Skip to main content
HashnodeFPT IS SecurityFPT IS Security

Command Palette

Search for a command to run...

Kỹ Thuật Tinh Vi Lợi Dụng Python Payloads và TryCloudflare Tunnels Trong Các Cuộc Tấn Công AsyncRAT

Updated
4 min read
Kỹ Thuật Tinh Vi Lợi Dụng Python Payloads và TryCloudflare Tunnels Trong Các Cuộc Tấn Công AsyncRAT
N
Nguyễn Văn Trung
Part of seriesNewsletters

Trong bối cảnh an ninh mạng ngày càng phức tạp, một chiến dịch phần mềm độc hại mới đây đã được phát hiện, sử dụng kết hợp Python payloads và dịch vụ TryCloudflare tunnels để phân phối AsyncRAT - một loại Trojan truy cập từ xa (RAT) nguy hiểm. Đây là một lời nhắc nhở nghiêm khắc về việc các tác nhân đe dọa không ngừng tìm cách lợi dụng các công cụ và dịch vụ hợp pháp để thực hiện các cuộc tấn công tinh vi.

Tổng quan

AsyncRAT là một loại RAT khai thác mô hình async/await để thực hiện giao tiếp bất đồng bộ hiệu quả. Theo Jyotika Singh, nhà nghiên cứu tại Forcepoint X-Labs, AsyncRAT cho phép kẻ tấn công kiểm soát hệ thống bị nhiễm một cách lén lút, đánh cắp dữ liệu và thực thi các lệnh từ xa mà không bị phát hiện. Điều này biến nó thành một mối đe dọa nghiêm trọng đối với cả cá nhân và doanh nghiệp.

Cách Thức Tấn Công: Từ Email Lừa Đảo Đến Payload Độc Hại

Chiến dịch này bắt đầu bằng một email lừa đảo (phishing) chứa liên kết Dropbox. Khi người dùng nhấp vào, một tệp ZIP sẽ được tải xuống. Bên trong tệp ZIP này là một tệp shortcut (LNK) và một tài liệu PDF giả mạo để đánh lừa người dùng.

  • Bước 1: Tệp LNK được tải xuống thông qua một URL TryCloudflare được nhúng trong tệp shortcut. TryCloudflare là một dịch vụ hợp pháp của Cloudflare, cho phép tạo các kênh truyền thông riêng mà không cần mở cổng mạng.

  • Bước 2: Tệp LNK kích hoạt PowerShell để thực thi mã JavaScript, dẫn đến việc tải xuống một tập lệnh batch (BAT).

  • Bước 3: Tập lệnh BAT tải xuống một tệp ZIP khác chứa Python payload, từ đó khởi chạy các phần mềm độc hại như AsyncRAT, Venom RAT và XWorm.

Điểm đáng chú ý của chiến dịch này là việc sử dụng các dịch vụ hợp pháp như Dropbox và TryCloudflare để che giấu hoạt động độc hại. Các URL Dropbox và đường hầm TryCloudflare tạm thời khiến người dùng tin tưởng vào tính hợp pháp của chúng, từ đó dễ dàng bị lừa.

Xu Hướng Tấn Công Phishing Gia Tăng Ở Việt Nam

Chiến dịch AsyncRAT chỉ là một phần của xu hướng lớn hơn trong thế giới tấn công mạng. Các chiến dịch phishing-as-a-service (PhaaS) đang gia tăng, với việc sử dụng các trang đăng nhập giả mạo để đánh cắp thông tin đăng nhập của người dùng. Một số chiến dịch gần đây bao gồm:

  • Tấn công vào các tổ chức ở Mỹ Latinh: Sử dụng tài liệu pháp lý để phân phối SapphireRAT.

  • Khai thác tên miền chính phủ: Host các trang lừa đảo thu thập thông tin đăng nhập Microsoft 365.

