Cấu trúc mới
ESET cho biết: “Cấu trúc của Deadglyph có điểm khác biệt với các phầm mềm độc hại khác vì nó bao gồm các thành phần kết hợp - một là tệp nhị phân x64 gốc, một là hợp ngữ .NET. Điều này là bất thường vì phần mềm độc hại chủ yếu chỉ sử dụng một ngôn ngữ lập trình cho các thành phần của nó. Sự khác biệt này có thể cho thấy sự phát triển riêng biệt của hai thành phần đó, đồng thời lợi dụng các tính năng độc đáo của các ngôn ngữ lập trình riêng biệt mà chúng sử dụng”.
Trong một báo cáo mới được công bố tại Hội nghị an ninh mạng LABScon, nhà nghiên cứu Filip Jurčacko của ESET cũng đã chia sẻ phân tích về phần mềm độc hại mô-đun mới và cách nó lây nhiễm vào các thiết bị Windows.
Jurčacko cho biết các thành phần chính của Deadglyph được bảo vệ bằng cách mã hóa với khóa dành riêng cho máy, điều này thường ngăn cản việc phân tích sâu hơn. Các nhà nghiên cứu cũng nghi ngờ rằng việc sử dụng các ngôn ngữ lập trình khác nhau là một chiến thuật có chủ ý nhằm cản trở việc phân tích, khiến việc điều hướng và gỡ lỗi trở nên khó khăn hơn rất nhiều.
Không giống như các backdoor truyền thống khác cùng chủng loại, các lệnh được nhận từ máy chủ do tác nhân điều khiển dưới dạng các mô-đun bổ sung cho phép nó tạo quy trình mới, đọc tệp và thu thập thông tin từ các hệ thống bị xâm nhập.
Stealth Falcon (hay còn gọi là FruityArmor) lần đầu tiên bị các nhà nghiên cứu tại Citizen Lab công bố phát hiện vào năm 2016, liên kết nó với một loạt các cuộc tấn công bằng phần mềm gián điệp có chủ đích ở Trung Đông nhằm vào các nhà báo, nhà hoạt động và nhà bất đồng chính kiến ở UAE, bằng cách nhúng các liên kết lừa đảo được thiết kế đặc biệt trỏ đến các tài liệu macro nhằm phân phối phần mềm độc hại có khả năng thực hiện các lệnh tùy ý.
Một cuộc điều tra tiếp theo do hãng tin Reuters thực hiện vào năm 2019 đã tiết lộ một hoạt động bí mật có tên “Project Raven”, có sự tham gia của một nhóm cựu đặc vụ tình báo Mỹ được Công ty an ninh mạng DarkMatter tuyển dụng để theo dõi các mục tiêu chỉ trích chế độ quân chủ Ả Rập.
Stealth Falcon và Project Raven được cho là cùng một nhóm dựa trên sự giống nhau về chiến thuật và mục tiêu. Kể từ đó, nhóm này được cho là có liên quan đến việc khai thác các lỗ hổng zero-day của Windows như CVE-2018-8611 và CVE-2019-0797. Công ty an ninh mạng Mandiant đã lưu ý vào tháng 4/2020 rằng nhóm gián điệp này đã sử dụng nhiều lỗi zero-day hơn bất kỳ nhóm nào khác từ năm 2016 đến năm 2019. Cùng lúc đó, ESET cũng thông tin chi tiết việc tin tặc sử dụng một backdoor có tên Win32/StealthFalcon, được phát hiện là sử dụng Background Intelligent Transfer Service (BITS - Dịch vụ để quản lý quá trình tải và cài đặt các bản cập nhật trên Windows) để liên lạc bằng lệnh và điều khiển (C2) và giành quyền kiểm soát hoàn toàn điểm cuối.
Cuộc tấn công của Deadglyph
Deadglyph là sự bổ sung mới nhất cho kho vũ khí tấn công mạng của Stealth Falcon. Theo các nhà nghiên cứu ESET, họ đã phân tích một cuộc tấn công xâm nhập vào một thực thể chính phủ ở Trung Đông.
