Tổng quan

Vào tháng 7/2021, một chiến dịch tấn công mạng quy mô lớn đã được các tin tặc Awaken Likho (hay còn được gọi với cái tên Core Werewolf) thực hiện với mục tiêu chính nhắm vào các cơ quan chính phủ và doanh nghiệp của Nga. Qua theo dõi và phân tích, các nhà nghiên cứu của hãng bảo mật Kaspersky đã công bố chiến dịch mới đây của nhóm tin tặc này tiếp tục nhắm mục tiêu vào các cơ quan chính phủ, các nhà thầu và doanh nghiệp tại Nga, cho thấy thời điểm hoạt động bắt đầu từ tháng 6 và vẫn tiếp tục ít nhất đến tháng 8/2024. 

Nhóm tin tặc Awaken Likho đã thay đổi đáng kể phần mềm mà chúng sử dụng trong các cuộc tấn công và có xu hướng sử dụng agent cho nền tảng MeshCentral hợp pháp thay vì mô-đun UltraVNC mà chúng đã sử dụng trước đó để truy cập từ xa vào các hệ thống.

Chi tiết kỹ thuật

Trong quá trình điều tra, Kaspersky đã xác định được một phần mềm độc hại mới của nhóm Awaken Likho. Dựa trên dữ liệu đo từ xa, các nhà nghiên cứu kết luận rằng phần mềm độc hại này đã được cài đặt trên thiết bị của nạn nhân thông qua một URL độc hại đính kèm trong các email lừa đảo.

Các tin tặc Awaken Likho thường sử dụng các công cụ tìm kiếm để thu thập càng nhiều thông tin càng tốt về nạn nhân của chúng. Ngoài ra, các cuộc tấn công trước đây, các tin tặc đã sử dụng Golang dropper để phân phối các mô-đun độc hại. Tuy nhiên, điểm khác biệt chính trong phần mềm độc hại mới này nằm ở phương pháp để giành và duy trì quyền kiểm soát máy bị nhiễm.

Trong nhiều năm qua, các nhà nghiên cứu đã quan sát thấy việc sử dụng mô-đun UltraVNC để truy cập từ xa vào các hệ thống, nhưng trong chiến dịch này, những kẻ tấn công đã sử dụng MeshAgent, một agent cho hệ thống MeshCentral. Theo như thông tin trên trang web chính thức của MeshCentral, đây là giải pháp quản lý thiết bị từ xa nguồn mở với các chức năng mở rộng.

Kaspersky đã phát hiện ra loại phần mềm độc hại mới vào tháng 9/2024 và dữ liệu đo từ xa cho thấy những kẻ tấn công đã bắt đầu sử dụng phần mềm này vào tháng 8/2024.

Giải nén kho lưu trữ

Như trong các chiến dịch trước, phần mềm độc hại được đóng gói bằng UPX và phân phối trong kho lưu trữ tự giải nén (SFX), được tạo bằng 7-Zip. Để tiếp tục phân tích, cần phải giải nén nó.

Hình 1. Thông tin đóng gói của phần mềm độc hại

Kho lưu trữ này chứa năm tệp, bốn trong số đó được ngụy trang thành các dịch vụ hệ thống và tệp lệnh hợp pháp.

Hình 2. Nội dung lưu trữ độc hại

Tệp CMD còn lại (tệp cuối cùng trong Hình 2) có tên không rõ ràng và được tạo ngẫu nhiên. Trong các mẫu trước đây mà các nhà nghiên cứu đã phân tích, hầu hết các tệp đều được đặt tên theo cách này. Hơn nữa, một số tệp không chứa payload và được thêm vào kho lưu trữ chỉ để đánh lừa sự tin tưởng của người dùng.

Tiếp theo, các nhà nghiên cứu sẽ phân tích tất cả các tệp từ kho lưu trữ, nhưng trước tiên, mở nó ở chế độ “#”. Đây là chế độ phân tích cú pháp đặc biệt trong 7-Zip, được sử dụng để phân tích các tệp nhằm thu thập thêm thông tin về kho lưu trữ, bao gồm cả tập lệnh cài đặt.

Hình 3. Mở một kho lưu trữ ở chế độ “#”

Hình 4. Nội dung của kho lưu trữ được mở ở chế độ “#”

Để xác định cách thức phần mềm độc hại tồn tại trong hệ thống, các nhà nghiên cứu đã trích xuất tập lệnh cài đặt có tên “2” từ kho lưu trữ.

Hình 5. Tập lệnh cài đặt lưu trữ SFX

Như được thấy trong mã lệnh, mô-đun SFX trích xuất tất cả các thành phần của kho lưu trữ vào một thư mục tạm thời và chạy MicrosoftStores[.]exe mà không cần tham số.

