Tấn công mạng tinh vi: Mã độc lạm dụng Obsidian Shell Commands

Các tác nhân đe dọa đã phát hiện một phương pháp tinh vi để lạm dụng một công cụ năng suất đáng tin cậy nhằm phân phối mã độc. Thông qua việc vũ khí hóa plugin Shell Commands của Obsidian, những kẻ tấn công đang âm thầm thực thi mã độc hại trên các máy tính của nạn nhân, mà không cần khai thác bất kỳ lỗ hổng phần mềm nào. Đây là một phương thức tấn công mạng mới đáng chú ý, cho thấy sự thay đổi trong chiến thuật của tội phạm mạng.

Nội dung

Tổng Quan Về Chiến Dịch REF6598 và Mối Đe Dọa Tấn Công Mạng

Phương Thức Tấn Công và Kỹ Thuật Social Engineering

Phát Hiện và Phân Tích Kỹ Thuật

Chuỗi Tấn Công trên Windows

Chuỗi Tấn Công trên macOS

Kỹ Thuật C2 Độc Đáo của PHANTOMPULSE

Các Biện Pháp Phòng Ngừa và Phát Hiện Xâm Nhập

Indicators of Compromise (IOCs)

Tổng Quan Về Chiến Dịch REF6598 và Mối Đe Dọa Tấn Công Mạng

Chiến dịch này, được theo dõi dưới tên REF6598, nhắm mục tiêu vào các cá nhân làm việc trong lĩnh vực tài chính và tiền điện tử. Điểm đáng lưu ý là cuộc tấn công này không dựa vào các lỗ hổng bảo mật truyền thống mà thay vào đó là sự lạm dụng chức năng hợp pháp của phần mềm.

Các nhà nghiên cứu từ Elastic Security Labs đã xác định chiến dịch này sau khi một cảnh báo hành vi từ Elastic Defend được kích hoạt, báo hiệu việc thực thi PowerShell đáng ngờ với Obsidian là tiến trình gốc. Điều này đã giúp các nhà nghiên cứu theo dõi hoạt động độc hại trực tiếp từ Obsidian.

Phương Thức Tấn Công và Kỹ Thuật Social Engineering

Cuộc tấn công mạng bắt đầu bằng một kế hoạch kỹ thuật xã hội được dàn dựng cẩn thận. Các tác nhân đe dọa mạo danh là đại diện của một công ty đầu tư mạo hiểm và tiếp cận nạn nhân thông qua LinkedIn. Khi mục tiêu phản hồi, cuộc trò chuyện sẽ chuyển sang một nhóm Telegram, nơi nhiều đối tác giả mạo tham gia để tạo sự đáng tin cậy cho cuộc trao đổi.

Nạn nhân sau đó được hướng dẫn sử dụng Obsidian, được giới thiệu là cơ sở dữ liệu quản lý nội bộ của công ty. Họ được cung cấp thông tin đăng nhập để kết nối với một kho dữ liệu (vault) được lưu trữ trên đám mây mà kẻ tấn công hoàn toàn kiểm soát.

Điều này cho phép kẻ tấn công kiểm soát môi trường làm việc của nạn nhân một cách gián tiếp, mà nạn nhân không hề hay biết rằng họ đang tham gia vào một cuộc tấn công mạng phức tạp.

Phát Hiện và Phân Tích Kỹ Thuật

Các nhà nghiên cứu Salim Bitam, Samir Bousseaden và Daniel Stepanic đã truy tìm hoạt động độc hại trực tiếp đến ứng dụng Obsidian, loại trừ khả năng tải phụ (DLL sideloading) của bên thứ ba hoặc tiêm mã JavaScript. Nhóm đã xác nhận rằng plugin Shell Commands, được cài đặt trong kho dữ liệu độc hại, đã được cấu hình để thực thi các lệnh shell do kẻ tấn công định nghĩa ngay khi kho dữ liệu được mở, không yêu cầu tương tác bổ sung từ nạn nhân.

Chiến dịch này nhắm mục tiêu vào cả hệ thống Windows và macOS. Mục tiêu là tận dụng các môi trường hệ điều hành khác nhau để triển khai các biến thể mã độc trong một cuộc tấn công mạng diện rộng.

Chuỗi Tấn Công trên Windows

Trên hệ điều hành Windows, chuỗi tấn công dẫn đến việc triển khai một RAT (Remote Access Trojan) chưa từng được ghi nhận trước đây có tên là PHANTOMPULSE. Đây là một backdoor đầy đủ tính năng, có khả năng ghi nhật ký gõ phím (keylogging), chụp màn hình, tiêm tiến trình (process injection) và leo thang đặc quyền (privilege escalation).

Khi nạn nhân mở kho dữ liệu do kẻ tấn công kiểm soát và bật tính năng đồng bộ plugin cộng đồng, tệp cấu hình data.json của plugin Shell Commands bị trojan hóa sẽ được tải xuống một cách âm thầm và kích hoạt thực thi.

