-
09/04/2020
-
125
-
1.571 bài viết
Cuộc đổ bộ của các công cụ gián điệp thế hệ mới tại Đông Nam Á nhắm vào cơ quan nhà nước
Nhóm APT đình đám HoneyMyte hay còn gọi là Mustang Panda, Bronze President vừa chính thức kích hoạt chiến dịch gián điệp mới, nhắm mục tiêu trọng điểm vào các cơ quan chính phủ tại khu vực Đông Nam Á và châu Âu. Trong lần trở lại này, nhóm đã thực hiện một bước nhảy vọt về kỹ thuật khi nâng cấp kho vũ khí độc hại, biến các dòng backdoor quen thuộc như CoolClient trở nên tinh vi và khó bị phát hiện hơn bao giờ hết.
Các dấu hiệu ban đầu cho thấy đây không phải một đợt tấn công đơn lẻ. Hạ tầng được triển khai có chủ đích, công cụ được tái sử dụng có chọn lọc và chuỗi xâm nhập được thiết kế để tồn tại lâu dài trong hệ thống nạn nhân. Trọng tâm của chiến dịch tập trung vào các cơ quan chính phủ và tổ chức nhà nước, với phạm vi nạn nhân trải rộng tại Đông Nam Á và một số quốc gia lân cận như Myanmar, Mông Cổ, Malaysia, Pakistan, Thái Lan và Nga.
CoolClient không phải là một dòng mã độc mới. Mẫu backdoor này đã được ghi nhận từ năm 2022 và xuất hiện rải rác trong các chiến dịch trước đó của HoneyMyte. Tuy nhiên, các biến thể gần đây cho thấy sự thay đổi rõ rệt cả về cấu trúc lẫn chức năng. Nhóm tấn công tiếp tục trung thành với kỹ thuật DLL sideloading, lạm dụng các phần mềm hợp pháp đã được ký số để nạp mã độc, qua đó làm giảm nguy cơ bị phát hiện trong giai đoạn xâm nhập ban đầu.
CoolClient không phải là một dòng mã độc mới. Mẫu backdoor này đã được ghi nhận từ năm 2022 và xuất hiện rải rác trong các chiến dịch trước đó của HoneyMyte. Tuy nhiên, các biến thể gần đây cho thấy sự thay đổi rõ rệt cả về cấu trúc lẫn chức năng. Nhóm tấn công tiếp tục trung thành với kỹ thuật DLL sideloading, lạm dụng các phần mềm hợp pháp đã được ký số để nạp mã độc, qua đó làm giảm nguy cơ bị phát hiện trong giai đoạn xâm nhập ban đầu.
Chiến thuật DLL Sideloading và cơ chế thực thi đa tầng
Điểm cốt lõi trong chuỗi tấn công của HoneyMyte giai đoạn 2021-2025 là lạm dụng kỹ thuật DLL Sideloading thông qua các phần mềm có chữ ký số hợp lệ như BitDefender, VLC và đặc biệt là bộ công cụ của Sangfor. Biến thể mới nhất của CoolClient sử dụng tệp thực thi sạch Sang.exe để nạp mã độc libngs.dll. Sau khi kích hoạt, DLL này sẽ giải mã các tệp cấu hình loader.dat và time.dat để triển khai shellcode trực tiếp vào bộ nhớ, giúp mã độc lẩn trốn sự quét rác của các giải pháp bảo mật truyền thống.
Các biến thể CoolClient lạm dụng nhiều phần mềm khác nhau để thực hiện DLL sideloading trong giai đoạn 2021–2025 (Nguồn: Securelist)
Quy trình thực thi của CoolClient được chia làm ba giai đoạn nghiêm ngặt thông qua các tham số:
- Install: Thiết lập sự hiện diện bền vững (persistence) qua Registry Run key và tạo dịch vụ hệ thống media_updaten.
- Work: Tiến hành tiêm mã (injection) vào tiến trình hệ thống write.exe.
- PassUAC: Sử dụng các kỹ thuật giả mạo PEB (Process Environment Block) và ComboxResetTask để vượt qua cơ chế kiểm soát tài khoản người dùng (UAC) trên Windows 10 và 11.
