Trojan StreamSpy

Việc bảo vệ thiết bị cá nhân và nơi làm việc khỏi phần mềm độc hại hiện đại đang trở nên quan trọng hơn bao giờ hết, bởi các mối đe dọa ngày nay không chỉ được thiết kế để đánh cắp thông tin mà còn âm thầm mở rộng phạm vi tiếp cận của kẻ tấn công vào sâu trong hệ thống đã bị xâm nhập. Một trong những ví dụ gần đây nhất là StreamSpy, một Trojan đa tầng có liên hệ với nhóm Patchwork (APT-Q-36). Thiết kế dạng mô-đun, phương thức giao tiếp bí mật và bộ tính năng đa dạng của nó khiến nó trở thành một mối lo ngại nghiêm trọng về bảo mật.

Một cửa hậu lén lút với các kênh truyền thông tiên tiến

StreamSpy nổi bật vì sử dụng cả WebSocket và HTTP để giao tiếp với máy chủ lệnh. Các kênh WebSocket truyền tải lệnh và truyền kết quả về cho kẻ tấn công gần như theo thời gian thực, trong khi HTTP xử lý các luồng dữ liệu lớn hơn như tệp đã tải lên hoặc tải xuống. Điều này tương tự như hành vi được thấy trong trình tải xuống Spyder, cho thấy các kỹ thuật phát triển chung hoặc sự tiến hóa của các công cụ hiện có.

Trước khi thực hiện bất kỳ hành động độc hại nào, Trojan sẽ mở khóa một tập hợp các giá trị cấu hình được nhúng sẵn. Các thiết lập này sẽ hướng dẫn hành vi giao tiếp của nó, cung cấp các tham số nhận dạng và xác định các phương thức tồn tại mà nó sẽ sử dụng để tồn tại sau khi khởi động lại hệ thống.

Hồ sơ hệ thống và nhận dạng nạn nhân

Sau khi kích hoạt, StreamSpy sẽ thực hiện quét sâu hệ thống bị nhiễm. Nó thu thập siêu dữ liệu máy chủ như tên thiết bị, người dùng hiện tại, phiên bản hệ điều hành, các công cụ diệt virus đã cài đặt, mã định danh phần cứng và các chi tiết môi trường khác. Từ thông tin này, nó tạo ra một ID nạn nhân duy nhất và gửi đến máy chủ của kẻ tấn công, cho phép kẻ tấn công theo dõi từng trường hợp nhiễm trùng trong chiến dịch của chúng.

Để đảm bảo tự động khởi chạy, Trojan cài đặt cơ chế duy trì bằng cách sử dụng các tác vụ theo lịch trình, khóa chạy sổ đăng ký hoặc phím tắt khởi động.

Một loạt các lệnh từ xa

StreamSpy hỗ trợ một bộ lệnh mở rộng cho phép kẻ tấn công tương tác với môi trường bị nhiễm theo những cách linh hoạt và có tính xâm nhập cao. Một số tính năng gây hại nhất của nó bao gồm:

1. Khả năng thực hiện và triển khai

• Chạy các lệnh tùy ý với cmd.exe hoặc PowerShell, cấp quyền kiểm soát hoàn toàn các chức năng hệ thống
• Tải xuống và khởi chạy các tải trọng bổ sung, bao gồm các tệp ZIP được mã hóa mà nó giải mã và triển khai cục bộ

2. Thao tác tệp và liệt kê thiết bị

• Tải lên hoặc đánh cắp các tập tin vào hoặc ra khỏi máy bị xâm phạm
• Đổi tên hoặc xóa tệp để ẩn hoạt động hoặc chuẩn bị các giai đoạn theo dõi
• Kiểm tra tất cả các thiết bị lưu trữ được kết nối, bao gồm dung lượng, hệ thống tệp và các thuộc tính ổ đĩa di động

Những tính năng này khiến StreamSpy trở thành công cụ hiệu quả cho hoạt động do thám, di chuyển ngang, đánh cắp dữ liệu và truy cập lâu dài.

Giao hàng qua kho lưu trữ ZIP lừa đảo

Các nhà điều tra đã xác nhận StreamSpy lây lan qua các tệp ZIP độc hại. Một trường hợp đã biết liên quan đến tệp có tên 'OPS-VII-SIR.zip' được lưu trữ trên máy chủ bên ngoài. Tệp chứa:

• Tệp thực thi StreamSpy được ngụy trang bằng biểu tượng theo phong cách PDF
• Thêm tài liệu PDF hợp pháp để làm cho kho lưu trữ trông vô hại

Kỹ thuật này dựa trên kỹ thuật xã hội. Người dùng mở tệp lưu trữ, thấy các tài liệu trông có vẻ hợp pháp và vô tình khởi chạy phần mềm độc hại được ngụy trang. Tệp mồi ban đầu có thể được phân phối qua nhiều kênh, bao gồm các trang web lừa đảo, email giả mạo, quảng cáo độc hại, tin nhắn trực tiếp hoặc bài đăng trên mạng xã hội.

Một mối đe dọa nghiêm trọng cần phải loại bỏ ngay lập tức

Với khả năng đa dạng, StreamSpy cho phép kẻ tấn công đánh cắp dữ liệu nhạy cảm, triển khai thêm phần mềm độc hại, can thiệp vào các tệp và có khả năng chiếm đoạt tài khoản hoặc danh tính. Sự hiện diện của nó trên thiết bị khiến nạn nhân phải đối mặt với những rủi ro đáng kể, bao gồm tổn thất tài chính và xâm phạm dữ liệu. Nếu bị phát hiện, cần loại bỏ ngay lập tức bằng các công cụ bảo mật uy tín và quy trình dọn dẹp hệ thống kỹ lưỡng.

Việc luôn cảnh giác với các tệp đáng ngờ, tệp ZIP bất ngờ và các thông tin liên lạc không mong muốn là điều cần thiết. Khi các mối đe dọa như StreamSpy ngày càng trở nên đáng sợ, việc nâng cao nhận thức của người dùng vẫn là một trong những biện pháp phòng vệ hiệu quả nhất.