Theo các phát hiện mới nhất từ Công ty an ninh mạng Trend Micro, trong khoảng thời gian từ tháng 7 đến tháng 9/2023, các cuộc tấn công bằng phần mềm độc hại DarkGate đã lạm dụng các tài khoản nhắn tin Skype và Teams bị xâm nhập để phân phối script loader VBA cho các tổ chức được nhắm mục tiêu, sau đó tải xuống và thực thi payload giai đoạn hai bao gồm script AutoIT chứa mã phần mềm độc hại DarkGate.

DarkGate đã không hoạt động nhiều trong vài năm qua. Tuy nhiên, năm nay các nhà nghiên cứu của Trend Micro đã quan sát thấy nhiều hoạt động triển khai chiến dịch DarkGate, trong đó tập trung chính tại châu Mỹ, châu Á, châu Phi.

Bóc tách chiến dịch phân phối phần mềm độc hại DarkGate

DarkGate được phân loại là một trình tải độc hại được ghi nhận lần đầu tiên vào cuối năm 2017. Các phiên bản của phần mềm độc hại này đã được quảng cáo trên diễn đàn tiếng Nga eCrime kể từ tháng 5/2023. Kể từ đó, số lượng các cuộc tấn công ban đầu sử dụng DarkGate đã gia tăng.

DarkGate có nhiều tính năng khác nhau như: Thực hiện các lệnh tìm kiếm (bao gồm cả duyệt thư mục); Tự cập nhật và tự quản lý; Triển khai phần mềm truy cập từ xa (như Remote Desktop, Virtual Network Computing và AnyDesk); Kích hoạt chức năng khai thác tiền điện tử; Thực hiện ghi nhật ký bàn phím; Đánh cắp thông tin từ trình duyệt; Leo thang đặc quyền.

DarkGate cũng sử dụng một công cụ script và tự động hóa dành riêng cho Windows có tên AutoIt để cung cấp và thực thi các khả năng độc hại của nó. Mặc dù là một công cụ hợp pháp, nhưng AutoIt thường xuyên bị các dòng phần mềm độc hại khác lạm dụng để qua mặt các biện pháp phòng thủ và bổ sung thêm một lớp che giấu. Tuy nhiên, trong lịch sử, không có trình tải đáng chú ý nào như IcedID, Emote hoặc Qakbot bị phát hiện lạm dụng nó, giúp các nhà nghiên cứu hoặc nhóm bảo mật dễ dàng liên kết hoạt động với chiến dịch phần mềm độc hại hơn.

So sánh biến thể mới nhất này của DarkGate với một mẫu cũng lạm dụng AutoIt vào năm 2018, các nhà nghiên cứu nhận thấy rằng quy trình này dường như đã thay đổi một chút về giai đoạn khởi tạo ban đầu và việc bổ sung tính năng làm rối mã nguồn vào các dòng lệnh của nó. Tuy nhiên, chuỗi lây nhiễm phần lớn vẫn giữ nguyên.

PHÂN TÍCH CUỘC TẤN CÔNG

Lây nhiễm qua Skype

Theo các nhà nghiên cứu, kẻ tấn công đã lợi dụng độ tin cậy giữa người gửi và người nhận để đánh lừa người dùng thực thi script VBA đính kèm. Việc truy cập vào tài khoản Skype của nạn nhân cho phép kẻ tấn công chiếm quyền điều khiển chuỗi tin nhắn hiện có và tạo ra quy ước đặt tên cho các tệp liên quan đến bối cảnh của lịch sử trò chuyện.

Bóc tách chiến dịch phân phối phần mềm độc hại DarkGate

Hình 2. Chuỗi lây nhiễm DarkGate lợi dụng Skype

Các nạn nhân đã nhận được một tin nhắn từ một tài khoản Skype bị xâm nhập, trong đó có chứa script VBS lừa đảo có tên tệp theo định dạng sau: “<filename.pdf> www.skype[.]vbs”. Dấu khoảng cách trong tên tệp khiến người dùng tin rằng tệp đó là tài liệu PDF trong khi định dạng thực là “www.skype[.]vbs”. Trong mẫu mà Trend Micro đã nghiên cứu này, người nhận biết người gửi là người thuộc một nhà cung cấp bên ngoài đáng tin cậy.

