JS#SMUGGLER sử dụng các trang web bị xâm phạm để triển khai NetSupport RAT

[T-X]

Các nhà nghiên cứu an ninh mạng đang kêu gọi sự chú ý đến một chiến dịch mới có tên JS#SMUGGLER, được phát hiện lợi dụng các trang web bị xâm phạm làm phương tiện phát tán trojan truy cập từ xa có tên NetSupport RAT.

Chuỗi tấn công, được Securonix phân tích, bao gồm ba thành phần chính: Một trình tải JavaScript bị che giấu được đưa vào trang web, một Ứng dụng HTML (HTA) chạy các trình phân đoạn PowerShell được mã hóa bằng cách sử dụng "mshta.exe" và một tải trọng PowerShell được thiết kế để tải xuống và thực thi phần mềm độc hại chính.

Các nhà nghiên cứu Akshay Gaikwad, Shikha Sangwan và Aaron Beardslee cho biết : "NetSupport RAT cho phép kẻ tấn công kiểm soát hoàn toàn máy chủ của nạn nhân, bao gồm truy cập máy tính từ xa, thao tác tệp, thực thi lệnh, đánh cắp dữ liệu và khả năng proxy".

Hiện tại, có rất ít bằng chứng cho thấy chiến dịch này liên quan đến bất kỳ nhóm hay quốc gia đe dọa nào đã biết. Hoạt động này được phát hiện nhắm vào người dùng doanh nghiệp thông qua các trang web bị xâm nhập, cho thấy đây là một nỗ lực trên diện rộng.

Công ty an ninh mạng mô tả đây là một hoạt động phần mềm độc hại dựa trên web nhiều giai đoạn, sử dụng iframe ẩn, trình tải bị che giấu và thực thi tập lệnh theo lớp để triển khai phần mềm độc hại và điều khiển từ xa.

Trong các cuộc tấn công này, các lệnh chuyển hướng im lặng được nhúng vào các trang web bị nhiễm hoạt động như một đường dẫn cho trình tải JavaScript được mã hóa mạnh ("phone.js") được lấy từ một miền bên ngoài, sau đó lập hồ sơ thiết bị để xác định xem có nên cung cấp iframe toàn màn hình (khi truy cập từ điện thoại di động) hay tải một tập lệnh giai đoạn thứ hai từ xa khác (khi truy cập từ máy tính để bàn).

Iframe vô hình được thiết kế để chuyển hướng nạn nhân đến một URL độc hại. Trình tải JavaScript tích hợp cơ chế theo dõi để đảm bảo logic độc hại chỉ được kích hoạt một lần và trong lần truy cập đầu tiên, do đó giảm thiểu khả năng bị phát hiện.

Các nhà nghiên cứu cho biết: "Sự phân nhánh nhận biết thiết bị này cho phép kẻ tấn công điều chỉnh đường lây nhiễm, ẩn hoạt động độc hại khỏi một số môi trường nhất định và tối đa hóa tỷ lệ thành công bằng cách phân phối các tải trọng phù hợp với nền tảng đồng thời tránh bị lộ thông tin không cần thiết".

Tập lệnh từ xa được tải xuống trong giai đoạn đầu của cuộc tấn công đặt nền móng bằng cách xây dựng một URL tại thời điểm chạy để tải xuống và thực thi tải trọng HTA bằng cách sử dụng "mshta.exe". Tải trọng HTA là một trình tải khác cho giai đoạn PowerShell tạm thời, được ghi vào đĩa, giải mã và thực thi trực tiếp trong bộ nhớ để tránh bị phát hiện.

Hơn nữa, tệp HTA được chạy ẩn bằng cách vô hiệu hóa tất cả các thành phần cửa sổ hiển thị và thu nhỏ ứng dụng khi khởi động. Sau khi tải trọng được giải mã được thực thi, nó cũng thực hiện các bước để xóa trình phân tích PowerShell khỏi ổ đĩa và tự kết thúc để tránh để lại càng nhiều dấu vết pháp y càng tốt.

Mục tiêu chính của tải trọng PowerShell được giải mã là truy xuất và triển khai NetSupport RAT, cấp cho kẻ tấn công quyền kiểm soát hoàn toàn đối với máy chủ bị xâm phạm.

"Sự tinh vi và các kỹ thuật né tránh theo lớp cho thấy rõ ràng một nền tảng phần mềm độc hại chuyên nghiệp được duy trì tích cực", Securonix cho biết. "Các bên bảo vệ nên triển khai thực thi CSP mạnh mẽ, giám sát tập lệnh, ghi nhật ký PowerShell, hạn chế mshta.exe và phân tích hành vi để phát hiện các cuộc tấn công như vậy một cách hiệu quả."

CHAMELEON#NET phát tán phần mềm độc hại Formbook. Tiết lộ này được đưa ra vài tuần sau khi công ty cũng trình bày chi tiết về một chiến dịch thư rác đa giai đoạn khác có tên CHAMELEON#NET, sử dụng email lừa đảo để phát tán Formbook, một phần mềm ghi lại thao tác bàn phím và đánh cắp thông tin. Các email này nhằm mục đích dụ dỗ nạn nhân trong Cơ quan An sinh Xã hội Quốc gia tải xuống một kho lưu trữ tưởng chừng vô hại sau khi nhập thông tin đăng nhập của họ trên một cổng webmail giả mạo được thiết kế cho mục đích này.

"Chiến dịch này bắt đầu bằng một email lừa đảo lừa người dùng tải xuống tệp lưu trữ.BZ2, khởi động một chuỗi lây nhiễm nhiều giai đoạn", Sangwan cho biết. "Phần tải ban đầu là một tệp JavaScript được làm tối nghĩa, hoạt động như một dropper, dẫn đến việc thực thi một trình tải   Đăng nhập để xem liên kết phức tạp. Trình tải này sử dụng kỹ thuật phản chiếu nâng cao và một mã hóa XOR có điều kiện tùy chỉnh để giải mã và thực thi phần tải cuối cùng, Formbook RAT, hoàn toàn trong bộ nhớ."

Cụ thể, JavaScript dropper giải mã và ghi vào đĩa trong thư mục %TEMP% hai tệp JavaScript bổ sung:

    svchost.js, thả một tệp thực thi trình   Đăng nhập để xem liên kết có tên là DarkTortilla ("QNaZg.exe"), một trình mã hóa thường được sử dụng để phân phối các tải trọng giai đoạn tiếp theo
    adobe.js, loại bỏ một tệp có tên "PHat.jar", một gói cài đặt MSI có hành vi tương tự như "svchost.js"

Trong chiến dịch này, trình tải được cấu hình để giải mã và thực thi một DLL nhúng, tức phần mềm độc hại Formbook. Tính bền vững được duy trì bằng cách thêm nó vào thư mục khởi động Windows để đảm bảo nó tự động khởi chạy khi hệ thống khởi động lại. Ngoài ra, nó cũng quản lý tính bền vững thông qua Windows Registry.

"Các tác nhân đe dọa kết hợp kỹ thuật xã hội, mã hóa mã nguồn phức tạp và các kỹ thuật né tránh .NET tiên tiến để xâm nhập thành công vào mục tiêu", Securonix cho biết. "Việc sử dụng một quy trình giải mã tùy chỉnh, sau đó là tải phản chiếu, cho phép tải trọng cuối cùng được thực thi theo cách không cần tệp, làm phức tạp đáng kể việc phát hiện và phân tích pháp y."