Tội phạm mạng hiện đang triển khai các Trojan truy cập từ xa (RAT) dưới vỏ bọc là các hình ảnh có vẻ vô hại được lưu trữ trên các trang web bị nhiễm, một lần nữa nhấn mạnh cách các tác nhân đe dọa nhanh chóng thay đổi chiến thuật khi các phương pháp tấn công của chúng bị phát hiện và phơi bày công khai.
Nghiên cứu mới do Cisco Talos phát hành cho thấy một chiến dịch phần mềm độc hại mới nhắm mục tiêu vào các tổ chức ở Nam Á sử dụng các tài liệu Microsoft Office độc hại được giả mạo bằng macro để phát tán RAT mang tên ObliqueRAT.
Được tài liệu đầu tiên trong Tháng 2 năm 2020, phần mềm độc hại đã được liên kết với một tác nhân đe dọa được theo dõi là Bộ lạc trong suốt (hay còn gọi là Chiến dịch C-Major, Mythic Leopard, hoặc APT36), một nhóm cực kỳ sung mãn được cho là người gốc Pakistan nổi tiếng với các cuộc tấn công nhằm vào các nhà hoạt động nhân quyền trong nước cũng như quân nhân và nhân viên chính phủ ở Ấn Độ.
Mặc dù mô thức ObliqueRAT trước đây đã trùng lặp với một chiến dịch Bộ lạc minh bạch khác vào tháng 12 năm 2019 để phổ biến CrimsonRAT, làn sóng tấn công mới khác nhau theo hai cách quan trọng.
Ngoài việc sử dụng mã macro hoàn toàn khác để tải xuống và triển khai tải trọng RAT, các nhà điều hành chiến dịch cũng đã cập nhật cơ chế phân phối bằng cách che giấu phần mềm độc hại trong các tệp hình ảnh bitmap có vẻ lành tính (tệp .BMP) trên một mạng đối thủ -các trang web được kiểm soát.
“Một ví dụ khác của maldoc sử dụng một kỹ thuật tương tự với sự khác biệt là tải trọng được lưu trữ trên trang web bị xâm phạm là hình ảnh BMP chứa tệp ZIP có chứa tải trọng ObliqueRAT”, nhà nghiên cứu của Talos, Asheer Malhotra nói. “Các macro độc hại chịu trách nhiệm giải nén ZIP và sau đó là tải trọng ObliqueRAT trên điểm cuối.”
Bất kể chuỗi lây nhiễm là gì, mục đích là lừa nạn nhân mở email chứa các tài liệu được vũ khí hóa, khi mở ra, nạn nhân sẽ chuyển trực tiếp đến tải trọng ObliqueRAT (phiên bản 6.3.5 kể từ tháng 11 năm 2020) thông qua các URL độc hại và cuối cùng xuất dữ liệu nhạy cảm từ hệ thống mục tiêu.
Nhưng không chỉ chuỗi phân phối đã được nâng cấp. Ít nhất bốn phiên bản khác nhau của ObliqueRAT đã được phát hiện kể từ khi nó được phát hiện, mà Talos nghi ngờ là những thay đổi có thể được thực hiện để đáp lại những tiết lộ công khai trước đó, đồng thời mở rộng khả năng đánh cắp thông tin của nó để bao gồm ảnh chụp màn hình và các tính năng ghi lại webcam và thực hiện các lệnh tùy ý.
Việc sử dụng steganography để cung cấp các tải trọng độc hại không phải là mới, cũng như việc lạm dụng các trang web bị tấn công để lưu trữ phần mềm độc hại.
Vào tháng 6 năm 2020, các nhóm Magecart trước đây đã được tìm thấy ẩn mã skimmer web trong siêu dữ liệu EXIF cho hình ảnh biểu tượng yêu thích của trang web. Đầu tuần này, các nhà nghiên cứu từ Sophos đã phát hiện ra một Chiến dịch Gootkit thúc đẩy việc đầu độc Tối ưu hóa Công cụ Tìm kiếm (SEO) với hy vọng lây nhiễm phần mềm độc hại cho người dùng bằng cách hướng họ đến các trang giả mạo trên các trang web hợp pháp nhưng bị xâm phạm.
Nhưng kỹ thuật sử dụng các tài liệu bị nhiễm độc này để hướng người dùng đến phần mềm độc hại ẩn trong các tệp hình ảnh cho thấy sự thay đổi về khả năng lây nhiễm nhằm mục đích có thể lọt qua mà không thu hút quá nhiều sự giám sát và nằm trong tầm ngắm.
Các nhà nghiên cứu cho biết: “Chiến dịch mới này là một ví dụ điển hình về cách đối thủ phản ứng với các cuộc tấn công tiết lộ và phát triển chuỗi lây nhiễm của chúng để tránh bị phát hiện. “Các sửa đổi trong tải trọng ObliqueRAT cũng làm nổi bật việc sử dụng các kỹ thuật làm xáo trộn có thể được sử dụng để tránh các cơ chế phát hiện dựa trên chữ ký truyền thống.”
