CyRadar cảnh báo mã độc gián điệp cũ trong vỏ bọc chiến dịch tấn công mới

Chuyên gia CyRadar khuyến nghị các cơ quan, tổ chức, doanh nghiệp và người dùng cá nhân cần cảnh giác và kiểm tra kỹ email được nhận cũng như các tệp hoặc link đính kèm trong email đó (Ảnh minh họa. Nguồn: Internet)

6 giai đoạn trong quá trình thực thi của mã độc NanoCore

Công ty cổ phần An toàn thông tin CyRadar cho biết, vào cuối tháng 9/2018 vừa qua, một chiến dịch tấn công gián điệp bằng email đã được CyRadar phát hiện. Hacker đánh lừa người dùng tải và thực thi tệp mã độc trên máy tính. Lúc này, mã độc lập tức thực hiện một loạt các hành vi âm thầm, khéo léo để cài đặt một phần mềm gián điệp. Nó có nhiệm vụ đánh cắp dữ liệu trên máy tính đó, cho phép hacker điều khiển được máy tính từ xa.

Thông tin thêm về chiến dịch tấn công mới của mã độc NanoCore, chuyên gia Công ty CyRadar cho hay, mã độc sử dụng tệp gdm.exe (có chữ ký số chuẩn) để thực hiện chạy mã độc hại được viết bằng ngôn ngữ AutoIT. Mục đích của hacker là làm khó khăn cho các phần mềm diệt virus vì trong trường hợp này tệp độc hại là dạng text và nội dung chứa rất nhiều đoạn ghi chú không cố định.

Cụ thể, theo chuyên gia CyRadar, 6 giai đoạn của mã độc trong chiến dịch tấn công gồm: Email lừa nạn nhân (1); File nén chứa mã độc được tải (2); File mã độc được viết bằng code AutoIT và được chạy bởi tiến trình gdm.exe (3); File mã độc được sinh ra từ tiến trình trước và cũng là code Auto IT, file được chạy bởi tiến trình gdm.exe (4); Mã độc RAT được inject vào tiến trình RegSvcs.exe hoặc firefox.exe (5); Hacker từ xa điều khiển máy tính, thu thập thông tin (6).

Trong đó, ở bước 5, mã độc thực hiện ghi một mẫu RAT có tên NanoCore Client lên bộ nhớ rồi thực thi. NanoCore Client là một phần mềm khá nổi ở trên mạng và đã bị nhiều phần mềm antivirus nhận diện. “Chính vì vậy, hacker phải dùng cách thức thực thi mẫu trên bộ nhớ để ẩn dấu. Ta nhận thấy, trong chiến dịch từ bước 1 đến bước 4 có thể thay đổi cách thức tiếp cận nạn nhân, cách thức lây nhiễm lên máy tính một cách linh hoạt và đa dạng”, chuyên gia CyRadar nêu.

Phân tích chi tiết quá trình tấn công

Phân tích chi tiết cụ thể các bước tấn công của mã độc NanoCore trong chiến dịch tấn công mạng mới, CyRadar thông tin, với email khởi nguồn chiến dịch tấn công, nội dung email giả mạo luôn luôn gây sự chú ý đến nạn nhân, hacker làm vậy để lừa nạn nhân thực hiện hành vi mở và thực thi tệp. Nếu nạn nhân chỉ nhìn qua sẽ thấy có 2 tệp đính kèm định dạng PDF nhưng thực tế đó là đường link đính kèm có chèn ảnh và khi click vào hình ảnh sẽ liên kết đến một trang tải mã độc với tên “scan20180920.z” về máy. “scan20180920.z” là một tệp nén, sau khi giải nén sẽ được một tệp thưc thi có tên scan20180920.exe.

Nội dung email giả mạo để lừa nạn nhân.

Khi tệp “scan20180920.exe” được thực thi, mã độc sẽ tạo ra một thư mục “72851423” ở thư mục “Temp”. Bên trong thư mục này có chứa rất nhiều tệp phục vụ cho mã độc tấn công máy tính của nạn nhân. Có thể kể đến một số tệp mà mã độc sử dụng: “Bfx[.]dat” - tệp cấu hình sử dụng để điểu khiển các hành vi; “eba=cap là tệp thực thi được viết bằng ngôn ngữ AutoIT - mã độc thực hiện các hành vi; “Gdm[.]exe” là tệp thực thi có chữ ký số AutoIt Consulting Ltd sử dụng để chạy code AutoIT.

