Chiến dịch thư rác lây lan FlawedAmmyy RAT trong tập tin SettingContent-ms

Chiến dịch của nhóm tội phạm TA505 đang truyền hàng trăm ngàn email rác lây lan file PDF đính kèm có chứa tập tin SettingContent-ms độc hại.

securitydaily Chiến dịch thư rác lây lan FlawedAmmyy RAT trong tập tin SettingContent-ms

Một chiến dịch thư rác của nhóm tội phạm tài chính khét tiếng TA505 đang lây lan FlawedAmmyy RAT bằng cách sử dụng một cách mới: dùng file PDF có chứa tập tin SettingContent-ms độc hại.

Định dạng tệp SettingContent-ms đã được giới thiệu trong Windows 10; nó cho phép người dùng tạo “lối tắt” cho các trang cài đặt Windows 10 khác nhau.

“Tập tin này chỉ thực hiện chức năng mở bảng điều khiển (Control Panel) cho người dùng [control.exe],” các nhà nghiên cứu tại SpecterOps giải thích trong một bài viết mới đăng về định dạng tập tin SettingContent-ms. “Điểm thú vị của tập tin này là nguyên tố <DeepLink> trong giản đồ. Nguyên tố này lấy thông số các dãy nhị phân và chạy dãy đó. Điều gì sẽ xảy ra nếu chúng ta đơn giản thay thế ‘control.exe’ bằng một cái gì đó [độc hại]?”

Câu trả lời là lệnh bị thay đổi đó khi mở ra sẽ thực hiện bất kỳ lệnh tự động nào, bao gồm cả cmd.exe và PowerShell mà không thông báo cho người dùng và khiến định dạng của file SettingContent-ms dễ bị nhiễm phần mềm độc hại.

Mã tiếp cận này khó bị phát hiện và các tập tin độc hại dễ dàng vượt được các chương trình bảo vệ của Windows 10 như chương trình Attack Surface Reduction (ASR) và chương trình phát hiện định dạng file nguy hiểm có nhúng OLE.

Tất nhiên, khá khó để khiến nạn nhân tự mở file có định dạng lạ đính kèm email nên những kẻ tấn công bắt đầu nhúng file SettingContent-ms này vào những file đính kèm có vẻ vô hại. Theo đó, hồi tháng 6, các nhà nghiên cứu tại SpecterOps đã phát hiện có việc lạm dụng định dạng tập tin SettingContent-ms trong tài liệu Microsoft Word. Tuy nhiên, đầu tuần này, các nhà nghiên cứu Proofpoint đã phát hiện việc này lại tiếp diễn và đang được sử dụng với các tài liệu PDF. Đây là một kỹ thuật mới chưa xác định được cách tiến hành.

“Ngày 16 tháng 7, có một chiến dịch đặc biệt với hàng trăm ngàn tin nhắn cố gắng truyền các tập PDF đính kèm có nhúng tập tin SettingContent-ms,” các nhà nghiên cứu Proofpoint báo cáo trong một bài viết ngày hôm qua. “Các tin nhắn trong chiến dịch sử dụng một chiêu đơn giản là yêu cầu người dùng mở file PDF đính kèm.”

Khi được mở, Adobe Reader sẽ hiển thị lời nhắc cảnh báo, hỏi có đúng người dùng muốn mở tệp hay không, vì tệp đang cố chạy file bị nhúng “downl.SettingContent-ms” qua JavaScript. Nếu nạn nhân dự định nhấp vào lệnh “OK”, lệnh PowerShell có trong yếu tố <DeepLink> sẽ triển khai FlawedAmmyy RAT. Chương trình này hoạt động từ năm 2016, nhưng mới chỉ được các nhà nghiên cứu phát hiện đầu năm nay.

Chương trình độc hại RAT dựa trên mã nguồn bị rò rỉ cho phiên bản 3 của phần mềm máy tính từ xa Ammyy Admin và các tính năng bao gồm điều khiển máy tính từ xa, quản lý tập tin hệ thống, hỗ trợ proxy và trò chuyện âm thanh .

Trong bài blog phát hiện ra chương trình RAT hồi tháng 3 có viết, “Những cá nhân bị ảnh hưởng có thể bị tin tặc chiếm quyền truy cập máy tính, những bên gây đe dọa có thể truy cập nhiều dịch vụ, cướp file và còn nhiều hơn nữa. Chúng tôi đã thấy FlawedAmmyy bị sử dụng trong các cuộc tấn công lớn nhằm tạo ra một mạng lưới các máy tính bị ảnh hưởng cũng như các cuộc tấn công có mục đích nhằm tạo cơ hội cho các bên gây hại cướp dữ liệu khách hàng và thông tin độc quyền.

Nhóm tội phạm TA505 thường tấn công dựa trên tin nhắn email và các đặc điểm nhận dạng. TA505 là kẻ đứng sau cho các chiến dịch thư rác lớn tận dụng các botnet Necurs, bao gồm Dridex banking Trojan, Locky ransomware, Jaff ransomware, Trick banking trojan v,v. Nhóm chạy một loạt máy chủ C&C, chống lại các hoạt động phòng thủ.

“Nhóm TA505 có xu hướng hoạt động trên quy mô rất lớn và tạo xu hướng trong giới tấn công an ninh mạng tài chính bởi vì sức ảnh hưởng và phạm vi tấn công của nhóm này,” Proofpoint cho biết.

“Cho dù là nhóm thành lập từ lâu (như TA505) hay mới thành lập, những kẻ tấn công đang nhanh chóng áp dụng kỹ thuật và phương pháp tiếp cận mới. Trong trường hợp này, chúng ta thấy TA505 hoạt động sử dụng tập tin SettingContent-ms vào một cuộc tấn công dựa trên file PDF trên quy mô lớn. Chúng tôi sẽ tiếp tục theo dõi lối tấn công này trong vài tuần tới.”

Threatpost