Tấn Công Mới Sử Dụng Lỗ Hổng Excel Để Phát Tán Malware Remcos RAT
Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch lừa đảo mới lan truyền một biến thể không tệp của phần mềm độc hại thương mại đã biết, gọi là Remcos RAT. Remcos RAT cung cấp cho người mua một loạt các tính năng tiên tiến để điều khiển từ xa các máy tính thuộc về người mua. Tuy nhiên, các tác nhân đe dọa đã lạm dụng Remcos để thu thập thông tin nhạy cảm từ nạn nhân và điều khiển máy tính của họ từ xa để thực hiện các hành động độc hại khác.
Phương Thức Tấn Công
Điểm khởi đầu của cuộc tấn công là một email lừa đảo sử dụng mồi nhử theo chủ đề đơn đặt hàng để thuyết phục người nhận mở tệp đính kèm Microsoft Excel.
Tài liệu Excel độc hại này được thiết kế để khai thác một lỗ hổng thực thi mã từ xa đã biết trong Office (CVE-2017-0199) để tải xuống một tệp HTML Application (HTA) từ máy chủ từ xa và khởi chạy nó bằng mshta.exe.
Tệp HTA này được bao bọc trong nhiều lớp mã JavaScript, Visual Basic Script, và PowerShell để tránh bị phát hiện. Nhiệm vụ chính của nó là truy xuất một tệp thực thi từ cùng máy chủ và thực thi nó.
Kỹ Thuật Tránh Phát Hiện
Mã độc sau đó chạy một chương trình PowerShell bị làm rối, đồng thời áp dụng một loạt các kỹ thuật chống phân tích và chống gỡ lỗi để làm phức tạp nỗ lực phát hiện.
Trong bước tiếp theo, mã độc lợi dụng kỹ thuật "process hollowing" để cuối cùng tải xuống và chạy Remcos RAT.
Thay vì lưu tệp Remcos vào một tệp cục bộ và chạy nó, mã độc triển khai Remcos trực tiếp trong bộ nhớ của tiến trình hiện tại, tạo ra một biến thể không tệp của Remcos.
Khả Năng Của Remcos RAT
Remcos RAT được trang bị để thu thập nhiều loại thông tin từ máy chủ bị xâm nhập, bao gồm siêu dữ liệu hệ thống, và có thể thực thi các lệnh từ xa do kẻ tấn công phát hành thông qua máy chủ điều khiển và kiểm soát (C2). Các lệnh này cho phép chương trình thu thập tệp, liệt kê và kết thúc các tiến trình, quản lý dịch vụ hệ thống, chỉnh sửa Windows Registry, thực thi lệnh và kịch bản, chụp nội dung clipboard, thay đổi hình nền máy tính của nạn nhân, kích hoạt camera và microphone, tải xuống các payload bổ sung, ghi lại màn hình, và thậm chí vô hiệu hóa đầu vào bàn phím hoặc chuột.
Các Chiến Dịch Lừa Đảo Khác
Bên cạnh đó, các chiến dịch lừa đảo cũng đã được quan sát thấy sử dụng một chiến thuật không thông thường gọi là "ZIP file concatenation" để vượt qua các công cụ bảo mật và phân phối trojan truy cập từ xa đến các mục tiêu. Phương pháp này liên quan đến việc nối nhiều tệp ZIP vào một tệp duy nhất, gây ra các vấn đề bảo mật do sự khác biệt trong cách các chương trình khác nhau như 7-Zip, WinRAR, và Windows File Explorer giải nén và phân tích các tệp như vậy, dẫn đến một kịch bản mà các payload độc hại bị bỏ qua.
Tham Khảo