Bóc tách chiến dịch phân phối phần mềm độc hại DarkGate

Hình 3. Tin nhắn Skype có đính kèm tệp  độc hại dưới dạng tệp PDF

Script VBA khi được nạn nhân thực thi sẽ bắt đầu bằng cách tạo một thư mục mới có tên “Random Char”, sau đó sao chép tệp “curl.exe” hợp pháp có cùng tên với thư mục được tạo là “Random Char.exe”. Tiếp theo, nó sẽ tải xuống script thực thi AutoIt3 và .AU3 từ máy chủ bên ngoài lưu trữ các tệp.

Bóc tách chiến dịch phân phối phần mềm độc hại DarkGate

Hình 4. Ví dụ về nội dung script VBA

Hình 4 là ví dụ về nội dung script VBA, các script này đóng vai trò là trình tải xuống cho hai tệp: một bản sao hợp pháp của tệp thực thi AutoIt và một script .AU3 độc hại.

Trend Vision One™ đã phát hiện việc tải script VBA thông qua việc thực thi nó bằng tiến trình gốc “wscript.exe” của Windows. Script đã tạo thư mục Random Char và sao chép curl.exe sang Random Char.exe.

Bóc tách chiến dịch phân phối phần mềm độc hại DarkGate

Hình 5. Phân tích nguyên nhân gốc (RCA) đối với việc thực thi script VBA từ Skype

Trong Hình 5, chúng ta có thể quan sát thấy lệnh curl đã được sử dụng để truy xuất ứng dụng AutoIt hợp pháp và fIKXNA.AU3 độc hại có liên quan (trong đó .AU3 đại diện cho tệp script AutoIt phiên bản 3). Curl được thực thi thông qua cmd.exe với các tham số sau để truy xuất hai tệp từ máy chủ lưu trữ từ xa:

Bóc tách chiến dịch phân phối phần mềm độc hại DarkGate

Lây nhiễm qua Teams

Trong một mẫu phân tích khác, mối đe dọa được quan sát thấy khi gửi liên kết qua tin nhắn Microsoft Teams. Kẻ tấn công đã nhắm mục tiêu vào người dùng Teams thông qua các tài khoản Office 365 bị xâm nhập bên ngoài tổ chức của họ và một công cụ có sẵn công khai có tên TeamsPhisher. Công cụ này cho phép kẻ tấn công bỏ qua các hạn chế đối với các tệp đến từ đối tượng thuê bên ngoài và gửi tệp đính kèm lừa đảo tới người dùng Teams.

Cụ thể, trong trường hợp này, hệ thống của tổ chức đã cho phép nạn nhân nhận tin nhắn từ người dùng bên ngoài, điều này khiến họ trở thành mục tiêu tiềm ẩn của thư rác. Các nhà nghiên cứu từ Công ty an ninh mạng Truesec đã ghi nhận một kỹ thuật DarkGate tương tự vào đầu tháng 9/2023. Mặc dù quy trình của Skype giả mạo tệp VBS dưới dạng tài liệu PDF, nhưng trong phiên bản xâm phạm của Teams, những kẻ tấn công đã che giấu tệp LNK. Hơn nữa, mẫu lạm dụng Teams đến từ một người gửi bên ngoài không xác định.

Bóc tách chiến dịch phân phối phần mềm độc hại DarkGate

Hình 6. Tin nhắn của nhóm có tệp đính kèm độc hại

Các nhà nghiên cứu của Trend Micro cũng quan sát thấy phương thức phân phối dịch vụ của script VBA, trong đó tệp .LNK dưới dạng tệp nén từ trang SharePoint của người khởi tạo. Nạn nhân bị dụ dỗ điều hướng đến trang SharePoint được cung cấp và tải xuống tệp có tên “Significant company changes September.zip”.

Sử dụng thực thi có điều kiện, lệnh đi kèm sẽ chỉ thực thi nếu lệnh trước đó thất bại. Tệp LNK chứa lệnh sau:

Bóc tách chiến dịch phân phối phần mềm độc hại DarkGate

Sau khi thành công, script LoaderVBA sẽ được tải xuống và thực thi (hm3.vbs). Script VBA sẽ tiến hành sao chép và đổi tên curl.exe từ thư mục System32 thành Random Char.exe, đồng thời lệnh curl sẽ được sử dụng để truy xuất Autoit3.exe và mã DarkGate độc ​​hại có liên quan.

