Kể từ tháng 3/2024, các nhà nghiên cứu của công ty an ninh mạng Zscaler đã phát hiện một nhóm tin tặc sử dụng các tên miền giả để mạo danh các trang web quét IP hợp pháp nhằm phát tán backdoor có tên là MadMxShell. Những kẻ tấn công đăng ký nhiều tên miền trông giống nhau bằng cách sử dụng kỹ thuật Typosquatting và tận dụng quảng cáo Google Ads để đẩy các tên miền này lên đầu kết quả tìm kiếm, từ đó thu hút nạn nhân truy cập các trang web độc hại. Bài viết sẽ tiến hành phân tích kỹ thuật và cơ sở hạ tầng của các tác nhân đe dọa trong chiến dịch này dựa trên báo cáo của Zscaler.

TỔNG QUAN        

Typosquatting hay còn được gọi là chiếm quyền URL, làm nhiễm độc trang web hoặc giả mạo URL, là một hình thức tấn công chiếm dụng tên miền (cybersquatting). Kiểu tấn công này dựa trên những lỗi đánh máy, lỗi chính tả của người dùng khi nhập địa chỉ trang web vào trình duyệt. Nếu nhập sai địa chỉ trang web, người dùng có nguy cơ truy cập đến một trang web lừa đảo, chứa mã độc hay quảng cáo.

Như đã đề cập, kẻ tấn công đã lạm dụng Google Ads để thực hiện chiến dịch quảng cáo độc hại nhằm cố gắng đẩy các trang web độc hại của chúng lên đầu các kết quả tìm kiếm. Việc lây nhiễm thành công sẽ dẫn đến việc phát tán phần mềm độc hại MadMxShell chưa từng được biết trước đó.

Theo các nhà nghiên cứu, MadMxShell là một backdoor sử dụng các kỹ thuật như DLL sideloading và tạo đường hầm DNS để liên lạc bằng kết nối từ máy chủ điều khiển và ra lệnh (C2) như một cách thức để lẩn tránh các giải pháp bảo mật mạng và điểm cuối tương ứng.

Việc kẻ tấn công lựa chọn ứng dụng, phần mềm giả mạo cho thấy mục tiêu của chúng có thể bao gồm các chuyên viên công nghệ thông tin (CNTT), đặc biệt là những người có vai trò quản trị mạng và bảo mật CNTT trong các tổ chức. Điều này phù hợp với xu hướng gần đây được quan sát thấy khi các nhóm tin tặc APT, chẳng hạn như NOBELIUM, đã thực hiện các cuộc tấn công nhắm đến đối tượng này.

Với đặc quyền truy cập vào các hệ thống và mạng nội bộ, các nhóm quản trị mạng và bảo mật CNTT là mục tiêu “hấp dẫn” đối với cả nhóm tin tặc. Mặc dù, chưa thể xác định chiến dịch tấn công này cho một tác nhân đe dọa cụ thể, nhưng điều quan trọng là phải nêu bật xu hướng mới nổi này.

Các tin tặc trước đây đã lợi dụng quảng cáo độc hại của Google để phát tán các phiên bản lây nhiễm Trojan của một ứng dụng quét mạng có tên Advanced IP Scanner. Mặc dù chiến dịch trong bài viết này sử dụng phương pháp phân phối tương tự nhưng phạm vi phần mềm giả mạo đã được mở rộng ra ngoài Advanced IP Scanner.

PHÂN TÍCH KỸ THUẬT

Hình 1. Minh họa chuỗi tấn công trong chiến dịch

Chuỗi tấn công bắt đầu bằng các quảng cáo độc hại, tiếp theo là nhiều giai đoạn trung gian của kỹ thuật DLL sideloading và cuối cùng là tạo đường hầm DNS tới máy chủ C2.

Chiến dịch quảng cáo độc hại

Phương thức hoạt động của kẻ tấn công bao gồm việc đăng ký nhiều tên miền trông có vẻ như giống nhau để giả mạo các ứng dụng, phần mềm quét cổng phổ biến và đẩy chúng lên đầu kết quả tìm kiếm của Google bằng cách chạy Google Ads. Kỹ thuật này được biết đến rộng rãi như là quảng cáo độc hại.

Trong quá trình phân tích, các nhà nghiên cứu đã quan sát thấy người dùng gặp phải những quảng cáo này khi họ tìm kiếm những từ khóa có liên quan đến những phần mềm sau: Advanced IP Scanner, Angry IP Scanner, PRTG IP Scanner by Paessler và Manage Engine.

