Các nhà nghiên cứu an ninh mạng đã xác định một chiến dịch mã độc sử dụng blockchain TON, phần mềm hợp pháp và các thành phần Windows đáng tin cậy để xây dựng hạ tầng điều khiển và chỉ huy (C2) bền vững, có khả năng né tránh các biện pháp bảo mật thông thường. Kẻ tấn công kết hợp công nghệ blockchain với các ứng dụng phổ biến nhằm làm phức tạp việc phát hiện mã độc và phá vỡ các nỗ lực truy quét truyền thống. Chiến dịch này phản ánh xu hướng ngày càng tăng trong đó tội phạm mạng khai thác công nghệ phi tập trung và hệ sinh thái phần mềm hợp pháp để tạo ra hạ tầng mã độc có khả năng chống chịu cao, có thể vượt qua chặn theo tên miền và các cơ chế phòng vệ bảo mật truyền thống.
Email lừa đảo mở màn chuỗi tấn công nhiều giai đoạn
Cuộc tấn công bắt đầu bằng các email lừa đảo được ngụy trang như các thông tin liên quan đến đặt chỗ. Người nhận được dẫn tới một liên kết Google Share, liên kết này chuyển hướng họ tới một trang web độc hại, nơi họ được yêu cầu tải xuống một tệp ZIP trực tiếp hoặc qua giao diện kiểu ClickFix. Kho lưu trữ đã tải xuống chứa một tệp lối tắt Windows (LNK) độc hại, được ngụy trang như một hình ảnh bằng cách sử dụng biểu tượng từ thư viện shell32.dll của Windows.
Khi tệp lối tắt được mở, nó âm thầm thực thi một lệnh PowerShell được làm rối (obfuscated). Thay vì lưu miền tải xuống dưới dạng văn bản thuần, kẻ tấn công mã hóa địa chỉ thành hai giá trị số lớn. Tập lệnh PowerShell nhúng tái tạo miền độc hại bằng cách thực hiện các phép toán số học và thao tác bit, khiến hạ tầng trở nên khó bị các công cụ bảo mật nhận diện trong quá trình phân tích tĩnh.
Tải trọng PowerShell sau đó kiểm tra xem runtime Node.js đã được cài đặt trên thiết bị mục tiêu hay chưa. Nếu chưa có, mã độc sẽ tải xuống phiên bản hợp pháp của Node.js cho Windows từ hạ tầng phân phối chính thức của dự án và giải nén vào thư mục LocalAppData của người dùng. Bằng cách dựa vào các thành phần phần mềm xác thực thay vì chỉ dựa vào tệp thực thi độc hại, kẻ tấn công tìm cách hòa trộn hoạt động của mình với hành vi của các ứng dụng hợp pháp và giảm khả năng bị phát hiện.
Tải trọng JavaScript dùng bộ thông dịch máy ảo tùy chỉnh
Sau khi cài đặt hoặc tìm thấy Node.js, mã độc giải mã một tải trọng JavaScript được bảo vệ bằng mã hóa AES-128-CBC và mã Base64. Mã sau khi giải mã được thực thi thông qua runtime Node.js hợp pháp, với cấu hình C2 được cung cấp dưới dạng tham số truyền khi chạy.
Các nhà nghiên cứu cho biết đoạn cấy (implant) JavaScript đã bị làm rối mạnh và được thực thi bằng một bộ thông dịch máy ảo tùy chỉnh thay vì JavaScript chuẩn. Kỹ thuật này làm tăng đáng kể độ phức tạp của việc phân tích mã độc bằng cách ngăn các công cụ bảo mật dựa vào chữ ký truyền thống dễ dàng nhận diện mã độc hại.
Cấu hình do blockchain lưu trữ giúp cập nhật C2
Cuộc tấn công sử dụng blockchain TON như một hạ tầng điều khiển và chỉ huy C2 bền vững, cho phép kẻ tấn công cập nhật các chỉ dẫn độc hại mà không cần sửa đổi hoặc phân phối lại mã độc đã được cài đặt trên các hệ thống bị xâm nhập. Các điều tra viên đã xác định một số miền C2 lịch sử liên quan đến chiến dịch. Tuy nhiên, mã độc không phụ thuộc hoàn toàn vào các miền cố định để truyền lệnh. Thay vào đó, người vận hành có thể sửa đổi dữ liệu cấu hình được lưu trữ trên blockchain bất cứ khi nào hạ tầng bị chặn, cho phép các hệ thống đã nhiễm truy xuất thông tin C2 cập nhật mà không cần thay thế chính mã độc.
Mã độc có khả năng tải xuống các tệp thực thi (executable) Windows, các tập lệnh PowerShell và thêm các tải trọng JavaScript. Trước khi thực thi các chương trình Windows đã tải xuống, nó kiểm tra tiêu đề tệp Portable Executable (PE), lưu tệp dưới một tên ngẫu nhiên trong thư mục tạm và có thể cố gắng thêm đường dẫn tệp vào danh sách loại trừ của Microsoft Defender nhằm giảm khả năng bị phát hiện trong quá trình chạy.
Khuyến nghị đội ngũ an ninh giám sát lừa đảo và các cài đặt phần mềm trái phép
Các nhà nghiên cứu khuyến nghị các tổ chức duy trì cảnh giác trước các chiến dịch lừa đảo theo chủ đề du lịch và đặt chỗ, đặc biệt là các email chứa liên kết Google Share chuyển hướng người dùng tới các lượt tải xuống đáng ngờ. Họ cũng khuyến nghị theo dõi các tệp ZIP chứa các tệp lối tắt LNK được ngụy trang như hình ảnh, cũng như hoạt động PowerShell bất thường và việc cài đặt Node.js trái phép trên hệ thống doanh nghiệp.
Câu hỏi thường gặp
Blockchain TON được dùng vào mục đích gì trong chiến dịch mã độc này?
Blockchain TON được dùng làm hạ tầng điều khiển và chỉ huy C2 bền vững, giúp kẻ tấn công cập nhật các chỉ dẫn độc hại mà không cần sửa đổi hoặc phân phối lại mã độc đã được cài đặt trên các hệ thống bị xâm nhập. Người vận hành có thể sửa đổi dữ liệu cấu hình được lưu trữ trên blockchain bất cứ khi nào hạ tầng bị chặn, cho phép các hệ thống đã nhiễm truy xuất thông tin C2 cập nhật.
Mã độc đã ngụy trang như phần mềm hợp pháp bằng cách nào?
Mã độc tải xuống phiên bản hợp pháp của Node.js cho Windows từ hạ tầng phân phối chính thức của dự án và thực thi các tải trọng JavaScript đã được mã hóa qua runtime Node.js xác thực. Bằng cách dựa vào các thành phần phần mềm đáng tin cậy và các tiện ích của Windows, kẻ tấn công hòa trộn hoạt động của mình với hành vi của các ứng dụng hợp pháp, từ đó giảm khả năng bị các công cụ bảo mật phát hiện.