Tập lệnh AutoIt

Bước tiếp theo trong cuộc tấn công là thực thi MicrosoftStores[.]exe, nó cũng được đóng gói bằng UPX. Sau khi giải nén tệp, tệp này chứa một tập lệnh AutoIt đã biên dịch với trình thông dịch - điều này được chỉ ra bằng một đoạn mã trong tập lệnh của tệp bắt đầu bằng “AU3!”. Sự hiện diện của tập lệnh này giải thích lý do tại sao tệp được thực thi mà không có tham số sau khi trích xuất.

Hình 6. Trích xuất tập lệnh AutoIt

Sau khi giải mã thủ công, chúng ta có thể xác định mục đích của tập lệnh: nó khởi chạy NetworkDrivers[.]exe và nKka9a82kjn8KJHA9[.]cmd với các tham số được chỉ định để đảm bảo duy trì tính bền bỉ trong hệ thống.

Hình 7. Nội dung của tập lệnh AutoIt sau khi giải mã

Payload độc hại

Tiếp theo, các nhà nghiên cứu kiểm tra tệp thực thi đầu tiên được chạy bởi tập lệnh NetworkDrivers[.]exe. Qua phân tích và kiểm tra, các giải pháp bảo mật của Kaspersky gán nhãn cho tệp này với mô tả “not-a-virus:HEUR:RemoteAdmin[.]Win32[.]MeshAgent[.]gen”. Thật vậy, đây là MeshAgent, một agent cho nền tảng MeshCentral hợp pháp, mà những kẻ tấn công bắt đầu sử dụng thay vì UltraVNC như đã đề cập trước đó.

Sau đó, tập lệnh AutoIt sẽ chạy nKka9a82kjn8KJHA9[.]cmd với các tham số được chỉ định. Điều quan trọng cần lưu ý là tập lệnh này có kích thước lớn bất thường  (hơn 1 MB). Lý do rất đơn giản, nó được che giấu rất nhiều.

Hình 8. Một phần nội dung bị che giấu của nKka9a82kjn8KJHA9[.]cmd

Các nhà nghiên cứu đã giải mã được tệp này. Mục đích của nó là tạo một tác vụ theo lịch trình có tên là “MicrosoftEdgeUpdateTaskMachineMS”. Tác vụ này chạy EdgeBrowser[.]cmd từ kho lưu trữ đã giải nén và xóa một số tệp liên quan đến hoạt động độc hại, chẳng hạn như tệp thực thi giai đoạn đầu MicrosoftStores[.]exe. Điều này khiến việc phát hiện kẻ tấn công trở nên khó khăn hơn.

Hình 9. nKka9a82kjn8KJHA9[.]cmd sau khi giải mã thủ công

Vai trò của EdgeBrowser[.]cmd nhằm thực thi NetworkDrivers[.]exe bằng Powershell để nhận lệnh từ máy chủ điều khiển và ra lệnh (C2). Những hành động này cho phép tin tặc xâm nhập lâu dài trong hệ thống: kẻ tấn công tạo một tác vụ lập lịch để chạy tệp lệnh, sau đó chạy MeshAgent để thiết lập kết nối với máy chủ MeshCentral.

Hình 10. Tập lệnh EdgeBrowser[.]cmd

Bên cạnh đó, có một tệp khác trong kho lưu trữ có tên là NetworkDrivers[.]msh. Đây là tệp cấu hình cho MeshAgent. Các nhà nghiên cứu cũng tìm thấy nội dung của nó trong mã nguồn của NetworkDrivers[.]exe.

Hình 11. Nội dung tệp cấu hình MeshAgent

Tệp này chỉ định các tham số của agent để thiết lập kết nối với máy chủ MeshCentral: MeshName, MeshID, ServerID và địa chỉ C2, kết nối qua giao thức WebSocket. Khi mở địa chỉ này qua HTTPS, cửa sổ biểu mẫu đăng nhập cho nền tảng MeshCentral sẽ được hiển thị. Điều này xác nhận rằng kẻ tấn công đã sử dụng hệ thống MeshCentral hợp pháp để tương tác với máy chủ C2.

Hình 12. Giao diện đăng nhập nền tảng MeshCentral

Awaken Likho là một trong những tác nhân đe dọa đã tăng cường hoạt động sau khi xung đột Nga-Ukraine diễn ra. Gần đây, các phương pháp tấn công của nhóm tin tặc này đã thay đổi đáng kể, đơn cử như chúng đã bắt đầu sử dụng MeshCentral thay vì UltraVNC. Đồng thời, nhóm tin tặc Awaken Likho vẫn đang tiếp tục hoạt động với các phiên bản phần mềm độc hại mới. Cần lưu ý rằng các tin tặc APT này có thể vẫn tập trung xâm nhập vào cơ sở hạ tầng các mục tiêu đã chọn, như các cơ quan chính phủ và doanh nghiệp của Nga.