Hình 2 hiển thị thông tin chi tiết về chiến dịch Google Ads do kẻ tấn công thực hiện vào tháng 3/2024 đối với một trong các tên miền độc hại. Trong đó, tên miền được đề cập là Advanced-ip-scanz[.]net và từ khóa tìm kiếm là: “advanced ip scanner” và “ip address scanner”.

Hình 2. Thông tin chi tiết về chiến dịch Google Ads vào tháng 3/2024 đối với tên miền độc hại Advanced-ip-scanz[.]net

Sau khi người dùng nhấp vào bất kỳ quảng cáo Google Ads nào do kẻ tấn công kiểm soát, họ sẽ được chuyển hướng đến một trang web tương tự dành cho phần mềm quét IP tương ứng.

Trang web độc hại

Các tin tặc đã đăng ký nhiều trang web giả dạng các ứng dụng, phần mềm quét cổng và IP phổ biến hiện nay. Một trong số đó là advansed-ip-scanner[.]net, đây là một trang web trông giống với phần mềm quét IP hợp pháp là www[.]advanced-ip-scanner[.]com.

Mã nguồn hoàn chỉnh của trang web lừa đảo có vẻ tương tự như trang web chính thống, ngoại trừ các chỉnh sửa nhỏ do kẻ tấn công thực hiện đối với mã JavaScript (JS) nhằm chuyển hướng người dùng tải xuống tệp độc hại khi họ nhấp vào nút tải xuống (download).

Hình 3 cho thấy sự so sánh giữa mã JS bị thay đổi từ tệp độc hại và trang web hợp pháp ban đầu. Hàm createFunctionWithTimeout đã được sửa đổi để chuyển hướng người dùng tải xuống tệp lưu trữ ZIP độc hại từ URL sau: advansed-ip-scanner[.]net/yftyudruo.php.

Hình 3. So sánh mã JS giữa hàm createFunctionWithTimeout của trang web hợp pháp và mã của trang web độc hại.

PHÂN TÍCH BACKDOOR

Giai đoạn 1: Lây nhiễm

Các nhà nghiên cứu phân tích trên kho lưu trữ ZIP Advanced-ip-scanner.zip (SHA256:7966ee1ae9042e7345a55aa98ddeb4f39133216438d67461c7ee39864292e015). Kho lưu trữ này chứa hai tệp là Advanced-ip-scanner và IVIEWERS.dll - một tệp có dung lượng 22 MB, chứa payload giai đoạn thứ hai. Tệp DLL này bao gồm một lớp phủ (overlay) 10 MB chưa được sử dụng để ngăn việc rà quét bởi các giải phápp bảo mật có giới hạn kích thước của tệp được phân tích.

Khi Advanced-ip-scanner.exe được khởi chạy, nó sẽ tải IVIEWERS.dll để thực thi các shellcode được trích xuất từ ​​nhiều vị trí khác nhau trong phần .rsrc của DLL. Shellcode cuối cùng trích xuất và giải mã một tệp thực thi bằng khóa XOR 5dsadas435235bgdsgdfbvb3253453425345gfdsgfdgdf của DLL và lây nhiễm nó vào một tiến trình mới là Advanced-ip-scanner.exe thông qua kỹ thuật ẩn dấu tiến trình là Process Hollowing.

Giai đoạn 2: Dropper

Tệp EXE chứa payload giai đoạn tiếp theo trong ID 202 (Hình 4), được mã hóa bằng khóa XOR 8 byte F2 09 CD 2D 85 CD 1D A3 và nén lại bằng zlib. Mỗi byte mã hóa trong ID này được padding bằng 7 byte null, tạo ra một tệp 10 MB, đây có thể là một kỹ thuật anti-scanning.

Hình 4: Payload giai đoạn 3 được mã hóa và nén

Sau khi giải mã và giải nén, hai tệp OneDrive[.]exe và Secur32[.]dll, được nhúng vào đường dẫn %LOCALAPPDATA%\Microsoft\OneDrive\Update.

Giai đoạn 3: Trình khởi chạy (Launcher)

OneDrive[.]exe - một tệp EXE đã được ký số hợp pháp đã bị lạm dụng để tải Secur32[.]dll nhằm thiết lập tính bền vững trước khi thực thi shellcode. Dữ liệu từ Secur32.dll của ID 202 được giải mã XOR để lấy shellcode. Điều này được thể hiện trong Hình 5.

