Phần mềm độc hại VOID#GEIST

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch phần mềm độc hại đa giai đoạn tinh vi, dựa vào các tập lệnh hàng loạt để phân phối các phần mềm độc hại truy cập từ xa (RAT) được mã hóa. Chiến dịch này, được xác định là VOID#GEIST, triển khai một số họ RAT, bao gồm XWorm, AsyncRAT và Xeno RAT.

Chuỗi tấn công lợi dụng một tập lệnh hàng loạt được mã hóa để khởi tạo một chuỗi các hành động được thiết kế nhằm tránh bị phát hiện. Các hành động này bao gồm khởi chạy một tập lệnh hàng loạt khác, thiết lập một môi trường chạy Python nhúng hợp pháp và giải mã các payload shellcode được mã hóa. Shellcode được thực thi trực tiếp trong bộ nhớ sau khi được tiêm vào các phiên bản riêng biệt của tiến trình Windows explorer.exe bằng kỹ thuật được gọi là tiêm Early Bird Asynchronous Procedure Call (APC).

Phân phối phần mềm độc hại dựa trên kịch bản: Một mô hình mối đe dọa hiện đại

Các tác nhân đe dọa hiện đại ngày càng từ bỏ phần mềm độc hại thực thi độc lập truyền thống để chuyển sang các khung phân phối dựa trên kịch bản, nhiều lớp, bắt chước hành vi của người dùng hợp pháp. Thay vì triển khai các tệp nhị phân thực thi di động (PE) thông thường, kẻ tấn công dàn dựng các đường dẫn đa thành phần kết hợp nhiều công nghệ và môi trường kịch bản hợp pháp.

Các thành phần điển hình được sử dụng trong các khuôn khổ này bao gồm:

• Các tập lệnh hàng loạt được sử dụng để điều phối trình tự lây nhiễm.
• Các lệnh PowerShell hỗ trợ triển khai tải trọng bí mật.
• Các môi trường thực thi hợp pháp được nhúng sẵn đảm bảo tính tương thích giữa các hệ thống.
• Mã shellcode thô được thực thi trực tiếp trong bộ nhớ để duy trì tính liên tục và khả năng kiểm soát.

Phương pháp thực thi không cần tệp này làm giảm đáng kể cơ hội bị phát hiện dựa trên ổ đĩa. Mỗi giai đoạn riêng lẻ dường như tương đối vô hại khi được xem xét độc lập và thường giống với các hoạt động quản trị thông thường, cho phép các tác nhân đe dọa hoạt động trong môi trường bị xâm nhập mà không gây ra cảnh báo bảo mật ngay lập tức.

Truy cập ban đầu thông qua tấn công lừa đảo và cơ sở hạ tầng Cloudflare.

Cuộc tấn công bắt đầu bằng một tập lệnh hàng loạt độc hại được gửi qua email lừa đảo. Tập lệnh này được lấy từ cơ sở hạ tầng được lưu trữ trên miền TryCloudflare. Sau khi được thực thi, tập lệnh cố tình tránh các nỗ lực leo thang đặc quyền và thay vào đó hoạt động nghiêm ngặt trong phạm vi quyền hạn của người dùng hiện đang đăng nhập.

Chiến lược này cho phép phần mềm độc hại thiết lập chỗ đứng ban đầu trong khi hòa nhập vào các hoạt động thường ngày ở cấp độ người dùng. Bằng cách tránh các hành động yêu cầu quyền quản trị cao, cuộc tấn công giảm khả năng kích hoạt cảnh báo bảo mật hoặc lời nhắc quản trị.

Các kỹ thuật đánh lạc hướng thị giác và thực hiện lén lút

Sau khi thực thi, giai đoạn đầu tiên của phần mềm độc hại sẽ khởi chạy một tài liệu giả mạo để đánh lạc hướng nạn nhân. Trình duyệt Google Chrome sẽ được mở ở chế độ toàn màn hình để hiển thị một tài liệu tài chính hoặc hóa đơn dưới dạng PDF. Trong khi người dùng tập trung vào tài liệu, hoạt động độc hại vẫn tiếp diễn trong nền.

Đồng thời, một lệnh PowerShell được thực thi để khởi chạy lại tập lệnh batch gốc với các tham số thực thi ẩn. Việc sử dụng tham số -WindowStyle Hidden ngăn không cho cửa sổ console hiển thị, đảm bảo hoạt động độc hại vẫn được che giấu khỏi người dùng.

Duy trì hoạt động thông qua quá trình thực thi khởi động ở cấp người dùng

Để duy trì sự hiện diện sau khi hệ thống khởi động lại, phần mềm độc hại triển khai một tập lệnh hàng loạt phụ trợ vào thư mục Khởi động của người dùng Windows. Vị trí này đảm bảo rằng tập lệnh sẽ tự động được thực thi mỗi khi nạn nhân đăng nhập vào hệ thống.

