Cảnh báo chiến dịch mã độc gián điệp mới đang nhắm tới Ngân hàng Việt Nam

436

Ngày 22/08/2018, hệ thống giám sát của CyRadar đã phát hiện ra cuộc tấn công gián điệp mới nhắm vào 01 ngân hàng lớn của Việt Nam. Ngay sau đó không lâu, CyRadar liên tiếp phát hiện ra một số tổ chức khác cũng đã bị tấn công với hình thức tương tự. Tại thời điểm tấn công, hầu hết các hệ thống an ninh mạng đều đã bị đánh bại. Các phần mềm diệt virus trên thế giới đều không kịp nhận diện được mã độc này cũng như các tường lửa chưa thể ngăn chặn được các kết nối tới máy chủ điều khiển của mã độc.

Tại hệ thống được CyRadar giám sát, ngay sau khi được phát hiện, mã độc đã nhanh chóng được loại bỏ khỏi hệ thống. Hầu như không có thiệt hại đáng kể nào xảy ra. Tuy nhiên, rất có thể nhiều tổ chức tài chính khác tại Việt Nam cũng đang hứng chịu cuộc tấn công như vậy mà chưa kịp thời xử lý.

Một kết nối lạ được phát hiện bởi hệ thống CyRadar Advanced Threat Detection.

Cuộc tấn công khởi đầu bằng 1 email chứa file văn bản pdf đính kèm, được gửi tới 1 số nhân vật quan trọng của ngân hàng. Do mã độc hoàn toàn mới, nên phần mềm diệt virus trên các máy tính của ngân hàng chưa thể phát hiện và xoá bỏ. Khi người dùng bị đánh lừa để mở file pdf lên, lập tức mã độc hại được nhúng trong file thực hiện 1 loạt các hành động để khéo léo tải xuống máy tính của nạn nhân 1 phần mềm gián điệp. Nó có nhiệm vụ đánh cắp dữ liệu trên máy tính đó, đồng thời cho phép hacker điều khiển được máy tính bị lây nhiễm từ xa.

Bên cạnh đó, nó còn có thể nghe lén được các cuộc gọi bằng âm thanh trên máy tính, cũng như sử dụng máy tính đó làm bàn đạp để tấn công sang các máy tính xung quanh. Dưới đây là tóm tắt các giai đoạn của mã độc từ khi nạn nhân mở file pdf:

Phần mềm gián điệp này, theo phân tích của chuyên gia, là biến thể mới của FlawedAmmyy RAT (Remote Access Tool). Đây vốn là phần mềm gián điệp đang được nhắc đến nhiều trong các cuộc tấn công có chủ đính nhằm vào các ngân hàng trên thế giới từ một tháng trở lại đây. Đứng đằng sau nó là nhóm tội phạm mạng chuyên nghiệp chuyên tấn công vào các ngân hàng.

Nếu bạn là một nhân viên ngân hàng, cần hết sức lưu ý trước khi mở một file văn bản được gửi đến cho mình mà bạn không thực sự hiểu lý do xuất hiện của nó, đặc biệt là trong những ngày này, khi thế giới đang ghi nhận một chiến dịch tấn công rộng khắp nhắm tới các ngân hàng và tổ chức tài chính.

Theo các chuyên gia, các ngân hàng tại Việt Nam cần nâng cao cảnh giác, nhanh chóng rà soát hệ thống mạng để phát hiện ra các kết nối và file nghi ngờ. Thông tin IOCs (Indicator of compromise) về chiến dịch tấn công có thể tham khảo tại đây:

IoC’s – Các quản trị viên hệ thống cần nhanh chóng kiểm tra xem có kết nối nào tới domain/IP độc hại này hay không, cũng như truy tìm các file có hash như sau:

  • PDF file: 17d3e70a13cb54adbe15ce05f2ec1640
  • PUB file: e535449010a9977ec919ba0dc6544f0c
  • Setup file: a471555caf8dbb9d30fac3014172515f
  • FlawedAmmyy RAT file: 73964f92d3e5e142047574afa78726e3
  • Domain phát tán: g50e[.]com
  • Server điều khiển: 185[.]99[.]132[.]12

Phân tích kỹ thuật phần mềm gián điệp tấn công ngân hàng

1. PDF File

File PDF gửi tới nạn nhân có chứa đoạn mã JavaScript  được thiết lập chạy khi mở file:

Hàm Aluka2() được gọi đối với OpenAction.