Hình 5. Payload được mã hóa

16 byte đầu tiên chứa khóa được mã hóa cho payload theo sau nó. Mỗi ký tự trong số 8 ký tự chữ thường đầu tiên (onedrive) của tên tệp tiến trình hiện tại được thêm vào mỗi byte thứ hai của khóa (được mã hóa) để lấy khóa XOR F2 78 CD 9B 85 32 1D 07 33 C4 A0 21 98 A2 95 E3, như minh họa trong Hình 6. Điều này ngăn cản việc giải mã chính xác payload giai đoạn tiếp theo nếu Secur32[.]dll không được tải bởi tiến trình OneDrive[.]exe.

Hình 6. Tạo khóa XOR để giải mã shellcode

Sau đó, phần mềm độc hại sẽ cố gắng vô hiệu hóa Windows Defender bằng cách cài đặt  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware thành 1 trong registry.

Nó sẽ cấu hình tác vụ có tên “OneDrive Update” thực thi %LOCALAPPDATA%\Microsoft\OneDrive\Update\OneDrive[.]exe khi người dùng hiện tại đăng nhập vào Windows trước khi chuyển hướng sang giai đoạn tiếp theo.

Giai đoạn 4: Backdoor

Shellcode là một backdoor cho phép kẻ tấn công thu thập thông tin hệ thống, thực thi các lệnh thông qua cmd[.]exe và thực hiện các thao tác như đọc, ghi và xóa tệp.

Để ngăn chặn việc phân tích và phát hiện, phần mềm độc hại giải mã code của từng chức năng bằng khóa XOR 8 byte F2 09 CD 2D 85 CD 1D A3 (cùng khóa được sử dụng trong giai đoạn 2), gọi hàm rồi mã hóa lại code ngay lập tức.

Trong Hình 7, đoạn mã code bên phải được giải mã từ byte gốc ở bên trái. Chúng ta có thể quan sát thấy rằng ngay cả sau khi giải mã, nó vẫn cần thực hiện thêm một bước giải mã hàm get_c2_domain trước khi có thể gọi nó.

Hàm code được mã hóa lại về trạng thái ban đầu trước khi tiếp tục thực thi. Điều này đảm bảo rằng không bao giờ có một bản sao shellcode được giải mã đầy đủ trong bộ nhớ tại bất kỳ thời điểm thực thi nào. Hầu hết các chuỗi và dữ liệu nhạy cảm, chẳng hạn như tên miền C2, bảng tra cứu để mã hóa/giải mã thông tin liên lạc C2 và khóa XOR nói trên, cũng được lưu trữ dưới dạng chuỗi ngăn xếp để cản trở việc phân tích.

Hình 7. Các byte chức năng trước và sau khi giải mã

Phần mềm độc hại tạo phiên ID 4 byte với API CryptGenRandom và ID nạn nhân bằng cách ghép số serial của ổ cứng, tên máy tính và tên người dùng, đồng thời lấy 8 byte đầu tiên của hàm băm MD5.

Giao thức C2

Phần mềm độc hại giao tiếp với máy chủ C2 litbolo[.]com bằng cách gửi yêu cầu và nhận lệnh được mã hóa trong các truy vấn và phản hồi DNS MX.

Hình 8. Sơ đồ mô tả vòng lặp giao tiếp MadMxShell C2

Đối với mỗi phiên, trước tiên phần mềm độc hại sẽ gửi yêu cầu đăng ký đến máy chủ C2. Sau khi máy chủ C2 xác nhận yêu cầu đăng ký, phần mềm độc hại sẽ gửi yêu cầu heartbeat đến máy chủ C2.

Tiếp đó, phần mềm độc hại xác nhận lệnh bằng yêu cầu xác nhận lệnh trước khi thực hiện lệnh được chỉ định. Sau khi hoàn thành, phần mềm độc hại gửi kết quả đến máy chủ C2. Cuối cùng, phần mềm độc hại lặp lại toàn bộ quá trình bằng cách gửi yêu cầu heartbeat để truy xuất lệnh tiếp theo.

Mã hóa dữ liệu

Phần mềm độc hại gửi yêu cầu đến máy chủ C2 bằng cách mã hóa dữ liệu trong các tên miền phụ của Fully Qualified Domain Name (FQDN) trong gói truy vấn DNS MX. C2 phản hồi tương tự bằng cách mã hóa các lệnh của nó dưới dạng các tên miền phụ trong gói phản hồi DNS MX tương ứng.

Mỗi byte dữ liệu nhị phân được chuyển đổi thành một cặp ký tự chữ và số bằng cách sử dụng sơ đồ mã hóa tùy chỉnh bao gồm bảng tra cứu 36 ký tự mã hóa cứng. Các khối gồm 60 ký tự chữ và số được phân tách bằng dấu “.” ký tự đại diện cho tên miền phụ.

