-
09/04/2020
-
108
-
964 bài viết
GitHub bị lợi dụng phát tán Amadey và mã độc đánh cắp thông tin
Một chiến dịch tấn công đang âm thầm diễn ra nhắm vào người dùng Windows, sử dụng phần mềm độc hại Amadey như một điểm trung chuyển để cài thêm nhiều mã độc đánh cắp dữ liệu. Kẻ tấn công đã tận dụng các kho lưu trữ công khai trên GitHub như một trạm phát tán payload, từ đó vượt qua hầu hết các bộ lọc web truyền thống. Sự việc một lần nữa gióng lên hồi chuông cảnh báo về việc các nền tảng hợp pháp có thể bị biến thành trung gian phát tán phần mềm độc hại.
Chiến dịch bắt đầu bằng việc cài cắm một trình tải mã độc có tên Emmenhtal, còn được biết đến với tên PEAKLIGHT. Mã độc này được viết bằng ngôn ngữ AutoIt, thường được sử dụng trong các công cụ tự động hóa, cho phép ngụy trang dễ dàng dưới dạng phần mềm vô hại. Emmenhtal được đóng gói cùng thư viện DLL tùy biến để thực hiện các hành vi ẩn mình, bao gồm giám sát tiến trình, che giấu hoạt động mạng và làm chậm quá trình phân tích kỹ thuật. Sau khi được thực thi, Emmenhtal thiết lập kết nối tới máy chủ điều khiển từ xa, tải về mã độc Amadey và kích hoạt nó thông qua tiện ích mshta.exe của Windows. Đây là một kỹ thuật thường được các nhóm tấn công sử dụng nhằm tránh bị phần mềm bảo mật phát hiện vì tận dụng các thành phần hợp pháp sẵn có trong hệ điều hành thay vì gọi trực tiếp các hành vi bất thường.
Amadey hoạt động như một nền tảng trung gian chuyên biệt, đóng vai trò như một hệ điều hành thu nhỏ dành riêng cho mã độc. Khi được triển khai vào hệ thống, Amadey không tự thực hiện các hành vi tấn công phức tạp mà thay vào đó hỗ trợ tải và quản lý các plugin tùy biến. Các plugin này thực hiện từng nhiệm vụ cụ thể như đánh cắp thông tin đăng nhập từ trình duyệt, trích xuất dữ liệu từ phần mềm email, truy cập vào FTP và VPN hoặc chụp lại màn hình người dùng theo thời gian thực. Trong chiến dịch lần này, Amadey được lập trình để kết nối tới các kho lưu trữ công khai trên GitHub nhằm tải về các thành phần độc hại bổ sung. Thay vì sử dụng hạ tầng C2 truyền thống dễ bị nhận diện, nhóm tấn công tận dụng GitHub như một máy chủ phân phối mã độc với lợi thế vượt qua hầu hết chính sách lọc nội dung mạng nhờ danh tiếng và độ tin cậy vốn có của nền tảng này trong môi trường doanh nghiệp.
Chiến dịch lợi dụng ba tài khoản GitHub công khai gồm Legendary99999, DFfe9ewf và Milidmdds để lưu trữ và phân phối mã độc. Các kho này chứa hàng loạt tệp thực thi định dạng .exe, thư viện .dll và script PowerShell, đóng vai trò như plugin mở rộng cho Amadey hoặc được sử dụng như các payload độc lập. Đáng chú ý, nhiều tệp trong số đó chứa các stealer đã có tiếng trên thị trường chợ đen như Lumma Stealer, RedLine Stealer và Rhadamanthys. Đây đều là những mã độc được thiết kế chuyên biệt để đánh cắp thông tin trình duyệt, cookie đăng nhập, dữ liệu ví tiền điện tử cùng nhiều thông tin nhạy cảm khác của người dùng. Việc tích hợp các công cụ đánh cắp mạnh như vậy giúp mở rộng đáng kể phạm vi khai thác và giá trị của mỗi máy nạn nhân bị kiểm soát.
Một điểm tinh vi trong chiến dịch là việc sử dụng các tệp văn bản .txt trên GitHub như bảng điều khiển từ xa ở dạng thô sơ. Mỗi tệp chứa danh sách URL dẫn đến các payload thực sự, cho phép kẻ tấn công dễ dàng cập nhật chuỗi tải xuống mà không cần chỉnh sửa mã Amadey đã cài trên máy nạn nhân. Cách tiếp cận này giúp nhóm tấn công duy trì sự linh hoạt trong điều phối chiến dịch, đồng thời che giấu mục đích thực sự bằng cách dùng định dạng văn bản đơn giản. Chính sự ngụy trang này khiến việc phát hiện hành vi độc hại trở nên khó khăn hơn, trong khi độ trễ khi phát lệnh và phân phối mã độc được giữ ở mức tối thiểu.