Phân tích của chuyên gia CyRadar cũng chỉ ra rằng, sau khi đã tạo ra được các tệp mới, mã độc thực hiện chạy tiến trình “gdm[.]exe” với tham số “eba=cap”. Mục đích của mã độc là thực thi code AutoIT được viết trong tệp “eba=cap” mà không cần phải build ra định dạng “.exe” thông thường. Mở tệp eba=cap bằng notepad, tệp này thực hiện tạo ra một tệp khác có nội dung là code AutoIT với tên ngẫu nhiên. Sau đó, nó sẽ thực thi với cách thức tương tự với tệp “eba=cap”.

“Với tệp có tên ngẫu nhiên được tạo ra, tệp mã độc này được viết bằng ngôn ngữ AutoIT và có rất nhiều hành vi độc hai: Anti VM, Anti Sandbox, tắt UAC, tạo key run, tắt task manager, Downloader, inject code mã độc. Các hành vi này sẽ được điều khiển bằng tệp cấu hình bfx[.]dat. Ở phiên bản này, mã độc chỉ thực hiện các hành vi: tắt UAC; tạo key run okoks để chạy tệp có tên ngẫu nhiên; inject code mã độc vào tiến trình RegSvcs.exe hoặc firefox.exe”, chuyên gia CyRadar cho hay.

Doanh nghiệp, cá nhân cần làm gì?

Phân tích sâu hơn về mã độc NanoCore được sử dụng trong chiến dịch tấn công mới được CyRadar phát hiện, các chuyên gia của doanh nghiệp hoạt động trong lĩnh vực an toàn thông tin này cho biết thêm, nội dung inject vào tiến trình “RegSvcs[.]exe” hoặc “firefox[.]exe” là một tệp có tên NanoCore Client viết bằng DotNet đã được obfuscate. Sau khi deobfuscate mã code sẽ nhận được kết quả dễ dàng phân tích hơn.

Mã độc có tên NanoCore này cũng thực hiện rất nhiều hành vi thông qua cấu hình được lưu trữ ở Resource Directory. Ở đây, mã độc sử dụng các tính năng tạo key khởi động (key run), tạo task scheduler, anti debug, upload và download từ host “sarutobi[.]hopto[.]org”.

Đồng thời, mã độc giải mã và thực thi một mẫu khác vẫn nằm trong Resource Directory. Cách hoạt động của hành vi này cụ thể gồm: load đoạn mã từ Resource Directory; Decrypt đoạn mã; sử dụng class Asembly để thực thi đoạn mã trên bộ nhớ.

Thực hiện lấy đoạn mã đã được decrypt từ trên bộ nhớ sẽ được một tệp có tên “SurveillanceExClientPlugin.dll” được viết bằng dotnet; và tiếp tục phân tích “SurveillanceExClientPlugin.dll”, các chuyên gia CyRadar nhận thấy rằng tệp mã độc này thực hiện các hành vi keylogger, lấy dữ liệu Clipboard, log DNS, sử dụng thuật toán nén LZMA hoặc TLD.

Dựa trên công nghệ Malware Graph của CyRadar, các chuyên gia của doanh nghiệp bảo mật này đã phát hiện được Server điều khiển ở đây liên quan đến khá nhiều tên miền, IP độc hại khác:

Các tên miền được sử dụng trong chiến dịch tấn công mới được phát hiện, dựa trên công nghệ Malware Graph của CyRadar.

Qua phân tích quá trình mã độc gián điệp cũ NanoCore thực hiện chiến dịch tấn công mới, CyRadar khuyến nghị các cơ quan, tổ chức, doanh nghiệp và người dùng cá nhân cần cảnh giác và kiểm tra kỹ email được nhận cũng như các tệp hoặc link đính kèm trong email đó.

Cụ thể, với người dùng cá nhân, người dùng cần sử dụng và thường xuyên cập nhật phần mềm diệt virus mới nhất. Đối với các doanh nghiệp, tổ chức, các đơn vị cần sử dụng các công nghệ scan email để ngăn chặn các chiến dịch tấn công qua email; đồng thời, sử dụng các công nghệ giám sát mạng để phát hiện kịp thời máy tính có dấu hiệu bị tấn công.