Nhóm tin tặc bí ẩn nhắm vào cơ quan chính phủ: AI đang được sử dụng để tạo mã độc như thế nào?

Duy Linh
Duy Linh
Phản hồi: 0

Duy Linh

Writer
Một chiến dịch tấn công lừa đảo có chủ đích do một nhóm APT chưa từng được ghi nhận trước đây thực hiện đã được phát hiện. Nhóm này được đặt tên là Armored Likho, đồng thời cũng được theo dõi dưới bí danh tạm thời Eagle Werewolf.
1783306718925.png

Nhóm đang nhắm mục tiêu vào các cơ quan chính phủ và ngành điện lực tại Nga, Brazil và Kazakhstan. Theo các nhà nghiên cứu, Armored Likho sở hữu bộ công cụ ngày càng hoàn thiện, kết hợp giữa các công cụ phổ biến và công cụ chuyên dụng để phục vụ cả hoạt động gián điệp mạng có chủ đích lẫn các chiến dịch vì mục đích tài chính.

Con đường xâm nhập ban đầu chủ yếu thông qua các email lừa đảo có chủ đích (spear-phishing), sử dụng kỹ thuật xã hội và đính kèm các tệp lưu trữ độc hại. Hai phương thức phát tán được sử dụng thường xuyên gồm các trình thả tệp EXE được xây dựng bằng NSIS và các tệp phím tắt LNK độc hại khai thác cách Windows xử lý tham số của tệp .lnk.

Ở biến thể EXE, phần mềm thường hiển thị một nội dung đánh lạc hướng, chẳng hạn như bài khảo sát tâm lý giả, trong khi âm thầm giải nén và thực thi trình tải độc hại.

Trình tải này sẽ chèn mã vào một tiến trình hợp pháp rồi lấy các tải trọng đã chuẩn bị sẵn từ các kho lưu trữ GitHub theo các đường dẫn được thay đổi liên tục. Những kho lưu trữ này chứa cả các bản dựng đang phát triển và mẫu thử nghiệm, giúp tác nhân đe dọa nhanh chóng thay đổi tải trọng và hạ tầng tấn công.

Ở phương thức còn lại, nhóm sử dụng các tệp LNK được thiết kế để che giấu tham số thực thi, khai thác kỹ thuật từng được công bố trong lỗ hổng ZDI-CAN-25373.

Theo báo cáo của Securelist được chia sẻ với GBHackers, trọng tâm của chiến dịch là BusySnake Stealer, một phần mềm đánh cắp thông tin viết bằng Python mới được phát hiện. Mã độc này còn được tích hợp khả năng RAT theo mô-đun, tiện ích tạo đường hầm mạng, đặc biệt là Go2Tunnel, cùng các trình tải giai đoạn đầu được tạo với sự hỗ trợ của AI, khiến việc truy vết nguồn gốc và phát hiện trở nên khó khăn hơn.

Trong một biến thể tấn công, tệp lưu trữ chứa trình phát tán psihologicheskiy_test.exe, là tệp tự giải nén được xây dựng bằng Nullsoft Scriptable Install System (NSIS).

BusySnake Stealer sở hữu nhiều khả năng đánh cắp dữ liệu và điều khiển từ xa​

Khi người dùng thực thi tệp LNK, một chuỗi PowerShell được mã hóa sẽ được kích hoạt để tải xuống và chạy cùng họ trình tải. Sau đó, trình tải tiếp tục cài đặt Python Runtime 3.12, tải kho lưu trữ tải trọng được bảo vệ bằng PyArmor và tải thêm get-pip.py nhằm cài đặt các thành phần phụ thuộc.
1783306614661.png

Ví dụ về kho lưu trữ dữ liệu
Dù sử dụng EXE hay LNK, mục tiêu cuối cùng đều là triển khai BusySnake Stealer. Phần mềm độc hại này được duy trì liên tục thông qua VBScript và các tác vụ theo lịch trình được cấu hình chạy lại sau mỗi 5 phút.

