Phân tích virus phát tán qua email ‘đòi nợ’ tấn công máy tính người dùng

338

Sau khi cảnh báo người dùng về virus phát tán qua email có nội dung “đòi nợ”, ngày 15/5 vừa qua, chuyên gia phân tích mã độc của CyRadar đã tiếp tục đưa ra các phân tích về hành vi và quá trình lây nhiễm loại mã độc mới này.

1. Tóm tắt hành vi mã độc

2. Phân tích chi tiết

Giải nén tệp .rar thì có thông tin 2 file như sau:

2.1 Phân tích file Noi dung de nghi thanh toan. Cong hoa xa hoi chu nghia Viet Nam Doc lap tu do hanh phuc.exe

VirusTotal nhận diện đây là file WINWORD.EXE chuẩn của Microsoft.

Như vậy Hacker sử dụng chính file WINWORD.EXE “sạch” để lợi dụng cài đặt mã độc bằng kỹ thuật DLL SideLoading đang được các hacker sử dụng nhiều trong thời gian gần đây , nhằm bypass qua các AV. DLL SideLoading. Đây là kỹ thuật tấn công trong đó một file DLL giả mạo có thể được nạp vào bộ nhớ của ứng dụng dẫn đến thực thi mã ngoài ý muốn.

2.2 Phân tích file wwlib.dll

Đây là file .dll mạo danh thư viện của Micrsoft. File này không được tìm thấy trên Virustotal.com. Như vậy đây là một mã độc hoàn toàn mới mà hacker sử dụng trong chiến dịch lần này.

Cách thức hoạt động của mã độc

Mã độc sử dụng kỹ thuật DLL SideLoading để thực hiện cài đặt mã độc.

Cụ thể, khi nạn nhân mở file .exe cùng thư mục với wwlib.dll-fake thì file giả mạo sẽ được tải lên và thực thi các hành vi độc hại.

Wwlib.dll được tải vào mem và được thực thi khi mở file winword.exe

Trước tiên mã độc sẽ bung ra file .doc trong thư mục TEMP rồi thực hiện mở file đó nhằm đánh lừa người dùng.

Tiếp theo, mã độc tạo vùng mem thực thi mới rồi copy shellcode được giải mã vào chính vùng mem đó sau đó thực thi.

Tiếp tục thực hiện tạo vùng mem mới và tiếp tục giải mã và copy shellcode.

Tạo thread mới với vùng mem vừa copy shellcode, mã độc thực hiện shellcode tiếp tục giải mã địa chỉ C&C và kết nối nhận dữ liệu từ máy chủ.

C2: hxxps://api.ciscofreak[.]com/jZHP

Đọc dữ liệu trên C2 rồi lưu vào mem.

Dữ liệu mà mã độc lấy về từ C2

Mã SHA1: 5AF7A8D128C859BC78F57B855AF30C299C58D8AB

Nhìn vào các Byte đầu tiên thì khả năng cao đây là 1 shellcode khác mà hacker đẩy xuống.

Shellcode tiến hành giải mã.

Sau khi giải mã nhận được 1 file PE mới.

SHA1: E4A84461D81341981E3BF04DE6CFB30BC0D901BC

Phân tích shellcode được hacker đẩy xuống

Dựa vào các string trong shellcode sau khi giải mã.

Nếu đã từng phân tích thì rất dễ dàng nhận ra đây là một payload quen thuộc trông bộ hacktool colbaltstrike được hacker sử dụng thường xuyên trong các cuộc tấn công APT.

Tùy thuộc vào lệnh từ C&C mà mã độc thực hiện các hành vi độc hại khác nhau.

Có tất cả 76 lệnh mà hacker có thể ra lệnh cho mã độc bao gồm:

  • Đọc, ghi, thêm, sửa, xóa file bất kì trên hệ thống;
  • Thực thi command hệ thống từ xa;
  • Cài cắm thêm mã độc khác;
  • Điều khiển máy tính từ xa;
  • Thực hiện các hành vi gián điệp (đánh cắp tài khoản, nghe nén,…);
  • Làm bàn đạp để lây lan sang các hệ thống khác trong mạng.

Hình ảnh mã độc gửi lệnh xuống máy nạn nhân.

Hiện chưa có nhiều hãng nhận diện được chiến dịch tấn công này.

III. IOCs (Indicator of compromise)

Dưới đây là IOC liên quan tới chiến dịch tấn công này. Vì các mẫu chưa được nhận diện bởi nhiều hãng trên thế giới, nên các quản trị mạng của doanh nghiệp, tổ chức có thể sử dụng IOC này cho việc phát hiện và ngăn chặn tấn công.

Files:

  • Hoa don tien no.rar: A826AC55E7383A40572F7596AEE8BDB35AD1CF2D
  • Wwlib.dll: 69079F50DD579A7F6801F297CE7D6CF4FE436FD0
  • Shellcode-A:5AF7A8D128C859BC78F57B855AF30C299C58D8AB
  • Shellcode-B:E4A84461D81341981E3BF04DE6CFB30BC0D901BC

C&C:

  • api.ciscofreak[.]com
  • hxxps://api.ciscofreak[.]com/jZHP
  • hxxps://api.ciscofreak[.]com/safebrowsing/rd/CltOb12nLW1IbHehcmUtd2hUdmFzEBAY7-0KIOkUDC7h2
  • hxxps://api.ciscofreak[.]com/safebrowsing/rd/CINnu27nLO8hbHdfgmUtc2ihdmFyEAcY4

Xem thêm bài viết tại ĐÂY.

Hà Trường – CyRadar

Tin liên quan: