PNGPlug-ValleyRAT : Phát Tán Phần Mềm Độc Hại Thông Qua Trình Cài Đặt Giả Mạo
Chiến dịch tấn công mạng do nhóm Silver Fox thực hiện nhằm vào các khu vực nói tiếng Trung sử dụng phương thức tinh vi với trình tải PNGPlug và phần mềm độc hại ValleyRAT, trong đó kẻ tấn công sử dụng các trình cài đặt Microsoft (MSI) giả mạo để lừa nạn nhân. Sau khi được thực thi, phần mềm độc hại sẽ âm thầm giải mã kho lưu trữ có mật khẩu cố định, triển khai các thành phần như DLL độc hại và các tệp PNG để chiếm quyền điều khiển máy tính, cho phép kẻ tấn công thực hiện các hoạt động như chụp ảnh màn hình, xóa nhật ký sự kiện và truy cập trái phép vào hệ thống, nhấn mạnh mức độ tinh vi và nguy hiểm của các cuộc tấn công mạng hiện đại.
Thông tin chi tiết
Cuộc tấn công mạng của nhóm Silver Fox nhắm đến các khu vực nói tiếng Trung Quốc là một ví dụ điển hình về các chiến thuật tấn công tinh vi và đa tầng trong không gian an ninh mạng hiện đại.
Phương Thức Hoạt Động Chi Tiết
Giai Đoạn 1: Xâm Nhập Ban Đầu
Phương thức câu nhử: Sử dụng trang web giả mạo để诱导nạn nhân tải xuống phần mềm độc hại
Kỹ thuật ngụy trang: Sử dụng gói cài đặt Microsoft (MSI) được thiết kế để trông hoàn toàn hợp pháp
Giai Đoạn 2: Triển Khai Phần Mềm Độc Hại
Chiến lược che giấu:
Cài đặt một ứng dụng vô hại để né tránh nghi ngờ
Giải mã âm thầm kho lưu trữ độc hại bằng mật khẩu cố định
Sử dụng tính năng CustomAction của Windows Installer để thực thi mã độc
Thành Phần Kỹ Thuật Của Tải Trọng
DLL độc hại (libcef.dll)
Ứng dụng che giấu (down.exe)
Tệp tải trọng giả mạo PNG (aut.png, view.png)
Đặc Điểm Của ValleyRAT
Khả Năng Kỹ Thuật
Remote Access Trojan (RAT) tiên tiến
Chức năng:
Truy cập trái phép vào hệ thống
Chụp ảnh màn hình
Xóa nhật ký sự kiện Windows
Che giấu dấu vết hoạt động
Bối Cảnh Nhóm Tấn Công
Silver Fox
Nhóm mối đe dọa: Chuyên hoạt động trong không gian mạng Trung Quốc
Liên kết: Có mối quan hệ với nhóm Void Arachne
Công cụ: Sử dụng framework điều khiển Winos 4.0
Bài viết này cung cấp cái nhìn sâu sắc về một trong những chiến dịch tấn công mạng tinh vi nhất được ghi nhận gần đây, nhấn mạnh tầm quan trọng của việc hiểu và ứng phó với các mối đe dọa an ninh mạng ngày càng tinh vi khi sử dụng phần mềm hợp pháp làm phương tiện tấn công. Các tổ chức cần kết hợp các biện pháp kỹ thuật, đào tạo con người và chia sẻ thông tin để giảm thiểu rủi ro từ các cuộc tấn công như thế này.
Khuyến nghị
Phía FPT Threat Intelligence đề xuất các biện pháp nhằm phòng chống tấn công này như sau:
Phát hiện lừa đảo: Đẩy mạnh các chiến dịch nâng cao nhận thức để nhận biết trang web lừa đảo và các tệp cài đặt giả mạo.
Đào tạo nhân viên: Đào tạo đội ngũ nhân viên, đặc biệt là tại các khu vực bị ảnh hưởng (Hồng Kông, Đài Loan, Trung Quốc đại lục), về các mối đe dọa liên quan đến phần mềm giả danh.
Hạn chế sử dụng MSI: Triển khai chính sách hạn chế hoặc giám sát chặt chẽ việc sử dụng tệp MSI trong môi trường Windows.
Kiểm tra ứng dụng: Thực hiện phân tích tĩnh và động trên các tệp cài đặt trước khi triển khai, đặc biệt đối với tệp có nguồn không xác minh.
Chặn phần mềm độc hại đã biết: Cập nhật chữ ký phát hiện trong các hệ thống chống mã độc (Antivirus/EDR) để nhận diện ValleyRAT, PNGPlug, và các biến thể liên quan.
Giảm quyền admin: Triển khai chính sách nguyên tắc tối thiểu (least privilege) để hạn chế các quyền cần thiết khi cài đặt phần mềm.
Kiểm tra chữ ký phần mềm: Yêu cầu tất cả phần mềm được ký bằng chứng chỉ hợp lệ để đảm bảo nguồn gốc đáng tin cậy.
Tham khảo
PNGPlug Loader Delivers ValleyRAT Malware Through Fake Software Installers<https://thehackernews.com/2025/01/pngplug-loader-delivers-valleyrat.html\>