BusySnake Stealer duy trì kết nối với máy chủ điều khiển và trao đổi lệnh (C2), liên tục thăm dò để nhận lệnh mới trong suốt quá trình hoạt động.

Được bảo vệ bằng PyArmor Pro 9.2.0, mã bytecode của BusySnake Stealer chỉ được giải mã động khi hàm được gọi rồi lập tức mã hóa lại sau khi sử dụng. Mã độc chính chạy dưới dạng tệp .pyw, giúp tránh hiển thị cửa sổ dòng lệnh và giảm khả năng bị người dùng phát hiện.

Phân tích các mẫu đã giải mã cho thấy mã độc sử dụng kiến trúc dựa trên trình xử lý với nhiều chức năng, gồm khóa một phiên bản duy nhất bằng thuật toán tệp khóa tùy chỉnh, liên tục thu thập dữ liệu clipboard, lập danh mục đệ quy các tệp của người dùng vào cơ sở dữ liệu SQLite cục bộ, quét các khóa thập lục phân dài 64 ký tự, trích xuất có chọn lọc tài liệu theo đường dẫn và kích thước, chụp ảnh màn hình và liên tục thăm dò máy chủ C2.
1783306678737.png

Biểu mẫu đăng nhập bảng điều khiển quản trị C2
Hệ thống C2 sử dụng các yêu cầu HTTP GET với User-Agent mô phỏng trình duyệt và gửi tên hàm để điều khiển các máy bị xâm nhập.

Các lệnh điều khiển từ xa hiện hỗ trợ đánh cắp toàn bộ thông tin đăng nhập và cookie từ trình duyệt Chromium và Firefox, bao gồm cả quá trình giải mã DPAPI và PK11; cài đặt tiện ích mở rộng trình duyệt để trích xuất cookie; thu thập mã OTP và khóa xác thực thông qua giám sát clipboard và phân tích tệp; đánh cắp phiên Telegram; thu thập có chọn lọc các tệp ví điện tử; đồng thời hỗ trợ điều khiển từ xa.

Ngoài ra, kẻ tấn công còn có thể tạo đường hầm SSH ngược theo yêu cầu và thu thập phiên làm việc từ xa bằng cách thao túng cấu hình RustDesk nhằm lấy thông tin đăng nhập được nhập lại.

Một điểm đáng chú ý là nhóm Armored Likho đã sử dụng AI để tạo các trình tải giai đoạn đầu và sinh các bình luận chi tiết, chứa nhiều biểu tượng cảm xúc trong mã nguồn khi phát hiện bất thường. Đặc điểm này phù hợp với quá trình phát triển phần mềm có sự hỗ trợ của các mô hình ngôn ngữ lớn (LLM).

Việc kết hợp AI, nhiều biến thể BusySnake Stealer cùng các mô-đun chuyên đánh cắp cookie, sử dụng kho mã nguồn công khai để phân phối tải trọng nhanh và áp dụng nhiều lớp mã hóa cho thấy mức độ trưởng thành về kỹ thuật cũng như khả năng né tránh phát hiện của nhóm đã được nâng lên đáng kể.

Các chuyên gia bảo mật khuyến nghị ưu tiên tăng cường bảo vệ cổng email, áp dụng chính sách xử lý nghiêm ngặt đối với macro và tệp LNK, tăng cường khả năng phát hiện các môi trường Python được dàn dựng và các thành phần PyArmor trên thiết bị đầu cuối, đồng thời giám sát các tác vụ theo lịch trình và các hoạt động tải xuống GitHub bất thường.
 
Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview


Đăng nhập một lần thảo luận tẹt ga
Thành viên mới đăng
http://textlink.linktop.vn/?adslk=aHR0cHM6Ly93d3cudm5yZXZpZXcudm4vdGhyZWFkcy9uaG9tLXRpbi10YWMtYmktYW4tbmhhbS12YW8tY28tcXVhbi1jaGluaC1waHUtYWktZGFuZy1kdW9jLXN1LWR1bmctZGUtdGFvLW1hLWRvYy1uaHUtdGhlLW5hby44Njk2MS8=
Top