Khám phá Trojan mới của BlueNoroff với mục tiêu tấn công người dùng macOS

17:41 | 22/12/2023

Mới đây, các nhà nghiên cứu tới từ hãng bảo mật Kaspersky đã đưa ra báo cáo về việc phát hiện một loại Trojan mới có liên quan đến nhóm tin tặc APT BlueNoroff và chiến dịch RustBucket đang diễn ra. Trojan này là một trình tải độc hại được thiết kế để tải và thực thi mã độc khác trên hệ thống bị xâm nhập với mục tiêu nhắm vào người dùng macOS. Bài viết này sẽ cùng tìm hiểu, khám phá Trojan BlueNoroff cũng như thông tin xoay quanh nhóm tin tặc này.

Chiến dịch RustBucket

Theo Kaspersky, chiến dịch RustBucket được thực hiện bởi nhóm tin tặc APT BlueNoroff, nhóm này được biết đến với việc tấn công các sàn giao dịch tiền điện tử và các tổ chức, công ty tài chính trên thế giới, đã gây ra các mối đe dọa đáng kể cho người dùng ở Nga, Ba Lan, Na Uy, Ấn Độ, Mexico, Úc, Peru và nhiều quốc gia khác. Đáng chú ý, BlueNoroff có liên kết với nhóm gián điệp mạng khét tiếng Lazarus của Tổng cục Trinh sát Triều Tiên (RGB), đã từng thực hiện vụ tấn công mạng nghiêm trọng vào Ngân hàng Trung ương Bangladesh vào năm 2016 và các chiến dịch đánh cắp tiền điện tử từ các tổ chức và cá nhân.

RustBucket lần đầu bị phát hiện vào cuối tháng 4/2023 khi các nhà nghiên cứu tại Jamf Threat Labs (Mỹ) đã mô tả phần mềm độc hại này là một backdoor dựa trên AppleScript có khả năng truy xuất payload giai đoạn hai từ máy chủ từ xa. Các chiến dịch tấn công RustBucket tập trung vào các tổ chức liên quan đến tài chính ở khu vực châu Á, châu Âu và Mỹ.

Phần mềm độc hại trong giai đoạn hai được thiết kế để tải xuống mã độc chính từ máy chủ chỉ huy và kiểm soát (C2), một tệp nhị phân dựa trên Rust với các tính năng thu thập thông tin mở rộng cũng như tìm nạp và chạy các tập lệnh shell trên hệ thống bị xâm nhập.

Khám phá Trojan mới BlueNoroff

Nghiên cứu của Kaspersky cho rằng phiên bản trước đó của RustBucket đã phát tán payload độc hại thông qua một ứng dụng giả mạo được ngụy trang dưới dạng trình đọc PDF. Đối với Trojan mới của BlueNoroff trong phát hiện lần này được tìm thấy bên trong ứng dụng kho lưu trữ ZIP chứa tệp PDF có nội dung về tiền điện tử có tên “Crypto-assets and their risks for financial stability”. Siêu dữ liệu bên trong kho lưu trữ ZIP cho thấy ứng dụng này được tạo từ ngày 21/10/2023.

Hình 1. Kiến trúc của ứng dụng độc hại

Kaspersky cho biết cách kho lưu trữ ZIP được phân phối như thế nào hiện vẫn chưa được làm rõ. Các tin tặc BlueNoroff có thể đã phát tán thông qua email tới các mục tiêu tương tự như cách mà nhóm này đã thực hiện với các chiến dịch trước đây. Điều đáng chú ý, ứng dụng giả mạo có chữ ký số hợp lệ khi được phát hiện nhưng chứng chỉ này đã hết hạn và bị thu hồi.

Hình 2. Thông tin về chữ ký số của ứng dụng

Được viết bằng ngôn ngữ lập trình Swift và có tên gọi là “EdoneViewer”, là một tệp thực thi với định dạng phổ thông (Universal) chứa các phiên bản cho cả chip Intel và Apple Silicon. Việc giải mã payload được xử lý bởi hàm thực hiện chính là CalculateExtameGCD. Trong khi quá trình giải mã đang chạy, ứng dụng sẽ đưa ra các thông báo không liên quan đến thiết bị đầu cuối để làm xáo trộn quy trình và giảm bớt sự cảnh giác của người dùng và các chuyên gia bảo mật. Payload được giải mã có định dạng AppleScript như Hình 3.