Cơ chế duy trì này được thiết kế một cách tinh vi. Thay vì sử dụng các kỹ thuật xâm nhập hơn như sửa đổi các khóa đăng ký hệ thống, tạo tác vụ theo lịch trình hoặc cài đặt dịch vụ, phần mềm độc hại chỉ dựa vào hành vi khởi động tiêu chuẩn ở cấp độ người dùng. Bởi vì phương pháp này hoạt động hoàn toàn trong phạm vi quyền hạn của người dùng hiện tại, nó tránh kích hoạt các lời nhắc leo thang đặc quyền và giảm khả năng bị phát hiện bởi các công cụ giám sát đăng ký.

Khung giải mã và truy xuất dữ liệu

Trong giai đoạn tiếp theo của chuỗi lây nhiễm, phần mềm độc hại liên hệ với tên miền TryCloudflare để lấy thêm các thành phần tải trọng được đóng gói trong các tệp lưu trữ ZIP. Các tệp lưu trữ này chứa các mô-đun cần thiết để giải mã và thực thi các tải trọng phần mềm độc hại cuối cùng.

Tệp lưu trữ đã tải xuống thường bao gồm các thành phần sau:

• runn.py – một trình tải dựa trên Python chịu trách nhiệm giải mã và chèn các mô-đun shellcode được mã hóa vào bộ nhớ.
• new.bin – mã shellcode được mã hóa liên quan đến XWorm
• xn.bin – mã shellcode được mã hóa tương ứng với Xeno RAT
• pul.bin – mã shellcode được mã hóa tương ứng với AsyncRAT
• a.json, n.json và p.json – các tệp khóa được trình tải Python sử dụng để giải mã động các payload shellcode trong quá trình thực thi.

Thiết kế dạng mô-đun này cho phép kẻ tấn công chuẩn bị các loại mã độc khác nhau một cách độc lập và chỉ kích hoạt chúng khi cần thiết.

Môi trường chạy Python nhúng cho tính di động và khả năng ẩn danh

Sau khi giải nén tệp lưu trữ, phần mềm độc hại sẽ triển khai một môi trường chạy Python nhúng hợp pháp được lấy trực tiếp từ python.org. Việc nhúng một trình thông dịch hợp pháp giúp loại bỏ sự phụ thuộc vào bất kỳ cài đặt Python nào có thể đã tồn tại trên hệ thống bị xâm nhập.

Từ góc độ của kẻ tấn công, bước này mang lại một số lợi thế chiến lược. Phần mềm độc hại trở thành một môi trường thực thi khép kín, có khả năng giải mã và tiêm mã độc mà không cần phụ thuộc vào các thành phần bên ngoài. Điều này cải thiện khả năng tương thích giữa các hệ thống khác nhau, tăng cường độ tin cậy và góp phần vào khả năng hoạt động bí mật bằng cách sử dụng các thành phần phần mềm hợp pháp.

Thực thi nhiều tải trọng RAT trong bộ nhớ

Môi trường chạy Python nhúng sau đó được sử dụng để thực thi tập lệnh tải runn.py. Tập lệnh tải giải mã shellcode liên kết với XWorm và tiêm nó vào một phiên bản explorer.exe đang chạy bằng cách sử dụng phương pháp tiêm Early Bird APC.

Để triển khai Xeno RAT, phần mềm độc hại này sử dụng một tệp nhị phân hợp pháp của Microsoft có tên là AppInstallerPythonRedirector.exe, được dùng để gọi Python và thực thi các thành phần cần thiết. Kỹ thuật tiêm mã tương tự sau đó được sử dụng lại để triển khai AsyncRAT, đảm bảo rằng tất cả các payload được thực thi hoàn toàn trong bộ nhớ mà không để lại các tệp thực thi truyền thống trên ổ đĩa.

Hệ thống tín hiệu chỉ huy và kiểm soát cùng kiến trúc mô-đun

Giai đoạn cuối cùng của cuộc tấn công bao gồm việc gửi một tín hiệu HTTP tối thiểu đến cơ sở hạ tầng Chỉ huy và Kiểm soát (C2) do kẻ tấn công điều khiển, được lưu trữ trên TryCloudflare. Tín hiệu này xác nhận rằng hệ thống đã bị xâm nhập thành công và sẵn sàng nhận các chỉ thị tiếp theo.

Mặc dù mục tiêu cụ thể của chiến dịch vẫn chưa được biết, chuỗi lây nhiễm cho thấy một kiến trúc có tính mô-đun cao. Thay vì triển khai một phần mềm độc hại lớn duy nhất, những kẻ tấn công đưa các thành phần vào từng bước một qua nhiều giai đoạn. Thiết kế này giúp cải thiện tính linh hoạt và khả năng phục hồi trong hoạt động.

Từ góc độ phát hiện, một dấu hiệu hành vi đáng chú ý xuất hiện xuyên suốt chiến dịch: việc liên tục tiêm mã độc vào explorer.exe trong khoảng thời gian ngắn. Mô hình này có thể đóng vai trò là tín hiệu mạnh mẽ giúp các chuyên gia phòng thủ liên kết các hoạt động đáng ngờ ở các giai đoạn khác nhau của vòng đời tấn công.