Chủ đề

(Không gian mạng) - Các chuyên gia đã tiến hành phân tích cách thức nhóm tin tặc liên quan đến Iran OilRig thử nghiệm tài liệu độc trước khi đem vào sử dụng tấn công mạng.

1

Cuộc tấn công nhắm mục tiêu những cá nhân liên quan bằng tài liệu độc, được thiết kế để phát tán BONDUPDATER, một công cụ tải về (downloader) được trang bị tính năng thuật toán tạo tên miền DGA. Chiến dịch diễn ra vào ngày 26/08, và tin tặc đã tạo ra hàng loạt tài liệu độc từ tuần trước đó để kiểm tra tần xuất bị công cụ dò virus phát hiện.

Còn được biết đến với tên gọi APT34 và bị tình nghi liên kết với chính phủ Iran, OilRig hoạt động từ ít nhất năm 2014, chủ yếu nhắm vào các tổ chức hóa học, viễn thông, năng lượng, tài chính và nhà nước ở Trung Đông.

Nhóm này được biết đang thử nghiệm tài liệu độc và mã độc webshell TwoFace, tiến độ hoạt động của chiến dịch mới vừa bị phát hiện của nhóm một lần nữa cho thấy cách mà tin tặc sử dụng các công cụ dò quét virus trực tiếp để xác định tần xuất bị phát hiện, và tìm cách vượt qua chúng.

Để chuẩn bị cho cuộc tấn công vào ngày 26/08 rồi, tin tặc tạo ra hàng loạt tài liệu thử nghiệm và cho chúng đi qua các công cụ dò virus chỉ 6 ngày trước đó. Tổng cộng có 3 đợt thử nghiệm như vậy để đảm bảo tỉ lệ bị phát hiện thấp hơn.

Theo báo cáo của hãng bảo mật Palo Alto (Mỹ), tài liệu thử nghiệm cuối cùng được tạo ra chưa đầy 8 tiếng trước khi tài liệu độc được viết nên. Mẫu tài liệu cuối được phát tán đến nạn nhân mục tiêu qua email giả mạo chỉ 20 phút sau khi nó được tạo.

Có tất cả 11 mẫu được gửi đến các trang chuyên kiểm tra mã độc công khai. Và điều thú vị là, trong khi tài liệu thử nghiệm là bảng tính Microsoft Excel, thì tài liệu gửi đi là một tập tin Microsoft Word.

Một vài thay đổi từ tài liệu thử nghiệm làm tăng tỉ lệ bị phát hiện, nhưng điều này giúp tin tặc xác định nội dung đặc biệt nào trong đó dẫn đến việc bị phát hiện, từ đó hỗ trợ cho việc tạo ra mẫu cuối cùng.

Khi phân tích các mẫu thử nghiệm và kiến tạo tập tin, các chuyên gia quan sát thấy mức thời gian trung bình giữa tạo và thử nghiệm tập tin là 33 giây, và cho thấy tin tặc không còn quan tâm đến việc phá vỡ chức năng macro.

OilRig cũng thay đổi nhiều chức năng để chạy lệnh thả VBScript, thêm vào chức năng “sleep” để qua mặt sandbox, và một kỹ thuật làm rối chuỗi liên quan (thay đổi một chuỗi với kí tự thuộc hệ thập lục phân để nối vào nhau).

Bài phân tích của Palo Alto cho thấy một chuỗi các tương đồng giữa macro trong tập Excel và tài liệu Word, cho thấy nhóm OilRig “đã sử dụng macro từ tài liệu Excel độc làm cơ sở cho tài liệu Word”.

Tin tặc sử dụng kỹ thuật làm rối chuỗi tương tự cho cả 2 macro độc. Kỹ thuật này được dùng để làm rối chuỗi “powershell” và “cmd.exe” bên trong tập lệnh VBScript, cũng như chức năng hàm shell có sẵn.

Macro độc được sửa đổi để tạo ra tài liệu phân phối, thêm vào một chức năng giúp lưu lệnh PowerShell BONDUPDATER được làm rối đến một tập tin. Tin tặc cũng sửa đổi biến dùng để lưu trữ lệnh VBScript và xóa khỏi macro chức năng hiện bảng tính ẩn trong nội dung email mồi nhử (điều không cần thiết đối với tài liệu Word).

“Việc so sánh những điều mã độc có thể làm được trong một chiến dịch thực sự với mã độc đang trong quá trình phát triển, cho phép chúng ta hiểu được những điểm sửa đổi và thích nghi mà chúng thực hiện trên mỗi lần lặp lại mã độc. Hơn nữa, khi chứng kiến chức năng đặc biệt thay đổi từ chính bên trong mã độc, chúng ta sẽ tìm ra sự tương quan giữa chức năng cũ và mới”, báo cáo kết luận.

Lâm Quang Dũng (Lược dịch từ: Security Week)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Thích và chia sẻ bài này trên