Phần mềm độc hại TransferLoader

Các nhà nghiên cứu bảo mật đang tìm ra mối liên hệ giữa những kẻ khét tiếng đứng sau RomCom RAT và một trình tải phần mềm độc hại có tên TransferLoader. Chiến dịch này, nhắm vào các thực thể có các cuộc tấn công gián điệp và ransomware, làm nổi bật các kỹ thuật tinh vi và cơ sở hạ tầng chồng chéo đòi hỏi phải giám sát chặt chẽ.

Hai nhóm tác nhân đe dọa: TA829 và UNK_GreenSec

Các nhà nghiên cứu an ninh mạng đã quy kết hoạt động liên quan đến TransferLoader cho hai nhóm tác nhân đe dọa chính:

• TA829, cũng được theo dõi dưới các bí danh như RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596 và Void Rabisu.
• UNK_GreenSec, một cụm ít được biết đến hơn hoạt động song song với các chiến thuật tương tự.

TA829 đặc biệt đáng chú ý vì các hoạt động lai ghép, kết hợp hoạt động gián điệp và các cuộc tấn công có động cơ tài chính. Nhóm liên kết với Nga này trước đây đã tận dụng các lỗ hổng zero-day trong Mozilla Firefox và Microsoft Windows để triển khai RomCom RAT, nhắm vào các tổ chức toàn cầu có giá trị cao.

TransferLoader: Sự xuất hiện và vai trò trong các chiến dịch phần mềm độc hại

TransferLoader lần đầu tiên được xác định vào tháng 2 năm 2025 trong một chiến dịch liên quan đến ransomware Morpheus, một phiên bản đổi tên của ransomware HellCat. Phần mềm độc hại này được sử dụng chống lại một công ty luật không tên có trụ sở tại Hoa Kỳ. Không giống như RomCom, TransferLoader chủ yếu hoạt động như một cơ chế phân phối ẩn danh, cho phép triển khai các phần mềm độc hại bổ sung như Metasploit và Morpheus.

Nhiệm vụ của TransferLoader rất đơn giản: không bị phát hiện và tiếp tục phát tán phần mềm độc hại.

Khai thác cơ sở hạ tầng Proxy REM

Cả TA829 và UNK_GreenSec đều dựa vào dịch vụ REM Proxy, thường được lưu trữ trên các bộ định tuyến MikroTik bị xâm phạm. Các proxy này được sử dụng để định tuyến lưu lượng độc hại, che giấu nguồn gốc thực sự của nó. Các nhóm sử dụng cơ sở hạ tầng này để:

• Gửi email lừa đảo qua các dịch vụ email miễn phí (ví dụ: Gmail, ukr.net)
• Chuyển tiếp lưu lượng để ẩn hoạt động ngược dòng
• Khởi chạy chiến dịch bằng cả tài khoản email mới tạo và tài khoản email bị xâm phạm

Các nhà nghiên cứu nghi ngờ việc sử dụng các công cụ xây dựng email tạo hàng loạt địa chỉ người gửi như ximajazehox333@gmail.com và hannahsilva1978@ukr.net để phát tán thư lừa đảo.

Cơ chế lừa đảo và phân phối tải trọng

Các tin nhắn lừa đảo được gửi bởi cả hai nhóm thường chứa các liên kết được nhúng trong nội dung email hoặc tệp đính kèm PDF. Các nạn nhân nhấp vào các liên kết này sẽ phải chịu một chuỗi chuyển hướng qua Rebrandly, cuối cùng dẫn đến các trang Google Drive hoặc Microsoft OneDrive giả mạo. Các chuyển hướng này bao gồm các cơ chế để:

• Bỏ qua môi trường hộp cát
• Lọc ra các hệ thống không quan tâm
• Cung cấp các tải trọng cuối cùng khác nhau tùy thuộc vào nhóm đe dọa

Đường tấn công phân kỳ :

• UNK_GreenSec sử dụng tuyến đường này để triển khai TransferLoader
• TA829 chuyển hướng mục tiêu đến phần mềm độc hại SlipScreen

Công cụ và cơ sở hạ tầng được chia sẻ

Cả hai nhóm diễn viên đều thể hiện các bộ công cụ và lựa chọn cơ sở hạ tầng chồng chéo:

• Sử dụng tiện ích PLINK của PuTTY để thiết lập đường hầm SSH
• Lưu trữ các tiện ích độc hại trên các dịch vụ IPFS (Hệ thống tệp liên hành tinh)
• Tận dụng các điểm cuối chuyển hướng động dựa trên PHP để lọc lưu lượng truy cập

Những phương pháp chung này cho thấy khả năng phối hợp hoặc áp dụng chung các chiến thuật hiệu quả.

Chủ đề Kỹ thuật xã hội và Chiến thuật phân phối

Các chiến dịch liên quan đến TransferLoader thường ngụy trang thành email tuyển dụng, dụ dỗ nạn nhân bằng các liên kết được cho là dẫn đến sơ yếu lý lịch PDF. Trên thực tế, liên kết kích hoạt tải xuống TransferLoader được lưu trữ trên webshares IPFS.

Điểm nổi bật về kỹ thuật chính của hoạt động TransferLoader

Tránh bị phát hiện – Sử dụng chuyển hướng, lọc và lưu trữ phi tập trung để vượt qua các biện pháp phòng thủ truyền thống.

Payload Delivery – Hoạt động như một trình tải phần mềm độc hại nguy hiểm hơn, bao gồm cả phần mềm tống tiền và các công cụ truy cập từ xa.

Kỹ thuật khác biệt – Sử dụng cấu trúc chuyển hướng độc đáo (điểm cuối JavaScript tới PHP) để hỗ trợ phân phối nội dung động.

Kết luận: Hiểu về mối đe dọa TransferLoader

TransferLoader là mối đe dọa đáng kể vì là trình tải ẩn có khả năng cho phép các cuộc tấn công có tác động lớn. Việc sử dụng nó bởi cả UNK_GreenSec và TA829 minh họa cách các nhóm tội phạm mạng tiếp tục đổi mới, chia sẻ công cụ và khai thác cơ sở hạ tầng phi tập trung để tránh bị phát hiện và đạt được mục tiêu của chúng.

Các dấu hiệu của mối đe dọa TransferLoader bao gồm:

• Sử dụng dịch vụ REM Proxy
• Email thu hút sự tham khảo đơn xin việc hoặc sơ yếu lý lịch
• Chuyển hướng chuỗi liên quan đến liên kết Rebrandly
• Tải trọng được lưu trữ trên nền tảng dựa trên IPFS

Các tổ chức phải luôn cảnh giác, triển khai biện pháp lọc email và web mạnh mẽ, đồng thời liên tục theo dõi hành vi bất thường của mạng liên quan đến các chiến thuật này.