Hình 3. Mã AppleScript được thực thi sau khi payload được giải mã

Tập lệnh hợp ngữ và được thực thi thông qua lệnh shell trong Hình 4 như sau:

Hình 4. Lệnh shell

Nhiệm vụ chính của Trojan là tải xuống một loại virus khác, thu thập thông tin về hệ thống bị nhiễm, gửi đến máy chủ C2, sau đó chờ lệnh thực hiện một trong hai hành động có thể xảy ra: tự xóa hoặc lưu vào tệp và thực thi mã độc. Cụ thể, tập lệnh shell sẽ trải qua các bước sau:

- Tải xuống tệp PDF và lưu tại thư mục: /Users/Shared/Crypto-asset có chứa tệp stability.pdf rồi mở tệp đó. Đây là một tệp tin lành tính được đưa ra như một cách để đánh lạc hướng các chuyên gia bảo mật.

Hình 5. Trang tiêu đề của tệp mồi nhử PDF mà RustBucket tải xuống và hiện thị cho người dùng khi khởi chạy tệp từ kho lưu trữ ZIP độc hại

- Gửi yêu cầu POST tới máy chủ và lưu phản hồi vào một tệp ẩn có tên “.pw” và lưu tại thư mục: /Users/Shared/.

- Cấp quyền cho tệp và thực thi nó với địa chỉ của máy chủ C2 làm đối số.

Máy chủ C2 được lưu trữ tại địa chỉ hxxp://on-global[.]xyz, một tên miền được đăng ký khá gần đây (ngày 20/10/2023). Kaspersky không thể tìm thấy bất kỳ liên kết nào giữa tên miền này với bất kỳ tệp hoặc mối đe dọa nào khác.

Tệp .pw là một Trojan mà Kaspersky đã phát hiện vào tháng 8/2023. Giống như một loại trình tải phần mềm độc hại, tệp này có định dạng được thể hiện trong Hình 6.

Hình 6. Chi tiết về tệp .pw

Tệp sẽ thu thập và gửi một số thông tin hệ thống tới máy chủ C2, bao gồm: tên máy tính; phiên bản của hệ điều hành; múi giờ; ngày khởi động thiết bị; ngày cài đặt hệ điều hành; thời gian hiện tại; danh sách các tiến trình đang chạy

Dữ liệu được thu thập và chuyển tiếp theo chu kỳ mỗi phút. Trojan chờ đợi một trong ba lệnh sau sẽ phản hồi:

- Lệnh #0x0: Lưu phản hồi vào tập tin và chạy.

- Lệnh #0x1: Xóa bản sao cục bộ và tắt máy tính.

- Bất kỳ tham số nào khác: Tiếp tục chờ lệnh.

Sau khi nhận được lệnh 0x0, chương trình sẽ lưu dữ liệu được gửi bằng lệnh vào tệp chia sẻ có tên “.pld” tại thư mục: /Users/Shared/, cấp cho nó quyền đọc, ghi và thực thi nó.

Hình 7. Đoạn mã ghi và thực thi tệp đã tải xuống

Tuy nhiên, trong quá trình phân tích, các nhà nghiên cứu đã không nhận được một tập lệnh nào từ máy chủ, vì vậy họ không thể tìm ra nội dung của giai đoạn tấn công về sau. Trojan hiện có thể được phát hiện bởi hầu hết các giải pháp chống phần mềm độc hại như VirusTotal.

Hình 8. Chi tiết lần tải thứ 2 trên VirusTotal

Về nhóm tin tặc BlueNoroff

Trước đây, BlueNoroff thường sử dụng các tệp Windows shortcut được nén và các tệp Word làm vectơ để bắt đầu lây nhiễm phần mềm độc hại. Trong các trường hợp trước đây, các tin tặc cũng sử dụng các tập lệnh PowerShell, Visual Basic và các backdoor tùy chỉnh với các chức năng đa dạng, bao gồm các thao tác thư mục và tệp, cập nhật cấu hình, registry, tiến trình, thực thi lệnh và đánh cắp dữ liệu từ nhiều phần mềm và trình duyệt khác nhau, chẳng hạn như WinSCP, Putty hay Chrome.

Trong một số trường hợp, BlueNoroff thể hiện sự kiên trì đáng kể, chờ đợi hàng tháng trước khi thực hiện hành vi đánh cắp tiền điện tử một cách liền mạch. Các hệ thống bị xâm nhập đã tạo cơ hội cho tin tặc thu thập thông tin xác thực cần thiết và thao túng các tiện ích mở rộng của trình duyệt như Metamask, cho phép chúng chặn các giao dịch và rút hết tài khoản tiền điện tử.