Qua bước giải mã (stream decode), sẽ thấy rõ hơn nội dung hàm JavaScript Aluka2(), cùng với nội dung file 22082018.pub nhúng kèm trong đó:

Nội dung hàm Aluka2()
Nội dung file nhúng bên trong, thể hiện dưới cả dạng hex và text.

Với những thiết lập trên, khi file pdf được mở, đoạn mã JavaScript sẽ thực hiện mở file 22082018.pub nhúng trong đó, hành động này thực tế sẽ bị chặn bởi một thông báo của chương trình đọc pdf, tuy nhiên phần nhiều người dùng thông thường không chú ý mà nhanh chóng bấm “OK” để tiếp tục mở file.

Cảnh báo trước khi file nhúng trong được mở.
Hiện nay có 22/66 phần mềm diệt virus đã kịp thời cập nhật nhận diện mã độc.

2. Microsoft Publisher File

Ở trên, nếu người mở bấm “OK” thì ứng dụng Microsoft Office Publisher sẽ được khởi chạy để hiện thị nội dung file  22082018.pub, file này đã được kẻ tấn công chuẩn bị với đoạn text có nội dung dẫn dụ người dùng bấm “Enable Macros”.

Microsoft Publisher chạy lên mở file 22082018.pub.

3. VBA Script

Khi Marco được bật (enable), đoạn VBA Script trong file .pub sẽ được chạy và thực hiện tải file khác từ một đường link, rồi thực thi nó.

Nội dung VBA Script.

Trong đoạn code VBA chúng ta thấy ở trên, kẻ tấn công không truyền trực tiếp các tham số (url, tên file…) cho các lời gọi hàm download và thực thi, mà khéo léo giấu chúng trong các trường Tag, Caption của một Form đi kèm. Mẹo này có thể ít nhiều làm nhiễu, gây khó khăn cho người muốn thử xem nội dung của Macro.

4. FlawedAmmyy RAT

File được Macro tải từ đường dẫn http://g50e[.]com/security lưu xuống và chạy dưới máy với tên hum.exe có dạng một file cài đặt, có chữ ký số hợp lệ ký bởi “DON’T MISS A WORD LIMITED”

File cài đặt “hum.exe” được đóng gói bằng NSIS.

File này khi chạy sẽ bung ra winksys.exe và đăng ký service để tự động khởi chạy mỗi khi bật máy.

Đăng ký service cho winksys.exe

Winksys.exe thực chất thuộc dòng mã độc FlawedAmmyy RAT (Remote Access Tool) vốn đang được nhắc đến nhiều trong các cuộc tấn công có chủ đính nhằm vào các ngân hàng trên thế giới từ một tháng trở lại đây.

Thông tin của FlawedAmmyy RAT

FlawedAmmyy RAT là tên một dòng mã độc gián điệp, được phát triển lên từ bộ mã nguồn bị lộ ra của Ammyy Admin v3, phần mềm remote desktop của hãng Ammyy.

Như được đề cập trong bài viết về cuộc tấn công lợi dụng SettingContent-ms nhúng trong PDF để phát tán mã độc, thì chính dòng FlawedAmmyy RAT thời điểm ấy cũng đã tận dụng triệt để cùng cách thức (SettingContent-ms) để phát tán.

Quay trở lại với phiên bản FlawedAmmyy RAT mà chúng ta đang có, với các tính năng gián điệp đã biết của nó như :

  • Remote Desktop control;
  • File system manager;
  • Proxy support;
  • Audio Chat.

