Skip to main content
HashnodeFPT IS SecurityFPT IS Security

Command Palette

Search for a command to run...

EarthTime bị khai thác nhằm phát tán các mã độc nguy hiểm

Updated
5 min read
M
Mai Đức Nam Anh
Part of seriesNewsletters

Vừa qua, một chiến dịch tấn công phát tán mã độc mới đã được công bố trên The DFIR Report. Cụ thể, tin tặc tặc đã nhắm tới phần mềm EarthTime do DeskSoft phát triển, biến công cụ này thành trojan giúp phát tán các payload độc hại vào hệ thống nạn nhân.

Thông tin chi tiết

EarthTime, một tiện ích đồng hồ thế giới, cho phép người dùng theo dõi nhiều múi giờ và xem dữ liệu thiên văn như giờ mặt trời mọc và lặn tại các địa điểm khác nhau. Ứng dụng này hữu ích cho người dùng doanh nghiệp và khách du lịch cần phối hợp hoạt động giữa nhiều múi giờ.

Theo các chuyên gia an ninh mạng, chiến dịch tấn công phát tán mã độc thông qua EarthTime có thể đã bắt đầu từ tháng 09/2024. Tin tặc tấn công vào trang chủ của DeskSoft, thay thế ứng dụng EarthTime hợp lệ trên website bằng một phiên bản EarthTime.exe có chứa chứng chỉ được ký bởi "Brave Pragmatic Network Technology Co., Ltd" - vốn được biết là một tổ chức CA bị xâm phạm và chuyên ký chứng chỉ cho các phần mềm độc hại như LummaStealer, RedLine, Lumma-like,...

Tệp EarthTime.exe sau khi được cài đặt trên hệ thống sẽ khởi tạo chuỗi thực thi dẫn đến việc triển khai SecTopRat, một RAT dựa trên .NET với khả năng đánh cắp thông tin. Sau đó một payload thứ cấp — SystemBC (ngụy trang thành WakeWordEngine.dll) — được lưu tại C:\Users\Public\Music và được thực thi bằng rundll32.exe nhằm thiết lập đường hầm proxy cho các kết nối RDP. Chuỗi triển khai độc hại này cho phép kẻ tấn công vượt qua kiểm soát biên mạng và di chuyển trong hệ thống mà không kích hoạt cảnh báo đặc quyền cao.

Với SystemBC tunnel, kẻ tấn công có thể kết nối đến các máy chủ nội bộ thông qua RDP, sử dụng nhiều công cụ tích hợp sẵn và của bên thứ ba để khám phá và di chuyển ngang. Các công cụ chính gồm:

Công cụ / Kỹ thuậtMục đíchQuan sát
AdFindLiệt kê subnet trong Active DirectoryTruy vấn CN=Subnets để lấy dữ liệu sơ đồ mạng
SharpHound (đổi tên sh.exe)Thu thập dữ liệu cho BloodHoundSinh 1.271 yêu cầu DNS A, ghi file BloodHound
SoftPerfect NetScanQuét cổng mạngQuét RPC, SMB, RDP
Impacket wmiexecThực thi lệnh từ xa qua WMISinh tiến trình cmd.exe trên domain controller để liệt kê thông tin

Trong các phiên này, kẻ tấn công thực hiện tấn công DCSync để lấy thông tin xác thực miền và dùng PsExec với quyền SYSTEM để triển khai thêm các bản SystemBC khác và ghi ra một tệp thực thi mới - ccs.exe, được xác định là backdoor đa năng Betruger. Betruger ngụy trang thành Avast Antivirus, tiêm vào 172 tiến trình để lấy thông tin đăng nhập, chụp màn hình, và do thám mạng hệ thống bị lây nhiễm, đồng thời một DLL nạp tên vhd.dll cũng được triển khai với yêu cầu khóa giải mã để kích hoạt payload ẩn.

Toàn bộ quá trình trên nhằm thiết lập một kết nối đến Pastebin để lấy cấu hình C2. SectopRAT tiêm vào MSBuild.exe (quy trình hợp pháp được Microsoft ký) và truy xuất cấu hình C2 từ Pastebin, khởi tạo liên lạc với IP 45.141.87.55 qua cổng 9000 và 15647.

Mặt khác, nhằm thiết lập sự tồn tại lâu dài trên hệ thống bị lây nhiễm, SectopRAT sử dụng các kỹ thuật như Timestomping - thiết lập mốc thời gian của tệp tin tại năm 2037, vô hiệu hoá Microsoft Windows Defender bằng cách chỉnh sửa registry tại đường dẫn HKLM\SOFTWARE\Policies\Microsoft\Windows Defender và ngụy trang công cụ tùy chỉnh (GT_NET.exe, GRB_NET.exe) bằng siêu dữ liệu giả mạo SentinelOne và Avast.

Tuy chưa có ghi nhận nào về việc triển khai các ransomware nguy hiểm, song cuộc tấn công xâm nhập này là ví dụ điển hình về sự kết hợp khéo léo giữa kỹ thuật social engineering, lợi dụng proxy hỗ trợ RDP, và một kho vũ khí phần mềm độc hại nhiều tầng được thiết kế cho sự ẩn mình và đánh cắp dữ liệu nhanh chóng, cho thấy sự tinh vi và phức tạp trong các chiến dịch tấn công hiện nay của tin tặc.

Khắc phục & Khuyến nghị

Người dùng nên thực hiện một số biện pháp sau nhằm hạn chế khả năng đối diện với nguy cơ mất an toàn thông tin này:

  1. Kiểm soát và giám sát công cụ “living-off-the-land”

    • Theo dõi hành vi bất thường của MSBuild.exe, rundll32.exe, wmiexec, tránh bị lợi dụng để tải/tiêm mã độc.

    • Tạo các rule trong EDR/SIEM để cảnh báo khi các tiến trình này chạy không tham số hoặc từ thư mục bất thường.

  2. Bảo vệ RDP

    • Hạn chế hoặc vô hiệu hóa RDP nếu không cần.

    • Bắt buộc sử dụng VPN + MFA cho mọi truy cập từ xa.

    • Theo dõi các sự kiện đăng nhập loại 3 và 10 để phát hiện pivot qua RDP proxy.

  3. Tăng cường phòng thủ hệ thống

    • Thực hiện application whitelisting (AppLocker/WDAC) để chỉ cho phép phần mềm tin cậy chạy.

    • Giám sát registry key của Microsoft Defender để phát hiện thay đổi bất thường (ví dụ tại HKLM\SOFTWARE\Policies\Microsoft\Windows Defender).

    • Chặn tải xuống/ thực thi file từ thư mục Downloads bằng GPO nếu không cần.

  4. Giám sát mạng và lưu lượng ra ngoài

    • Chặn hoặc cảnh báo kết nối tới các dịch vụ Pastebin, IP khả nghi, và FTP không mã hóa.

    • Phân đoạn mạng để giới hạn đường đi lateral movement.

    • Triển khai IDS/IPS để phát hiện hành vi exfiltration (WinRAR + FTP).

Tham khảo

  1. https://thedfirreport.com/2025/09/08/blurring-the-lines-intrusion-shows-connection-with-three-major-ransomware-gangs/
#threat-intelligence

Comments

Join the discussion

No comments yet. Be the first to comment.

Newsletters

Part 1 of 50

More from this blog

F

FPT IS Security

761 posts

Dedicated to providing insightful articles on cybersecurity threat intelligence, aimed at empowering individuals and organizations to navigate the digital landscape safely.