng ngờ của PowerShell là rất quan trọng để giảm thiểu các mối đe dọa mạng tinh vi này.