Bóc tách chiến dịch phân phối phần mềm độc hại DarkGate

Hình 7. Trend Vision One RCA sử dụng tệp .LNK làm mục nhập ban đầu

Script DarkGate AU3

Các nội dung được tải xuống chứa cả bản sao hợp pháp của AutoIt và tệp script AutoIt được biên dịch chứa các khả năng độc hại của DarkGate. Tệp AU3 trước tiên thực hiện các bước kiểm tra sau trước khi tải script. Nếu bất kỳ điều kiện nào sau đây không được đáp ứng, script sẽ bị chấm dứt:

  • Khi sự tồn tại của “%Program Files%” được xác nhận.
  • Khi tên người dùng được quét không phải là “SYSTEM”.

Sau khi quá trình kiểm tra môi trường hoàn tất, chương trình sẽ tìm kiếm tệp có phần mở rộng .AU3 để giải mã và thực thi payload DarkGate. Nếu không thể tải tệp này, chương trình sẽ hiển thị thông báo lỗi và chấm dứt quá trình thực thi.

Sau khi thực thi thành công tệp .AU3, tệp sẽ sinh ra các tiến trình thay thế nằm trong thư mục C:\Program Files (x86)\. Các tiến trình này bao gồm “iexplore.exe”, “GoogleUpdateBroker.exe” và “Dell.D3.WinSvc.UILauncher.exe”. Chúng được chèn shellcode để thực thi payload DarkGate trong bộ nhớ.

Phần mềm độc hại đạt được sự tồn tại lâu dài bằng cách nhúng tệp LNK có tên ngẫu nhiên vào thư mục Windows User Startup, cho phép tự động thực thi tệp mỗi lần khởi động hệ thống, theo đường dẫn sau: “<C:\Users\<user>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\<random>.lnk>”.

Ngoài ra, quá trình thực thi sẽ tạo một thư mục trên máy chủ trong thư mục Program Data bằng cách sử dụng chuỗi gồm bảy ký tự được tạo ngẫu nhiên để lưu trữ dữ liệu nhật ký và cấu hình.

Bóc tách chiến dịch phân phối phần mềm độc hại DarkGate

Hình 8. Đoạn mã .AU3

Bóc tách chiến dịch phân phối phần mềm độc hại DarkGate

Hình 9. Cấu hình được trích xuất

Hoạt động sau cài đặt

Mối đe dọa được quan sát thấy hoạt động như một trình tải xuống các payload bổ sung. Sau khi cài đặt phần mềm độc hại DarkGate, nó đã “drop” các tệp trong thư mục C:/Intel/ và %appdata%/Adobe/, điều này giúp nó cố gắng giả mạo chính nó.

Các tệp này được phát hiện dưới dạng biến thể của DarkGate hoặc Remcos, có khả năng là một phương tiện để duy trì chỗ đứng của kẻ tấn công trong hệ thống bị nhiễm.

KẾT LUẬN

Các chiến dịch kỹ thuật xã hội phân phối phần mềm độc hại đã chứng kiến sự gia tăng trong những tháng gần đây, tận dụng các chiến thuật xâm nhập ban đầu như email lừa đảo và đầu độc tối ưu hóa công cụ tìm kiếm (SEO) để lôi kéo người dùng vô tình cài đặt nó.

Các nhà nghiên cứu cho biết, tội phạm mạng có thể sử dụng các payload để lây nhiễm nhiều loại phần mềm độc hại khác nhau vào hệ thống, bao gồm trình đánh cắp thông tin, phần mềm tống tiền, các công cụ quản lý từ xa độc hại hoặc bị lạm dụng cũng như các công cụ khai thác tiền điện tử. Miễn là việc nhắn tin bên ngoài được cho phép hoặc việc lạm dụng các mối quan hệ đáng tin cậy thông qua các tài khoản bị xâm nhập không được kiểm tra, thì kỹ thuật truy cập như chiến dịch DarkGate có thể được thực hiện với bất kỳ ứng dụng nhắn tin tức thời (IM) nào.

Sự gia tăng hoạt động DarkGate gần đây nhấn mạnh tầm ảnh hưởng ngày càng tăng của hoạt động phần mềm độc hại dưới dạng dịch vụ (MaaS) này trong lĩnh vực tội phạm mạng. Nó cũng nhấn mạnh quyết tâm của các tác nhân đe dọa trong việc tiếp tục các cuộc tấn công, điều chỉnh chiến thuật và phương pháp của chúng bất chấp sự gián đoạn và thách thức.

Theo Tạp chí an toàn thông tin