Phương pháp chính xác được sử dụng để phân phối phần mềm độc hại hiện chưa được xác định, nhưng theo các nhà nghiên cứu của ESET thì thành phần ban đầu kích hoạt việc thực thi nó là một trình tải shellcode đăng ký (DLL) giúp trích xuất mã từ Windows Register để tải thành phần “Executor” (x64), sau đó tải thành phần .NET được gọi là Orchestrator.
Hình 1. Chuỗi tải trình tải xuống Shellcode
Các nhà nghiên cứu cho biết rằng chỉ thành phần ban đầu tồn tại trên đĩa của hệ thống bị xâm nhập dưới dạng tệp DLL, giảm thiểu khả năng bị phát hiện. Bên cạnh đó, việc tải shellcode từ Windows Register, mã này được mã hóa để khiến việc phân tích trở nên khó khăn hơn.
Vì thành phần DLL được lưu trữ trên hệ thống tệp tin nên nó có nhiều khả năng bị phát hiện hơn. Do đó, những kẻ đe dọa đã sử dụng một cuộc tấn công chữ đồng âm (Homoglyph) bằng cách sử dụng các ký tự Unicode tiếng Hy Lạp và Cyrillic riêng biệt để bắt chước thông tin của Microsoft và xuất hiện dưới dạng tệp Windows hợp pháp.
Thành phần Executor tải các cấu hình được mã hóa AES cho backdoor, khởi tạo thời gian chạy .NET trên hệ thống, tải phần .NET của backdoor và hoạt động như thư viện của nó. Cuối cùng, Orchestrator chịu trách nhiệm liên lạc với máy chủ C2 sử dụng hai mô-đun là Network và Timer. Nếu backdoor không thiết lập liên lạc với máy chủ C2 sau một khoảng thời gian xác định, nó sẽ kích hoạt cơ chế tự loại bỏ để ngăn chặn việc phân tích của các nhà nghiên cứu và chuyên gia an ninh mạng.
Hình 2. Các thành phần của chuỗi tải Deadglyph
Các lệnh nhận được từ máy chủ được xếp hàng đợi để thực thi và có thể thuộc một trong ba loại: Orchestrator; Executor và Upload.
ESET cho biết: “Các tác vụ của người thực thi cung cấp khả năng quản lý backdoor và thực thi các mô-đun bổ sung. Các tác vụ Orchestrator cung cấp khả năng quản lý cấu hình của mô-đun Network và Timer, đồng thời hủy các tác vụ đang chờ xử lý”.
Một số tác vụ Executor được xác định bao gồm tạo quy trình, truy cập tệp và thu thập siêu dữ liệu (metadata) hệ thống. Mô-đun Timer được sử dụng để thăm dò định kỳ máy chủ C2 kết hợp với mô-đun Network, mô-đun này thực hiện liên lạc C2 bằng cách sử dụng các yêu cầu HTTPS POST. Các tác vụ Upload cho phép backdoor tải lên đầu ra của các lệnh và lỗi.
Hình 3. Mã nguồn cấu hình mô-đun Network
ESET cho biết họ cũng xác định được một tệp Control Panel (CPL) đã được tải lên VirusTotal từ Qatar, tệp này được cho là có chức năng như điểm khởi đầu của chuỗi nhiều giai đoạn mở đường cho trình tải xuống shellcode có chung một số mã tương tự với Deadglyph.
Hình 4. Vị trí địa lý nạn nhân của Deadglyph - mẫu liên quan đã được tải lên VirusTotal từ Qatar (có màu đậm hơn)
Mặc dù, bản chất của shellcode được lấy từ máy chủ C2 vẫn chưa rõ ràng nhưng có giả thuyết cho rằng nội dung đó có thể đóng vai trò là trình cài đặt cho phần mềm độc hại Deadglyph.
Các nhà nghiên cứu đánh giá rằng: “Deadglyph nổi bật khi có một loạt cơ chế chống phát hiện, bao gồm giám sát liên tục các quy trình hệ thống và triển khai các mẫu mạng ngẫu nhiên. Hơn nữa, backdoor có khả năng tự gỡ cài đặt để giảm thiểu khả năng bị phát hiện trong một số trường hợp nhất định”.