  • Giả mạo cơ quan thuế: Nhắm mục tiêu người dùng ở Úc, Thụy Sĩ, Anh và Mỹ để phân phối malware.

  • Sử dụng Cloudflare Workers: Host các trang lừa đảo giả mạo dịch vụ trực tuyến.

Kết Luận

Chiến dịch AsyncRAT là một ví dụ điển hình về cách các tác nhân đe dọa không ngừng đổi mới phương thức tấn công. Việc sử dụng các dịch vụ hợp pháp như Dropbox và TryCloudflare để che giấu hoạt động độc hại cho thấy sự tinh vi ngày càng cao của các cuộc tấn công mạng. Để bảo vệ bản thân và doanh nghiệp, việc nâng cao nhận thức và áp dụng các biện pháp bảo mật toàn diện là điều cần thiết.

Hãy luôn cảnh giác và chia sẻ thông tin này để cùng nhau xây dựng một môi trường mạng an toàn hơn! 🌐🔒

Khuyến nghị

Phía FPT Threat Intelligence khuyến nghị một số biện pháp bảo vệ khỏi cuộc tấn công trên cho các doanh nghiệp và tổ chức trong nước như sau:

  1. Cảnh giác với email lạ: Không nhấp vào liên kết hoặc tải xuống tệp đính kèm từ các email không rõ nguồn gốc.

  2. Cập nhật phần mềm: Đảm bảo hệ thống và phần mềm luôn được cập nhật để vá các lỗ hổng bảo mật.

  3. Sử dụng công cụ bảo mật: Triển khai các giải pháp chống malware và email bảo mật để phát hiện và ngăn chặn các mối đe dọa.

  4. Đào tạo nhân viên: Nâng cao nhận thức về các chiến thuật phishing và cách phòng tránh.

IOCs

Malicious URLs:

hxxps[:]//inventory-card-thumbzilla-ip[.]trycloudflare[.]com/DE/

hxxps[.]//mercy-synopsis-notify-motels[.]trycloudflare[.]com/ma[.]zip

hxxp[:]//sufficiently-points-est-minimize[.]trycloudflare[.]com/ma[.]zip

C2s:

62.60.190.141

62.60.190.196

Hashes:

  • zip: 55724b766dd1fe8bf9dd4cb7094b83b88d57d945

  • url: 4483561a49791a7cd684258e9f1623fe7dfba772

  • lnk: 0aa1b8fba8d7bd19a0064edfdf86c027da253644

  • js: 659ecdeb19b8e49be61fe41e8796d1215272b16e

  • bat: cd61de9e4003ba568ae76f064935addb106a6d6d

  • zip: 0221ec304905a758d9b47d6a631622b7dcf3c1f5

  • py: 4747ee49bdf31351c025049d8c3b7fef831be77c

  • bin: 8ef36a4865f4a73a4e8fe4b90e5eff4a7feb3647

  • bin: ae1dece09c2b627d8d3fe1c1f758db9ca6d5820c

  • bin: 8dc9071a46a019547c8355a155d9c3c3b154e7a2

  • bin: 098c369c904e8c328df40062190aff009e02d369

  • bin: ff6186eef1c17a2668c6013d38fecead4f507556

Tham khảo

1. AsyncRAT Campaign Uses Python Payloads and TryCloudflare Tunnels for Stealth Attacks<https://thehackernews.com/2025/02/asyncrat-campaign-uses-python-payloads.html\>

  1. AsyncRAT Reloaded: Using Python and TryCloudflare for Malware Delivery Again<https://www.forcepoint.com/blog/x-labs/asyncrat-reloaded-python-trycloudflare-malware\>
#threat-intelligence#rat

Comments

Join the discussion

No comments yet. Be the first to comment.

Newsletters

Part 1 of 50

More from this blog

F

FPT IS Security

761 posts

Dedicated to providing insightful articles on cybersecurity threat intelligence, aimed at empowering individuals and organizations to navigate the digital landscape safely.