PNG trở thành vỏ bọc mới cho mã độc PureRAT trong chuỗi tấn công nhiều lớp

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
128
1.828 bài viết
PNG trở thành vỏ bọc mới cho mã độc PureRAT trong chuỗi tấn công nhiều lớp
WhiteHat Team
Các nhà nghiên cứu tại Trellix Advanced Research Center vừa phát hiện một chiến dịch PureRAT tinh vi, trong đó tin tặc sử dụng tệp PNG làm lớp vỏ che giấu để phân phối payload dạng fileless, qua đó vượt qua các cơ chế phát hiện dựa trên chữ ký và nhiều lớp phòng thủ endpoint truyền thống. Chiến dịch này kết hợp nhiều kỹ thuật như giấu mã độc bên trong file ảnh, thực thi trong bộ nhớ và các kỹ thuật living-off-the-land để duy trì khả năng ẩn mình trong toàn bộ chuỗi tấn công.
PureRAT.png

Chuỗi tấn công bắt đầu từ một tệp Windows shortcut (.LNK) độc hại. Khi người dùng bấm mở tệp này, nó âm thầm chạy một lệnh PowerShell. Lệnh này tiếp tục tải về một file VBScript đã bị làm rối mã từ máy chủ do tin tặc kiểm soát tại hxxps://crixup[.]com. File VBScript này đóng vai trò như “bộ khởi động” của toàn bộ cuộc tấn công. Nó không gây hại ngay lập tức, mà dùng để điều khiển và kích hoạt các bước tiếp theo trong chuỗi lây nhiễm.

Sau khi chạy, VBScript loader tự sao chép vào thư mục C:\Users\Public\Downloads\ với tên tệp ngẫu nhiên nhằm tránh bị nhận diện theo mẫu cố định. Đồng thời, nó sử dụng Windows Management Instrumentation (WMI) để khởi chạy tiến trình ở chế độ ẩn hoàn toàn, với tham số ShowWindow = 0, khiến cửa sổ thực thi không hiển thị trên hệ thống người dùng.

Để duy trì hoạt động lâu dài, mã độc thiết lập một tác vụ trong Windows Task Scheduler chạy định kỳ mỗi phút. Cơ chế này giúp payload tự động kích hoạt lại ngay cả sau khi hệ thống khởi động lại, đảm bảo khả năng tồn tại liên tục trên máy bị xâm nhập.
1776844785945.png

Chuỗi lây nhiễm (Nguồn: trellix)

Trong quá trình phân tích sâu hơn, các nhà nghiên cứu phát hiện đoạn mã trong VBScript ban đầu thực chất chứa một PowerShell script được nhúng và mã hóa nhiều lớp. Sau khi giải mã, script này tiếp tục kết nối tới cùng máy chủ điều khiển và tải về hai tệp PNG có tên 0xptimized_MSI.png và GeneratedPay.png.

Hai tệp PNG này không đơn thuần là hình ảnh. Chúng chứa payload PE độc hại được mã hóa bằng Base64, sau đó tiếp tục bị đảo chuỗi và thay thế ký tự trước khi được nhúng vào dữ liệu ảnh theo kỹ thuật steganography. Cách làm này giúp mã độc ẩn bên trong cấu trúc file hợp lệ, qua đó né tránh các công cụ phân tích tĩnh và hệ thống phát hiện dựa trên chữ ký.

Sau khi được trích xuất từ file PNG, payload không được ghi xuống ổ cứng mà được nạp trực tiếp vào bộ nhớ thông qua phương thức .NET [System.Reflection.Assembly]::Load() trong PowerShell. Việc thực thi hoàn toàn trong memory giúp mã độc không để lại file vật lý, khiến các công cụ antivirus truyền thống khó phát hiện dấu vết.
1776844892155.png

Miền liên kết (Nguồn: trellix)

Chuỗi tấn công tiếp tục với cơ chế nâng quyền bằng kỹ thuật UAC bypass thông qua tiến trình hợp pháp cmstp.exe. Mã độc tạo một file cấu hình .inf tạm thời chứa lệnh PowerShell nhằm chỉnh sửa khóa registry tại HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, từ đó làm giảm hoặc vô hiệu hóa cơ chế cảnh báo User Account Control.

Sau đó, cmstp.exe được thực thi với tham số /au. Đồng thời, mã độc sử dụng các hàm Windows API để tự động gửi tín hiệu phím Enter vào hộp thoại xác nhận, giúp quá trình nâng quyền diễn ra hoàn toàn tự động mà không cần người dùng tương tác.

Trong giai đoạn tiếp theo, hệ thống thực hiện các kiểm tra nhằm phát hiện xem có đang chạy trong môi trường máy ảo hoặc sandbox hay không. Nếu phát hiện môi trường này, mã độc có thể thay đổi hành vi hoặc tạm dừng hoạt động để né bị phân tích. Bên cạnh đó, có dấu hiệu cho thấy tin tặc sử dụng kỹ thuật process hollowing, cho phép chèn mã độc vào bên trong một tiến trình hợp pháp, cụ thể là msbuild.exe. Nhờ đó, hoạt động độc hại được ẩn trong tiến trình bình thường của hệ thống, khiến các công cụ giám sát khó phát hiện.

Các chỉ số xâm nhập (IOCs) ghi nhận trong chiến dịch bao gồm hash SHA256 của tệp LNK ban đầu, VBScript loader và hai tệp PNG chứa payload. Những chỉ số này có thể hỗ trợ các đội ngũ an ninh mạng trong việc phát hiện và ngăn chặn các biến thể tương tự nếu xuất hiện trong môi trường thực tế.
1776844949473.png

Các chuyên gia khuyến nghị tổ chức cần giám sát chặt chẽ việc tạo tác vụ trong Windows Task Scheduler, hạn chế thực thi PowerShell và VBScript nếu không cần thiết trong hệ thống, đồng thời triển khai cơ chế chặn các chỉ số C2 đã được xác định ở lớp mạng để giảm nguy cơ bị xâm nhập và duy trì hiện diện của mã độc.​

Tổng hợp
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Lỗ hổng “by design” trong MCP: Nguy cơ lan rộng toàn chuỗi cung ứng AI
  • Lỗ hổng trong SGLang: Nguy cơ bị thực thi mã từ xa chỉ từ một file model
  • Nhiều lỗ hổng zero-day trong Microsoft Defender bị khai thác ngoài thực tế
  • Lỗ hổng trong Nginx-ui: Nguy cơ bị chiếm quyền máy chủ chỉ với vài yêu cầu HTTP
  • Hai lỗ hổng nghiêm trọng trong libpng đe dọa hàng loạt ứng dụng xử lý ảnh
  • Trojan ẩn trong file ảnh PNG tấn công các tổ chức y tế
    • Thẻ
    mã độc fileless powershell attack purerat steganography png tin tặc vbscript loader windows shortcut lnk wmi persistence
    Bên trên