Mã độc còn thực hiện kiểm tra sự hiện diện của các phần mềm chống virus trước khi thực thi :

Kiểm tra tên tiến trình, nếu tồn tại thì thoát.

Server điều khiển cho cuộc tấn công này có địa chỉ 185[.]99[.]132[.]12

Mã độc kết nối về server điều khiển.

Server này liên quan đến các chiến dịch tấn công mã độc từ tháng 5/2018 với toàn bộ các tên miền đều là sub-domain của usa.cc, trong đó có những subdomain tên đặt gần với công ty, ngân hàng như : Barclays, Jerez, Netflix…

Server điều khiển và những tên miền liên quan.

5. Điều rút ra ở đây là gì ?

Ngân hàng và các tổ chức tài chính luôn là mục tiêu hấp dẫn của giới tội phạm. Nhận thức được điều này, các ngân hàng cũng đã chú trọng đầu tư nhiều vào an ninh bảo mật. Và ngân hàng lớn mà chúng tôi nhắc đến ở đầu bài viết, đương nhiên cũng đã được trang bị nhiều giải pháp bảo vệ ở nhiều lớp khác nhau.

Vậy tại sao mã lần này vẫn thực hiện xâm nhập thành công vào hệ thống?

  • File mã độc được đầu tư để tấn công có chủ đích: Tất cả các file ở đây (pdf, pub, exe) đều được tạo ra vào ngày tấn công (22/08/2018), mà hầu hết các AV đều không nhận diện được ở thời điểm đó. Thậm chí file cài đặt còn có chữ ký số.
  • Domain, IP server điều khiển khá mới: Domain g50e[.]com để tải file thực thi xuống và IP 185[.]99[.]132[.]12 để điều khiển từ xa được dùng chưa lâu, không có trong blacklist của nhiều hãng.
  • Tấn công nhắm vào nhận thức người dùng hơn là lỗ hổng phần mềm: Ở cả hai bước đầu của quá trình mã độc xâm nhập (mở PDF và mở PUB file) đều cần người dùng cho phép chạy thì sau đó mã độc mới có thể thực thi, và kết quả thực tế: mã độc đã được thực thi. Một hệ thống có thể được trang bị giải pháp, thiết bị đồng đều để bịt hoặc sớm phát hiện các cuộc tấn công nhắm vào lỗ hổng của hệ thống, nhưng điểm yếu cố hữu là con người vẫn luôn có thể phá vỡ tính chặt chẽ của hệ thống.

Do đó:

  • Cần chú trọng nâng cao Nhận thức An ninh mạng cho người dùng thông qua các kênh truyền thông nội bộ hoặc tổ chức các lớp đào tạo.
  • Giải pháp truyền thống là chưa đủ để chống lại các cuộc tấn công ngày càng tinh vi, cần sử dụng thêm các giải pháp tiên tiến, thông minh có khả năng phát hiện bất thường.
  • Nên thực hiện chủ động rà soát mã độc toàn hệ thống, đặc biệt là trong thời điểm các cuộc tấn công đang nở rộ như lúc này.
  • Nếu bạn là nhân viên đã có hành vi nghi ngờ mình bị nhiễm mã độc, cần nhanh chóng báo cho bộ phận chuyên trách về an ninh bảo mật.

IoC’s

  • PDF file: 17d3e70a13cb54adbe15ce05f2ec1640
  • PUB file: e535449010a9977ec919ba0dc6544f0c
  • Setup file: a471555caf8dbb9d30fac3014172515f
  • FlawedAmmyy RAT file: 73964f92d3e5e142047574afa78726e3
  • Domain phát tán : g50e[.]com
  • Server điều khiển: 185[.]99[.]132[.]12

CS & Mạnh Tùng – CyRadar Team

Tin liên quan:
  • 141
    Shares