Trên Windows, plugin này thực hiện hai cuộc gọi Invoke-Expression với các chuỗi được mã hóa Base64, kết nối đến máy chủ trung gian tại 195.3.222[.]251 để lấy một script PowerShell. Script này sau đó sử dụng BitsTransfer để tải xuống một tệp thực thi 64-bit có tên syncobs.exe và báo cáo từng bước về C2 (Command and Control) bằng các thông báo trạng thái được mã hóa màu như “GREEN FILE FOUND ON PC” và “RED DOWNLOAD ERROR”.

# Ví dụ lệnh PowerShell được thực thiInvoke-Expression ([System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String("BASE64_ENCODED_POWERSHELL_SCRIPT")))

Tệp thực thi được tải xuống, được các nhà nghiên cứu gọi là PHANTOMPULL, giải mã một payload được mã hóa AES-256-CBC từ bên trong tài nguyên của chính nó và tải toàn bộ vào bộ nhớ bằng cách sử dụng kỹ thuật tải phản chiếu (reflective loading). Kỹ thuật này khiến mã độc không bao giờ ghi giai đoạn cuối cùng của nó vào đĩa, gây khó khăn hơn nhiều cho việc phát hiện xâm nhập thông qua các phương pháp quét dựa trên tệp thông thường.

PHANTOMPULL cũng sử dụng callback hàng đợi hẹn giờ với độ trễ 50 mili giây để chuyển giao việc thực thi. Đây là một chiến thuật được sử dụng để qua mặt các môi trường sandbox. Ngoài ra, trình tải này còn bao gồm các khối mã chết (dead code blocks) và một chức năng kiểm tra tính toàn vẹn giả mạo (fake integrity check function) không phục vụ mục đích hoạt động nào ngoài việc làm tốn thời gian của nhà phân tích trong quá trình đảo ngược kỹ thuật.

Chuỗi Tấn Công trên macOS

Trên macOS, cuộc tấn công sử dụng một trình thả (dropper) AppleScript đã bị xáo trộn kết hợp với một cơ chế dự phòng dựa trên Telegram để liên lạc C2. Cả hai đường dẫn đều được thiết kế để ẩn mình đằng sau hành vi ứng dụng thông thường, gây ra một mối đe dọa mạng đáng kể và nâng cao đáng kể ngưỡng đối với các phương pháp phát hiện truyền thống.

Kỹ Thuật C2 Độc Đáo của PHANTOMPULSE

PHANTOMPULSE, RAT được triển khai cuối cùng, sử dụng một kỹ thuật phân giải C2 mới lạ được xây dựng xung quanh dữ liệu blockchain Ethereum công khai. Elastic Security Labs đã phân tích chi tiết kỹ thuật này.

Mã độc truy vấn các API của Blockscout trên ba mạng blockchain, đọc các URL C2 được mã hóa XOR từ các trường đầu vào của các giao dịch được liên kết với một địa chỉ ví cứng. Các nhà nghiên cứu đã ghi nhận một lỗi thiết kế đáng kể trong cơ chế này: bởi vì PHANTOMPULSE luôn chọn giao dịch gần đây nhất mà không xác minh ai đã gửi nó, bất kỳ bên nào trích xuất địa chỉ ví và khóa XOR từ tệp nhị phân đều có thể gửi một giao dịch cạnh tranh để chuyển hướng tất cả các máy chủ bị nhiễm đến một máy chủ sinkhole.

Các Biện Pháp Phòng Ngừa và Phát Hiện Xâm Nhập

Các tổ chức trong lĩnh vực tài chính và tiền điện tử cần tăng cường an ninh mạng và theo dõi các hành vi tạo tiến trình con bất thường từ các ứng dụng dựa trên Electron như Obsidian. Điều này giúp nhanh chóng nhận diện các dấu hiệu của một cuộc tấn công mạng tiềm tàng.

Các công cụ phát hiện xâm nhập hành vi tại điểm cuối (behavioral endpoint detection tools) cần được kích hoạt đầy đủ.
Chính sách cài đặt plugin cộng đồng cần được thực thi nghiêm ngặt nếu có thể, để hạn chế các plugin không đáng tin cậy.
Các đội bảo mật được khuyến nghị nên chủ động săn lùng các sự kiện tệp khớp với đường dẫn của obsidian-shellcommands và chặn các hạ tầng được biết đến.
Các quy tắc YARA do Elastic công bố cho PHANTOMPULL và PHANTOMPULSE cung cấp một điểm khởi đầu thực tế để phát hiện trong mọi môi trường.

Indicators of Compromise (IOCs)

Dưới đây là các chỉ số thỏa hiệp (IOCs) liên quan đến chiến dịch này cần được theo dõi và chặn:

Địa chỉ IP C2: 195.3.222[.]251
Miền C2: panel.fefea22134[.]net
Tên tệp độc hại: syncobs.exe
Tên mã độc RAT: PHANTOMPULSE
Tên trình tải (loader): PHANTOMPULL
Tên plugin bị lạm dụng: obsidian-shellcommands

Việc theo dõi và chặn các IOC này là một bước quan trọng trong việc bảo vệ hệ thống khỏi các cuộc tấn công mạng tương tự và duy trì an ninh mạng hiệu quả.