CoolClient: Từ Backdoor đến "siêu gián điệp" đa năng
Không còn dừng ở vai trò một backdoor truyền thống, CoolClient trong chiến dịch lần này được mở rộng thành một nền tảng gián điệp hoàn chỉnh. Bên cạnh các chức năng quen thuộc như thu thập thông tin hệ thống, quản lý tệp tin và thiết lập TCP tunneling, phiên bản năm 2025 bổ sung nhiều module giám sát có mức độ rủi ro cao.
Hàm được sử dụng để tìm và trích xuất thông tin xác thực được mã hóa Base64 từ tiêu đề ủy quyền proxy HTTP (Nguồn: Securelist)
Đáng chú ý là khả năng theo dõi clipboard theo thời gian thực. Dữ liệu thu thập được mã hóa bằng XOR và lưu trữ tạm thời trong tệp AppxProvisioning.xml, một lựa chọn giúp mã độc tránh gây chú ý trong quá trình hoạt động. Song song đó, kỹ thuật sniffing proxy HTTP cũng được nâng cấp, cho phép phân tích tiêu đề Proxy-Authorization: Basic, giải mã Base64 và đánh cắp thông tin xác thực proxy của hệ thống mục tiêu. Khi kết hợp với các plugin như FileMgrS.dll và RemoteShellS.dll, nhóm tấn công có thể quản lý tệp tin và mở shell ẩn thông qua pipe I/O, từ đó kiểm soát sâu hạ tầng của nạn nhân.
Kho tập lệnh Recon và đánh cắp dữ liệu trình duyệt
HoneyMyte không chỉ phụ thuộc vào CoolClient mà còn triển khai một hệ sinh thái công cụ hỗ trợ được thiết kế bài bản. Các chuyên gia ghi nhận sự xuất hiện của bộ stealer chuyên biệt nhắm vào Chrome, Edge và các trình duyệt dựa trên Chromium. Những công cụ này sao chép tệp Login Data sang thư mục tạm, sử dụng DPAPI để giải mã khóa Local State và trích xuất toàn bộ mật khẩu dưới dạng văn bản.
Hàm sao chép dữ liệu đăng nhập Chrome vào tệp tạm chromeTmp để trích xuất dữ liệu (Nguồn: Securelist)
Hệ thống tập lệnh (scripts) hỗ trợ cũng được tối ưu hóa cho mục đích trinh sát và che dấu hoạt động:
- 1.bat: Tự động tải công cụ nbtscan, thu thập thông tin mạng và Registry, sau đó nén dữ liệu bằng RAR để đẩy lên máy chủ FTP.
- Ttraazcs32.ps1: Quét sâu các thư mục Desktop, Downloads và các ổ đĩa từ D đến Z để tìm kiếm các tệp tài liệu nhạy cảm (.doc, .xls, .pdf).
- t.ps1: Chuyên trách việc đánh cắp dữ liệu trình duyệt và sử dụng API của Pixeldrain để đẩy dữ liệu ra ngoài một cách kín đáo.
Khuyến nghị
Trước khả năng tùy biến vũ khí liên tục như HoneyMyte, các quản trị viên hệ thống cần thực hiện ngay lộ trình phòng thủ 4 lớp sau:
- Kiểm soát chặt chẽ việc nạp DLL bằng chính sách Application Control, chỉ cho phép các thư viện nằm trong danh sách trắng được thực thi trên hệ thống.
- Giám sát hành vi tiến trình qua EDR để phát hiện sớm các dấu hiệu tiêm mã vào svchost.exe hoặc write.exe, đặc biệt là các hành vi truy cập trái phép vào dữ liệu trình duyệt.
- Loại bỏ các phương thức xác thực Proxy yếu như HTTP Basic và thay thế bằng Kerberos để vô hiệu hóa module sniffing của mã độc.
- Thực hiện phân vùng mạng triệt để và kiểm soát nghiêm ngặt các thiết bị lưu trữ ngoại vi nhằm ngăn chặn sự lây lan của các biến thể USB worm như Tonedisk.
- Giám sát và chặn lưu lượng gửi đến các dịch vụ lưu trữ tệp tin công cộng không nằm trong danh mục nghiệp vụ để ngăn chặn hành vi trích xuất dữ liệu kín đáo.
Theo Cyber Security News