Phần mềm tống tiền Charon

Các chuyên gia an ninh mạng đã phát hiện một chiến dịch ransomware mới, lợi dụng một chủng mã độc chưa từng được biết đến trước đây có tên Charon, nhắm mục tiêu cụ thể vào khu vực công và ngành hàng không ở Trung Đông. Chiến dịch này thể hiện mức độ tinh vi cao, với các chiến thuật thường liên quan đến các tác nhân tấn công APT (mối đe dọa dai dẳng cấp cao).

Mượn chiến thuật từ sổ tay chiến thuật APT

Những kẻ tấn công đã sử dụng các kỹ thuật tiên tiến như tải DLL bên, chèn quy trình và các thao tác né tránh được thiết kế để vượt qua các công cụ phát hiện và phản hồi điểm cuối (EDR). Đáng chú ý, phương pháp tải DLL bên tương tự như các phương pháp được quan sát thấy trong các cuộc tấn công của Earth Baxia, một nhóm tin tặc có liên hệ với Trung Quốc, nổi tiếng với việc nhắm mục tiêu vào các cơ quan chính phủ ở Đài Loan và khu vực Châu Á - Thái Bình Dương.

Trong những vụ việc trước đó, Earth Baxia đã khai thác một lỗ hổng hiện đã được vá trong OSGeo GeoServer GeoTools để triển khai một backdoor có tên là EAGLEDOOR. Trong trường hợp Charon, cuộc tấn công đã sử dụng một tệp hợp lệ, Edge.exe (ban đầu là cookie_exporter.exe), để tải một tệp msedge.dll độc hại có tên là SWORDLDR, sau đó triển khai payload ransomware Charon.

Khả năng của Charon Ransomware

Sau khi được triển khai, Charon hoạt động giống như các biến thể ransomware phá hoại khác, nhưng được tối ưu hóa để vừa gây gián đoạn vừa hiệu quả. Nó có thể:

• Chấm dứt các dịch vụ liên quan đến bảo mật và các quy trình đang hoạt động.
• Xóa các bản sao lưu và bản sao ẩn để cản trở quá trình khôi phục.
• Sử dụng đa luồng và mã hóa một phần để khóa tệp nhanh hơn.

Một tính năng thú vị khác là việc tích hợp trình điều khiển được biên dịch từ dự án mã nguồn mở Dark-Kill. Điều này cho phép tấn công bằng cách sử dụng trình điều khiển dễ bị tấn công (BYOVD) để vô hiệu hóa các công cụ EDR. Tuy nhiên, các nhà nghiên cứu phát hiện ra rằng tính năng này vẫn chưa hoạt động, cho thấy nó vẫn đang được phát triển.

Dấu hiệu của một hoạt động có mục tiêu

Các nhà điều tra tin rằng chiến dịch này là có chủ đích chứ không phải là cơ hội. Kết luận này dựa trên sự hiện diện của một ghi chú đòi tiền chuộc được tùy chỉnh để đề cập đến tên tổ chức nạn nhân, một điều hiếm gặp trong các vụ tấn công ransomware thông thường. Phương pháp được sử dụng để truy cập ban đầu vẫn chưa được biết.

Sự quy kết không chắc chắn

Mặc dù các kỹ thuật của Charon có nhiều điểm tương đồng với hoạt động của Earth Baxia, nhưng các chuyên gia cảnh báo rằng sự trùng lặp này có thể chỉ ra:

• Sự tham gia trực tiếp của Earth Baxia.

• Một chiến dịch đánh cờ giả được thiết kế để mô phỏng Earth Baxia.

• Một nhóm mới độc lập phát triển các chiến thuật tương tự.

Nếu không có bằng chứng rõ ràng như cơ sở hạ tầng chung hoặc mô hình nhắm mục tiêu nhất quán, mối liên hệ này vẫn chỉ mang tính suy đoán.

Sự hội tụ ngày càng tăng của tội phạm mạng và chiến thuật quốc gia

Sự cố này nhấn mạnh một xu hướng đáng lo ngại: các nhóm ransomware đang ngày càng áp dụng các phương pháp tấn công cấp độ APT để xâm nhập và lẩn tránh. Sự kết hợp giữa các thủ đoạn tinh vi với thiệt hại tài chính và hoạt động tức thời do mã hóa ransomware gây ra làm gia tăng đáng kể rủi ro cho các tổ chức bị nhắm mục tiêu.