Phát hiện mã độc siêu ẩn danh hoạt động từ năm 2018 tới nay

Chưa phát hiện ra bất kỳ điểm tương đồng nào giữa MontysThree với bất kỳ cuộc tấn công có chủ đích nào trước đó.

Các nhà nghiên cứu bảo mật vừa công bố phát hiện các vụ tấn công có chủ đích nhằm vào các tập đoàn công nghiệp bắt đầu từ năm 2018. Bộ công cụ MT3 (do hacker đặt) hay MontysThree (do Kaspersky đặt lại) được sử dụng cho mục đích này. Bộ công cụ sử dụng nhiều kỹ thuật để tránh bị phát hiện, bao gồm việc ẩn lưu lượng truyền thông trong máy chủ điều khiển và các dịch vụ điện toán đám mây, che giấu mô-đun mã độc bằng kỹ thuật giấu tin.

Phát hiện mã độc siêu ẩn danh hoạt động từ năm 2018 tới nay - 1

Các cơ quan chính phủ, nhà ngoại giao và nhà mạng viễn thông dường như là những đích tấn công ưa thích của các vụ tấn công có chủ đích (APT), bởi vì các cá nhân và tổ chức này thường quản lý và xử lý nhiều thông tin mật, nhạy cảm về chính trị. Các chiến lược tấn công do thám có chủ đích sẽ ít nhằm vào các cơ sở công nghiệp hơn; nhưng cũng giống như bất kỳ vụ tấn công nào khác, chúng vẫn có thể gây ra những hậu quả nghiêm trọng đối với doanh nghiệp, Kaspersky nhận định.

Để thực hiện hoạt động do thám, MontysThree triển khai một chương trình mã độc bao gồm bốn mô-đun. Mô-đun thứ nhất - Trình tải (Loader) là bước lây lan ban đầu thông qua sử dụng các file RAR SFX (file lưu trữ tự giải nén) có chứa danh sách nhân viên, tài liệu kỹ thuật và kết quả chẩn đoán y tế để đánh lừa nhân viên tải file về. Trình Loader chủ yếu chịu trách nhiệm đảm bảo mã độc không bị phát hiện trên hệ thống.

Kỹ thuật giấu tin được sử dụng để giấu thực tế dữ liệu đang bị khai thác. Với trường hợp của MontysThree, phần dữ liệu được truyền đi của mã độc chính được ngụy trang bằng một file hình ảnh theo định dạng bitmap (một định dạng để lưu trữ hình ảnh số). Nếu nhập vào đúng câu lệnh, trình Loader sẽ sử dụng một thuật toán đặc biệt để giải mã nội dung ma trận điểm ảnh và chạy mã độc.

Phát hiện mã độc siêu ẩn danh hoạt động từ năm 2018 tới nay - 2

Nhóm hacker đứng sau sử dụng nhiều kỹ thuật ẩn danh. (Ảnh minh họa)

Hacker còn sử dụng thuật toán RSA để mã hóa lưu lượng truyền thông với máy chủ điều khiển và giải mã các tác vụ chính mà mã độc ấn định cho nó. Điều đó bao gồm việc tìm kiếm các tài liệu có phần mở rộng nhất định nằm trong các thư mục cụ thể của công ty. MontysThree được thiết kế để tấn công các tài liệu Microsoft và Adobe Acrobat. Nó còn có thể chụp ảnh màn hình và thu thập thông tin về tham số cài đặt mạng, tên máy chủ,... để đánh giá xem đích đó có hấp dẫn với tin tặc hay không.

Sau đó, thông tin thu thập được chuyển về các dịch vụ điện toán đám mây như Google, Microsoft hay Dropbox. Điều đó làm cho lưu lượng truyền thông trở nên khó bị phát hiện dưới dạng mã độc, bởi vì không có phần mềm diệt virus nào chặn các dịch vụ này. Do đó, nó đảm bảo máy chủ điều khiển của hacker có thể thực hiện các câu lệnh một cách liên tục.

MontysThree còn sử dụng một phương pháp đơn giản để duy trì sự ẩn nấp dai dẳng trên hệ thống bị lây nhiễm, đó là phần thanh công cụ chạy ứng dụng nhanh Windows Quick Launch. Nó khiến người dùng vô tình chạy mô-đun ban đầu của mã độc mỗi khi chạy các ứng dụng chính thống, như thanh công cụ Quick Launch. 

Kaspersky chưa phát hiện ra bất kỳ điểm tương đồng nào trong mã độc hay trong cơ sở hạ tầng của MontysThree với bất kỳ cuộc tấn công có chủ đích nào đã biết trước đó.