Xuất hiện mã độc núp bóng văn bản mạo danh thông báo của SWIFT

162

Từ ngày 5/12, CyRadar đã ghi nhận được một chiến dịch APT nhắm vào các tổ chức ngân hàng trong và ngoài nước. Chiến dịch khởi đầu bằng một file văn bản .doc qua email, mạo danh thông báo của SWIFT (Hiệp hội Viễn thông Liên Ngân hàng và Tài chính Quốc tế).

Mã độc núp bóng 1 file văn bản mạo danh Thông báo của SWIFT.

Khi người dùng bị đánh lừa mở file và bật tính năng macro trong file văn bản thì mã độc hại được nhúng đã âm thầm tải xuống một backdoor và tự động thực thi chúng. Nó có nhiệm vụ kết nối và nhận dữ liệu đã mã hóa từ máy chủ điều khiển, sau khi nhận được dữ liệu nó tiến hành giải mã và load dữ liệu lên bộ nhớ cuối cùng thực thi các hành vi độc hại tương ứng.

Sơ đồ hành vi mã độc.

Tại thời điểm phân tích, mã độc thực hiện lấy dữ liệu đã mã hóa tại URL hxxps://remainsproperty[.]com/yadjuzaurhedyo, sau quá trình giải mã, phân tích nhận thấy đây là một file .DLL có hành vi kết nối, nhận dữ liệu từ máy chủ điều khiển rồi thực thi tùy ý mã độc hại khác từ máy chủ điều khiển đẩy xuống.

Có thể thấy đây là loại mã độc tinh vi vì mã độc không được đóng gói thành 1 file như các loại mã độc thông thường mà nó nhận dữ liệu mã hóa từ máy chủ điều khiển rồi giải mã, thực thi ngay trên bộ nhớ. Điều này sẽ làm các phần mềm diệt virus khó có thể mà phát hiện được.

Nếu bạn là một nhân viên ngân hàng, cần hết sức lưu ý trước khi mở một file văn bản được gửi đến cho mình mà bạn không thực sự hiểu lý do xuất hiện của nó, đặc biệt là trong những ngày này, khi thế giới đang ghi nhận một chiến dịch tấn công rộng khắp nhắm tới các ngân hàng và tổ chức tài chính.

IoC (Indicators of Compromise)

Các quản trị viên hệ thống, đặc biệt là Ngân hàng và các Tổ chức tài chính, cần nhanh chóng kiểm tra xem có kết nối nào tới domain/IP độc hại này hay không, cũng như truy tìm các file có hash như sau:

IOC.

PHÂN TÍCH KỸ THUẬT

Dưới đây sẽ là bài phân tích ký thuật mã độc tấn công vào một số ngân hàng trong và ngoài nước.

1. Thông tin file Statement.doc

Size : 369kb Hash : e277cbd086713223cde6167393c434a442f3a16e Type : Doc

File văn bản bị nhúng macro độc hại, sau khi nạn nhân enable tính năng macro thì mã VBS được kích hoạt thực hiện hành vi độc hại. Mã VBS có hành vi chạy powershell script

Mã độc chạy powershell scripts.
Mã powershell sau khi được giải mã.

Script độc hại trên thực hiện download file tại URL hxxps://unistreamcloud[.]com/storage/doc/lsm.exe rồi lưu vào thư mục %temp% với tên aeibxup0.exe sau đó sẽ thực thi.

2. Thông tin file aeibxup0.exe

Size: 235.5 KB Hash: b9f4d4ac5ab8b4137b7f0943de03d4f0164deb9f Type : PE file

Mã độc kết nối đến C2 nhận dữ liệu từ trên máy chủ độc hại sau đó bóc tách dữ liệu, giải mã rồi thực thi code độc hại trên bộ nhớ.

Mã độc bóc tách dữ liệu.

Sau khi thực hiện dump mem đã được giải mã ta nhận được 1 file DLL có thông tin các hành vi như sau:

Mã độc thực hiện giải mã domain rồi thực hiện kết nối đến máy chủ điều khiển.

Mã độc kết nối và gửi yêu cầu nhận lệnh.
Mã độc tạo kết nối với máy chủ điều khiển.
Hành vi kết nối trong debugger.

Mã độc thực hiện gửi request yêu cầu nhận lệnh từ máy chủ điều khiển.

Mã độc gửi yêu cầu nhận lệnh.

Mã độc đọc dữ liệu từ máy chủ điều khiển sau đó giải mã rồi load dữ liệu đã giải mã lên bộ nhớ có quyền thực thi.

Mã độc nhận dữ liệu từ máy chủ điều khiển.

Mã độc tạo vùng nhớ có quyền thực thi.

Tạo vùng nhớ có quyền thực thi.

Mã độc tạo thread thực hiện hành vi độc hại khác từ máy chủ điều khiển.

Mã độc tạo thread độc hại.

Tại thời điểm phân tích, máy chủ điều khiển chưa trả về bất kỳ dữ liệu độc hại nào khác nên chưa nắm rõ được hành vi chính thức trong chiến dịch tấn công vào các ngân hàng đợt này.

Kết luận: Đây là loại mã độc nguy hiểm, tinh vi vì các hành vi độc hại hoàn toàn được lưu trữ trên máy chủ điều khiển và chỉ thực thi trên bộ nhớ, làm giảm khả năng phát hiện của các phần mềm diệt virus.

IOC

Trường Gang – CyRadar Team

Tin liên quan:
  • 7
    Shares