Template errors

  • Template public:post_macros: [E_USER_WARNING] Accessed unknown getter 'fact' on XF:Thread[87190] (src/XF/Mvc/Entity/Entity.php:224)
  • Template public:thread_view: [E_USER_WARNING] Accessed unknown getter 'fact' on XF:Thread[87190] (src/XF/Mvc/Entity/Entity.php:224)

Ảnh PNG cũng có thể chứa mã độc? Thủ đoạn mới của APT28 khiến ngay cả chuyên gia bảo mật cũng phải cảnh giác

Duy Linh
Duy Linh
Phản hồi: 0

Duy Linh

Writer
Duy Linh

Duy Linh Đã xác thực

APT-C-20, còn được biết đến với tên Fancy Bear (APT28), vừa bị phát hiện triển khai một chiến dịch tấn công mới cho thấy nhóm này tiếp tục nâng cấp các kỹ thuật xâm nhập lén lút không cần tệp tin (fileless). Chuỗi tấn công sử dụng tài liệu Microsoft Office được vũ khí hóa để triển khai DLL chiếm quyền điều khiển COM, sau đó trích xuất mã độc được giấu bằng kỹ thuật steganography LSB trong ảnh PNG và thực thi Trojan điều khiển từ xa bằng C# thông qua kỹ thuật tải phản chiếu. Toàn bộ quá trình liên lạc điều khiển được ngụy trang bằng dịch vụ lưu trữ đám mây hợp pháp Filen.io.
1783572369785.png

Chuỗi tấn công sử dụng COM Hijacking và mã độc giấu trong ảnh PNG

Chiến dịch bắt đầu bằng tài liệu macro độc hại readme.docm. Tin tặc sử dụng kỹ thuật lừa đảo xã hội với một tài liệu giả mạo được thiết kế riêng để nhắm mục tiêu vào một bộ quốc phòng.

Macro được bảo vệ và mã hóa. Khi nạn nhân kích hoạt, macro sẽ tiến hành kiểm tra môi trường thực thi, tự sao chép vào thư mục %TEMP%, sau đó giải nén hai tệp vào %PROGRAMDATA%, gồm thư viện dnxstore.dll và tệp hình ảnh tưởng như vô hại EdgeLogo.png.

Tiếp theo, macro đăng ký một CLSID bị chiếm quyền dưới khóa HKEY_CURRENT_USER để trỏ tới DLL độc hại, từ đó thiết lập cơ chế duy trì bằng cách lợi dụng quá trình tra cứu COM diễn ra khi explorer.exe khởi tạo các đối tượng COM của hệ thống.

Thay vì sử dụng các trình tải phổ biến như regsvr32, macro âm thầm khởi chạy explorer.exe với cửa sổ bị ẩn (STARTUPINFO.wShowWindow), lợi dụng quá trình liệt kê COM bình thường của Windows để khiến hệ thống tự động tải DLL do kẻ tấn công kiểm soát.

Việc thực thi gián tiếp thông qua explorer.exe giúp tạo ra ngữ cảnh thực thi hợp lệ, giảm việc gọi các API đáng ngờ và khiến quá trình điều tra nguồn gốc cuộc tấn công trở nên khó khăn hơn.

DLL dnxstore.dll cũng được trang bị nhiều cơ chế chống phân tích. Mã độc chỉ hoạt động khi được tải bên trong explorer.exe, tránh các đường dẫn thực thi của regsvr32, đồng thời phát hiện môi trường sandbox bằng cách đo sự chênh lệch thời gian ngủ.

Ngoài ra, DLL còn triển khai cơ chế tự xử lý hàm xuất nhằm gây khó khăn cho việc phân tích tĩnh và chuyển tiếp một số hàm COM sang stobject.dll hợp pháp để duy trì sự ổn định của tiến trình.
1783572549581.png

Phân tích luồng tấn công (Nguồn: 360).
Theo Viện Nghiên cứu Mối đe dọa Nâng cao 360 (360 Advanced Threat Research Institute), chuỗi tấn công này kết hợp hoạt động hệ thống bình thường với nhiều lớp mã hóa và thực thi hoàn toàn trong bộ nhớ nhằm né tránh các giải pháp phát hiện, đồng thời duy trì quyền truy cập lâu dài.

Sau khi được kích hoạt, DLL đọc tệp EdgeLogo.png, chuyển đổi ảnh sang định dạng RGBA rồi trích xuất dữ liệu ẩn bằng kỹ thuật giấu tin dựa trên bit có trọng số thấp nhất (LSB).

Trình tải sử dụng thuật toán PBKDF2 để tạo khóa AES-256, lấy Salt và IV từ luồng pixel của ảnh, giải mã phần tiêu đề dài 64 byte chứa thông tin về vị trí và kích thước dữ liệu, sau đó giải mã toàn bộ phần mã độc được nhúng.
1783572783966.png

Định dạng RGBA (Nguồn: 360).
Khóa đăng ký:

HKEY_CURRENT_USER\Software\Classes\CLSID{68DDBB56-9D1D-4FD9-89C5-C0DA2A625392}\InProcServer32
được cấu hình trỏ tới dnxstore.dll, hoàn tất quá trình chiếm quyền điều khiển COM.
1783572628198.png

Tấn công chiếm quyền điều khiển COM (Nguồn: 360).
Phần dữ liệu được giải mã là shellcode có nhiệm vụ tải toàn bộ thành phần của giai đoạn tiếp theo trực tiếp vào bộ nhớ.

Giao tiếp C2 qua Filen.io giúp tăng khả năng ẩn mình

Shellcode tiếp tục sử dụng kỹ thuật tải phản chiếu để thực thi Trojan điều khiển từ xa bằng C# có mức độ mã hóa rất cao mang tên Publish.exe.

Trojan này khởi tạo cơ chế mã hóa AES, tạo các tín hiệu JSON đã mã hóa chứa GUID được sinh từ thông tin hệ thống, siêu dữ liệu, IV và HMAC. Sau đó, dữ liệu tiếp tục được mã hóa bằng lớp XOR kết hợp Base64 trước khi truyền đi.

Việc liên lạc với máy chủ điều khiển được thực hiện thông qua các cổng của Filen.io, gồm gateway.filen.io và gateway.filen.net. Cách làm này giúp lưu lượng C2 hòa lẫn với các kết nối tới dịch vụ lưu trữ đám mây hợp pháp, đồng thời tăng khả năng duy trì hoạt động nhờ nhiều nút mạng khác nhau.

Mã độc liên tục thăm dò lệnh điều khiển, hỗ trợ cơ chế bắt tay hai chiều để đàm phán khóa mã hóa và tiếp tục tải các thành phần mới trực tiếp vào bộ nhớ bằng kỹ thuật tải phản chiếu. Nhờ đó, toàn bộ chuỗi tấn công gần như không để lại dấu vết trên ổ đĩa.

Theo các nhà nghiên cứu, chiến dịch này sử dụng nhiều kỹ thuật đáng chú ý như macro mồi nhử với mã được mã hóa để trì hoãn phân tích, chiếm quyền điều khiển COM kết hợp khởi chạy explorer.exe nhằm thực thi một cách kín đáo, giấu dữ liệu bằng kỹ thuật LSB trong các tệp PNG tưởng như vô hại và sử dụng hạ tầng điều khiển dựa trên dịch vụ lưu trữ đám mây để tăng khả năng ẩn mình.

Để giảm thiểu rủi ro, các chuyên gia khuyến nghị vô hiệu hóa macro theo mặc định, tăng cường chính sách bảo mật macro của Microsoft Office, giám sát việc đăng ký COM CLSID trong các nhánh người dùng, theo dõi các tiến trình con của explorer.exe, kiểm tra các tệp PNG có siêu dữ liệu hoặc entropy pixel bất thường, đồng thời bổ sung các mẫu lưu lượng lưu trữ đám mây không mong muốn vào danh sách giám sát hoặc danh sách cho phép của hệ thống mạng.
 
Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview


Đăng nhập một lần thảo luận tẹt ga
Thành viên mới đăng
http://textlink.linktop.vn/?adslk=aHR0cHM6Ly92bnIyLnZucmV2aWV3LnZuL3RocmVhZHMvYW5oLXBuZy1jdW5nLWNvLXRoZS1jaHVhLW1hLWRvYy10aHUtZG9hbi1tb2ktY3VhLWFwdDI4LWtoaWVuLW5nYXktY2EtY2h1eWVuLWdpYS1iYW8tbWF0LWN1bmctcGhhaS1jYW5oLWdpYWMuODcxOTAv
Top