“SpectralViper là một backdoor được thiết kế tương thích với hệ điều hành Windows kiến trúc x64, bị xáo trộn (obfuscate) nghiêm trọng và chưa từng biết đến trước đây. Backdoor này sử dụng các kênh liên lạc được mã hóa với thuật toán AES và trao đổi khóa Diffie-Hellman hoặc RSA1024. Nó có khả năng tải và tiêm nhiễm các tệp thực thi PE (Portable Executable), tải lên/xuống các tệp tin, thao tác với tệp và thư mục cũng như khả năng mạo danh mã thông báo”, Elastic Security Labs cho biết.
Elastic Security Labs quy trách nhiệm cho nhóm tin tặc REF2754, hay có tên khác là APT32, Canvas Cyclone, Cobalt Kitty hoặc OceanLotus, được cho là có nguồn gốc từ Việt Nam thực hiện các cuộc tấn công này.
Trong luồng lây nhiễm mới nhất do Elastic phát hiện, tiện ích SysIternals ProcDump được tận dụng để tải tệp DLL không được ký số có chứa DonutLoader, tệp này được cấu hình để tải SpectralViper và phần mềm độc hại khác như P8Loader hoặc Powerseal. P8Loader được viết bằng ngôn ngữ C++, có khả năng khởi chạy payload tùy ý từ một tệp hoặc từ bộ nhớ. Trong khi đó, Powerseal là một trình chạy PowerShell được thiết kế để chạy các tập lệnh độc hại.
Đầu tiên, tin tặc tạo tệp tin (C:\Users\Public\Libraries\dbg.config) trên hệ thống đã bị xâm nhập thông qua giao thức SMB của hệ điều hành Windows.
Sau đó, chúng thực hiện đổi tên tiến trình procdump.exe (được sử dụng để thu thập siêu dữ liệu bộ nhớ từ các quy trình đang chạy) thành tệp tin tên Windows debugger (windbg.exe) và thực hiện tải lên một tệp thư viện liên kết động DLL chưa ký số có chứa shell code DonutLoader. Shell code này đã được sẵn cấu hình để tiêm vào tiến trình sessionmsg.exe và tiếp tục tải mã độc SpectralViper đóng vai trò như một backdoor nhằm duy trì kết nối đến thiết bị lây nhiễm và thực hiện các hành vi độc hại.
Sơ đồ mô phỏng luồng lây nhiễm cuộc tấn công
SpectralViper được thiết kế để liên hệ với máy chủ chỉ huy kiểm soát (C2) và chờ các lệnh tiếp theo, đồng thời áp dụng các phương pháp che giấu như Control Flow Flattening (một kỹ thuật xáo trộn) để chống phân tích. Đây là một kỹ thuật che giấu được các tin tặc sử dụng để loại bỏ các cấu trúc chương trình sạch và đặt các khối cạnh nhau bên trong một vòng lặp bằng câu lệnh chuyển đổi để kiểm soát luồng của chương trình. Mã nhị phân bị xáo trộn mạnh bằng cách tách từng hàm thành các hàm giả nhiều cấp. Trên hết, luồng điều khiển của các chức năng đó cũng được làm xáo trộn bằng phương pháp Control Flow Flattening.
Sau khi lây nhiễm SpectralViper, tin tặc có thể thực hiện các hành vi sau:
- Tải và tiêm nhiễm các tệp thực thi PE cho phép thực thi mã độc bằng các tiến trình hợp lệ.
- Giả mạo phiên người dùng từ đó cho phép leo thang đặc quyền và qua mặt các biện pháp an ninh, truy cập trái phép và kiểm soát các tài nguyên nhạy cảm.
- Tải lên/xuống các tệp tin: cho phép tin tặc trích xuất dữ liệu nhạy cảm hoặc phát tán thêm các payload độc hại trên thiết bị lây nhiễm.
- Thao túng tệp tin/thư mục: cho phép tin tặc kiểm soát các tệp tin trên máy nạn nhân như tạo, xóa, sửa và di chuyển các tệp tin và thư mục.
Phát hiện này được đưa ra sau khi nhóm tin tặc REF2924 đã liên kết với một phần mềm độc hại khác có tên Somnirecord sử dụng các truy vấn DNS để liên lạc với máy chủ C2 và vượt qua các giải pháp bảo mật. Somnirecord tương tự như phần mềm độc hại Naplistener, sử dụng các dự án nguồn mở hiện có để tự nâng cao khả năng của mình, cho phép nó truy xuất thông tin về máy bị nhiễm, liệt kê tất cả các quy trình đang chạy, triển khai webshell và khởi chạy bất kỳ tệp thực thi nào đã có trong hệ thống.
Theo các nhà nghiên cứu tại Elastic Security Labs đánh giá, REF2754 được cho là có điểm chung về phương pháp tấn công với một nhóm khác có tên REF4322, chủ yếu cũng nhắm mục tiêu vào các thực thể tại Việt Nam để triển khai mã độc có tên gọi là Phoreal (hay Rizzo). Elastic Security Labs cho biết, danh tính nạn nhân của REF2754 là một doanh nghiệp lớn trong lĩnh vực nông nghiệp, có tầm quan trọng mang tính hệ thống trong chuỗi cung ứng sản xuất và phân phối thực phẩm của Việt Nam, tuy nhiên lại không đưa ra cái tên cụ thể.
Các cá nhân và tổ chức cần cập nhật bản vá hệ điều hành Windows và bật chế độ tự động cập nhật. Đồng thời, cần sao lưu dữ liệu thường xuyên và triển khai các giải pháp giám sát an toàn thông tin mạng như phần mềm diệt vi-rút, cài đặt và cấu hình tường lửa trên thiết bị, thực hiện kiểm tra và rà soát để phát hiện kịp thời dấu hiệu bất thường của các cuộc tấn công nhằm ứng cứu, xử lý kịp thời.
Cũng liên quan đến vụ việc này, trước đó tập đoàn Bkav cũng đã phát đi khuyến cáo, cứ 10 máy tính tại Việt Nam thì có 01 máy tồn tại lỗ hổng SMB và có nguy cơ bị lây nhiễm SpectralViper. Đối với các tổ chức, doanh nghiệp cần triển khai thêm giải pháp giám sát an ninh mạng như tường lửa, SOC (trung tâm giám sát an ninh mạng), lập tức phát hiện bất thường nhằm ứng cứu, xử lý kịp thời. Đồng thời, liên hệ các đơn vị chuyên trách về an ninh mạng để được hỗ trợ rà soát toàn bộ hệ thống gồm máy chủ, máy trạm nhằm bóc tách triệt để mã độc nguy hiểm này.