Trong khi đó, Kaspersky đã đưa ra cảnh báo cho người dùng macOS về việc phát hiện gần đây các ứng dụng bị bẻ khóa (crack) được phân phối bởi các trang web trái phép. Các ứng dụng này được cài sẵn Trojan Proxy.

Người dùng cá nhân nếu chọn phiên bản miễn phí của các phần mềm trả phí trên những ứng dụng bị bẻ khóa có nguy cơ tải xuống trình cài đặt .PKG chứa các tập lệnh độc hại. Sau khi quá trình cài đặt ứng dụng hoàn tất, các tập lệnh này sẽ được thực thi, dẫn đến việc thay thế các tệp hệ thống cụ thể và sau đó cấp cho tin tặc quyền trên thiết bị bị xâm nhập.

Theo cuộc điều tra năm 2021 của Kaspersky, các thành viên của nhóm BlueNoroff đã tích cực thăm dò và giám sát các công ty khởi nghiệp tiền điện tử thành công. Cách tiếp cận này cho phép các tin tặc thực hiện các cuộc tấn công lừa đảo qua mạng tinh vi được ngụy trang dưới dạng các tương tác thông thường. Ví dụ: tin tặc sử dụng những lời mời thuyết phục như thông báo Google Drive giả mạo hoặc email chuyển tiếp để đánh lừa nạn nhân mở tài liệu độc hại.

Năm 2019, Bộ Tài chính Mỹ đã đưa ra lệnh trừng phạt BlueNoroff và hai nhóm tin tặc khác của Triều Tiên (Lazarus và Andariel) vì chuyển tài sản tài chính bị đánh cắp cho Chính phủ Triều Tiên. Theo một báo cáo của Liên Hợp Quốc từ 4 năm trước, các tin tặc nhà nước Triều Tiên đã đánh cắp khoảng 2 tỷ USD trong ít nhất 35 cuộc tấn công mạng nhắm vào các ngân hàng và sàn giao dịch tiền điện tử trên hơn chục quốc gia trên thế giới.

Nhận định của các chuyên gia an ninh mạng

Theo ông Bùi Ngọc, chuyên gia an ninh mạng tại hãng bảo mật Menlo Security (Mỹ) cho biết, việc phát hiện ra Trojan mới cho thấy các tin tặc BlueNoroff đang tiếp tục phát triển phần mềm độc hại mới và tinh vi.

“Trojan mới được phát hiện này rất nguy hiểm đối với người dùng macOS vì nó được ngụy trang dưới dạng phần mềm hợp pháp và có thể khó phát hiện. Phần mềm độc hại cũng có thể đánh cắp dữ liệu nhạy cảm, chẳng hạn như ví tiền điện tử và mật khẩu”, ông Ngọc đánh giá thêm.

Ông John Gallagher, Phó chủ tịch của công ty an ninh mạng Viakoo Labs (Mỹ) đánh giá, các nhóm tác nhân đe dọa như BlueNoroff và Lazarus sẽ tiếp tục sử dụng và phát triển thêm các mối đe dọa mới dựa trên RustBucket.

Trong khi đó, theo Giám đốc sản phẩm của công ty an ninh mạng StrikeReady (Mỹ), ông Anurag Gurtu cho biết điều quan trọng là việc mở rộng bộ công cụ tấn công của BlueNoroff để nhắm mục tiêu đến người dùng macOS, tiết lộ rằng ngay cả những hệ thống được nhắm mục tiêu ít thường xuyên hơn cũng gặp phải rủi ro, đặc biệt khi macOS trở nên phổ biến trong môi trường kinh doanh.

Gurtu cho biết: “Điều này cũng nhấn mạnh bản chất hoạt động dai dẳng của các nhóm tin tặc được nhà nước bảo trợ và các chiến thuật ngày càng phát triển của chúng. Đối với người dùng macOS, Trojan mới BlueNoroff thể hiện một mối đe dọa bảo mật đáng kể vì nó tác động đến nhận thức phổ biến của người dùng rằng macOS ít bị phần mềm độc hại ảnh hưởng hơn. Đồng thời cũng chỉ ra rằng những kẻ tấn công sẵn sàng đầu tư nguồn lực để phát triển phần mềm độc hại cho các nền tảng đang phát triển trong một số lĩnh vực nhất định”.