Do phần mềm độc hại sử dụng tối đa 224 ký tự cho FQDN và tên miền C2 không thể mã hóa dữ liệu nên mỗi gói DNS chỉ có thể truyền tối đa 103 byte. Các yêu cầu và lệnh vượt quá kích thước này sẽ được chia thành nhiều gói DNS, đồng thời được gửi tuần tự sau khi phía bên kia xác nhận đã nhận được gói trước đó.

Có thể do băng thông của giao thức C2 bị hạn chế, phần mềm độc hại này được cấu hình với khoảng thời gian tương đối ngắn (3 giây) giữa các yêu cầu.

Về cơ sở hạ tầng

Phân tích của các nhà nghiên cứu bắt đầu với tên miền advansed-ip-scanner[.]net, đã hoạt động tại thời điểm phân tích và đang phân phối payload. Thông tin từ WHOIS về tên miền này cho biết địa chỉ email của kẻ tấn công được sử dụng để đăng ký là wh8842480@gmail.com.

Khi tìm kiếm reverse WHOIS bằng địa chỉ email này đã tiết lộ 45 tên miền được đăng ký từ tháng 11/2023 đến tháng 3/2024 để giả mạo nhiều ứng dụng, phần mềm quản lý CNTT và quét mạng khác nhau.

ĐÁNH GIÁ CỦA CÁC CHUYÊN GIA BẢO MẬT

Sarah Jones, nhà phân tích nghiên cứu tình báo mối đe dọa mạng tại công ty an ninh mạng Critical Start (Mỹ) cho biết, chiến dịch MadMxShell nổi bật như một backdoor trên Windows đặc biệt độc đáo và nguy hiểm vì cách tiếp cận đa hướng của nó. Jones cho biết không giống như hầu hết các backdoor tạo ra mạng lưới rộng, MadMxShell nhắm mục tiêu vào một nhóm cụ thể là các uản trị mạng và bảo mật CNTT.

Jones nhận định rằng các tin tặc đã sử dụng nhiều lớp che giấu, khiến việc phát hiện nội dung độc hại ẩn giấu bên trong trở nên cực kỳ khó khăn.

Trong khi đó, chuyên gia an ninh mạng Xen Madden tại hãng bảo mật Menlo Security (Mỹ) cho biết chúng ta có thể sẽ phải đối mặt với nhiều loại phần mềm độc hại sử dụng phương thức phân phối bằng các quảng cáo độc hại.

Giám đốc công ty an ninh mạng Cyware (Mỹ), ông Emily Phelps chia sẻ rằng không giống như quảng cáo độc hại truyền thống, có thể mở rộng sang các nỗ lực cài đặt và lừa đảo tương đối đơn giản, backdoor của Windows cung cấp quyền truy cập liên tục vào hệ thống của nạn nhân.

Phelps cho biết: “Backdoor này cho phép kẻ tấn công truy cập trái phép vào hệ thống máy tính của nạn nhân, có khả năng dẫn đến đánh cắp dữ liệu, giám sát và phát tán phần mềm độc hại. Khả năng điều khiển hệ thống từ xa có thể cho phép kẻ tấn công thao túng hoặc làm gián đoạn hoạt động, giả mạo rủi ro bảo mật đối với mạng cá nhân, doanh nghiệp và chính phủ cũng có thể gặp khó khăn trong việc phát hiện và loại bỏ các backdoor sau khi được cài đặt, khiến các hệ thống bị nhiễm dễ bị khai thác liên tục”.

KẾT LUẬN

Mối đe dọa trong chiến dịch tấn công này thể hiện các chiến thuật, kỹ thuật và quy trình nâng cao, thể hiện sự tập trung đến việc nhắm mục tiêu vào người dùng trong nhóm quản trị mạng và bảo mật CNTT.

Các nhà nghiên cứu khuyến nghị người dùng nên tuân theo các phương pháp bảo mật tốt nhất và thận trọng khi nhấp vào các liên kết xuất hiện trong kết quả của công cụ tìm kiếm Google. Người dùng cũng phải đảm bảo chỉ tải xuống phần mềm từ trang web chính thức của nhà phát triển.

TÀI LIỆU THAM KHẢO https://www.zscaler.com/blogs/security-research/malvertising-campaign-targeting-it-teams-madmxshell https://www.scmagazine.com/news/madmxshell-leverages-google-ads-to-deploy-malware-via-windows-backdoor