Chiến dịch cho thấy mức độ nguy hiểm khi mã độc được phân phối thông qua các nền tảng hợp pháp như GitHub, nơi vốn được mặc định là an toàn. Việc che giấu payload trong các kho lưu trữ công khai giúp kẻ tấn công dễ dàng vượt qua các lớp phòng vệ truyền thống. Đây là lời nhắc mạnh mẽ rằng người dùng và cả các tổ chức cần thận trọng hơn với mọi tệp tải về, dù đến từ nguồn tưởng chừng đáng tin cậy.
Chiến dịch bắt đầu bằng việc cài cắm một trình tải mã độc có tên Emmenhtal, còn được biết đến với tên PEAKLIGHT. Mã độc này được viết bằng ngôn ngữ AutoIt, thường được sử dụng trong các công cụ tự động hóa, cho phép ngụy trang dễ dàng dưới dạng phần mềm vô hại. Emmenhtal được đóng gói cùng thư viện DLL tùy biến để thực hiện các hành vi ẩn mình, bao gồm giám sát tiến trình, che giấu hoạt động mạng và làm chậm quá trình phân tích kỹ thuật. Sau khi được thực thi, Emmenhtal thiết lập kết nối tới máy chủ điều khiển từ xa, tải về mã độc Amadey và kích hoạt nó thông qua tiện ích mshta.exe của Windows. Đây là một kỹ thuật thường được các nhóm tấn công sử dụng nhằm tránh bị phần mềm bảo mật phát hiện vì tận dụng các thành phần hợp pháp sẵn có trong hệ điều hành thay vì gọi trực tiếp các hành vi bất thường.
Amadey hoạt động như một nền tảng trung gian chuyên biệt, đóng vai trò như một hệ điều hành thu nhỏ dành riêng cho mã độc. Khi được triển khai vào hệ thống, Amadey không tự thực hiện các hành vi tấn công phức tạp mà thay vào đó hỗ trợ tải và quản lý các plugin tùy biến. Các plugin này thực hiện từng nhiệm vụ cụ thể như đánh cắp thông tin đăng nhập từ trình duyệt, trích xuất dữ liệu từ phần mềm email, truy cập vào FTP và VPN hoặc chụp lại màn hình người dùng theo thời gian thực. Trong chiến dịch lần này, Amadey được lập trình để kết nối tới các kho lưu trữ công khai trên GitHub nhằm tải về các thành phần độc hại bổ sung. Thay vì sử dụng hạ tầng C2 truyền thống dễ bị nhận diện, nhóm tấn công tận dụng GitHub như một máy chủ phân phối mã độc với lợi thế vượt qua hầu hết chính sách lọc nội dung mạng nhờ danh tiếng và độ tin cậy vốn có của nền tảng này trong môi trường doanh nghiệp.
Chiến dịch lợi dụng ba tài khoản GitHub công khai gồm Legendary99999, DFfe9ewf và Milidmdds để lưu trữ và phân phối mã độc. Các kho này chứa hàng loạt tệp thực thi định dạng .exe, thư viện .dll và script PowerShell, đóng vai trò như plugin mở rộng cho Amadey hoặc được sử dụng như các payload độc lập. Đáng chú ý, nhiều tệp trong số đó chứa các stealer đã có tiếng trên thị trường chợ đen như Lumma Stealer, RedLine Stealer và Rhadamanthys. Đây đều là những mã độc được thiết kế chuyên biệt để đánh cắp thông tin trình duyệt, cookie đăng nhập, dữ liệu ví tiền điện tử cùng nhiều thông tin nhạy cảm khác của người dùng. Việc tích hợp các công cụ đánh cắp mạnh như vậy giúp mở rộng đáng kể phạm vi khai thác và giá trị của mỗi máy nạn nhân bị kiểm soát.
Một điểm tinh vi trong chiến dịch là việc sử dụng các tệp văn bản .txt trên GitHub như bảng điều khiển từ xa ở dạng thô sơ. Mỗi tệp chứa danh sách URL dẫn đến các payload thực sự, cho phép kẻ tấn công dễ dàng cập nhật chuỗi tải xuống mà không cần chỉnh sửa mã Amadey đã cài trên máy nạn nhân. Cách tiếp cận này giúp nhóm tấn công duy trì sự linh hoạt trong điều phối chiến dịch, đồng thời che giấu mục đích thực sự bằng cách dùng định dạng văn bản đơn giản. Chính sự ngụy trang này khiến việc phát hiện hành vi độc hại trở nên khó khăn hơn, trong khi độ trễ khi phát lệnh và phân phối mã độc được giữ ở mức tối thiểu.
Chiến dịch cho thấy mức độ nguy hiểm khi mã độc được phân phối thông qua các nền tảng hợp pháp như GitHub, nơi vốn được mặc định là an toàn. Việc che giấu payload trong các kho lưu trữ công khai giúp kẻ tấn công dễ dàng vượt qua các lớp phòng vệ truyền thống. Đây là lời nhắc mạnh mẽ rằng người dùng và cả các tổ chức cần thận trọng hơn với mọi tệp tải về, dù đến từ nguồn tưởng chừng đáng tin cậy.
Theo The Hacker News
Chỉnh sửa lần cuối: