-
09/04/2020
-
116
-
1.203 bài viết
Bitter APT khai thác lỗ hổng WinRAR và macro Office để đánh cắp dữ liệu
Một chiến dịch tấn công tinh vi vừa được phát hiện, được cho là do nhóm tin tặc Bitter (APT-Q-37) đứng sau. Nhóm này lợi dụng lỗ hổng zero-day trong WinRAR để phát tán tài liệu Office đã bị cài mã độc, từ đó cài đặt một backdoor viết bằng C#. Khi xâm nhập thành công, mã độc cho phép kẻ tấn công thu thập dữ liệu nhạy cảm và duy trì quyền truy cập lâu dài vào hệ thống mục tiêu. Theo Qi’anxin, toàn bộ chuỗi tấn công được thiết kế nhiều tầng, sử dụng hai con đường lây nhiễm khác nhau nhưng đều dẫn đến cùng một loại backdoor có khả năng tải và kích hoạt thêm payload từ máy chủ điều khiển (C2).
Chiến dịch được xác định có hai hướng tấn công khác nhau nhưng đều dẫn đến việc cài đặt cùng một loại mã độc. Ở hướng thứ nhất, nhóm Bitter phát tán tệp Excel Add-In (.xlam) có chứa macro VBA. Khi người dùng bật macro, tập lệnh sẽ giải mã mã nguồn C# được mã hóa Base64, sau đó sử dụng công cụ hệ thống csc.exe để biên dịch và InstallUtil.exe để cài đặt thành tệp vlcplayer.dll trong thư mục C:\ProgramData\USOShared. Macro đồng thời tạo một tệp batch trong thư mục Startup để thiết lập cơ chế khởi động cùng hệ thống và lên lịch một tác vụ tự động liên lạc với máy chủ điều khiển qua tên miền keeferbeautytrends.com, vốn từng được liên kết với các hoạt động của Bitter trước đây.
Hướng tấn công thứ hai khai thác một lỗ hổng truy cập vượt giới hạn đường dẫn chưa được công bố trong WinRAR, nhiều khả năng tồn tại trước CVE-2025-8088. Kẻ tấn công tạo ra tệp nén có tên Provision of Information for Sectoral for AJK.rar, được thiết kế để ghi đè mẫu Normal.dotm hợp pháp trong thư mục C:\Users<username>\AppData\Roaming\Microsoft\Templates. Khi nạn nhân giải nén gói tin vào đúng vị trí này, mẫu Normal.dotm độc hại sẽ thay thế mẫu mặc định của Word, khiến mã độc được kích hoạt mỗi khi ứng dụng khởi chạy. Macro bên trong mẫu này kết nối đến miền koliwooclients.com\templates để tải về tệp winnsc.exe, một backdoor có chức năng tương tự vlcplayer.dll, cho thấy cả hai phương thức đều chung nguồn gốc và được điều phối trong cùng một chiến dịch.
Backdoor được thiết kế theo mô-đun và giao tiếp qua HTTP(S) đã mã hóa. Sau khi khởi chạy, chương trình thu thập các thông tin cơ bản của hệ thống như phiên bản hệ điều hành, tên máy và thư mục người dùng rồi gửi về máy chủ điều khiển; máy chủ này sau đó trả về các tham số lệnh để chỉ định hành vi tiếp theo, bao gồm việc tải xuống và thực thi payload phụ. Hoạt động mạng cho thấy kẻ tấn công vận hành một cụm tên miền liên quan, trong đó hạ tầng thuộc về esanojinjasvc.com được ghi nhận có mối liên hệ với các tài sản trước đây của nhóm Bitter. Tổng thể phương thức tấn công kết hợp việc lạm dụng công cụ hệ thống để biên dịch tại chỗ và khai thác thành phần của phần mềm bên thứ ba nhằm ghi đè mẫu Office, cho thấy nhóm đang thử nghiệm kỹ thuật nhằm tăng tính ẩn mình và khả năng duy trì truy cập.
Để phát hiện sớm và ngăn chặn chiến dịch, các đội an ninh cần tập trung rà soát một số điểm trọng yếu. Trước hết, nên kiểm tra xem có file Normal.dotm mới hoặc bị sửa trong AppData\Roaming\Microsoft\Templates hay không, đồng thời tìm kiếm các tệp lạ như vlcplayer.dll trong C:\ProgramData\USOShared. Cũng cần chú ý đến các tiến trình bất thường: nếu csc.exe hoặc InstallUtil.exe được kích hoạt từ Office, đó là dấu hiệu đáng ngờ. Các file .bat xuất hiện trong thư mục khởi động hoặc những scheduled task mới tạo cũng cần được kiểm tra ngay.
Song song với đó, đội vận hành cần giám sát lưu lượng kết nối ra ngoài tới cụm tên miền liên quan, cô lập các máy nghi ngờ và phân tích tệp đáng ngờ trong môi trường sandbox trước khi cho phép chạy trên hệ thống thật. Việc tắt macro mặc định trong Office, chỉ cho phép macro đã được ký số, cùng với cập nhật WinRAR ngay khi có bản vá là những bước cần thiết để giảm thiểu rủi ro khai thác.
Chiến dịch của Bitter cho thấy ranh giới giữa tấn công và phòng thủ đang mờ dần, khi các nhóm APT ngày càng tận dụng chính công cụ hợp pháp trong hệ thống để ẩn mình. Với việc lỗ hổng zero-day trong WinRAR bị khai thác, các doanh nghiệp cần nhìn nhận lại quy trình kiểm thử phần mềm và chính sách bảo mật nội bộ, thay vì chỉ trông chờ vào bản vá từ nhà cung cấp.
Chiến dịch được xác định có hai hướng tấn công khác nhau nhưng đều dẫn đến việc cài đặt cùng một loại mã độc. Ở hướng thứ nhất, nhóm Bitter phát tán tệp Excel Add-In (.xlam) có chứa macro VBA. Khi người dùng bật macro, tập lệnh sẽ giải mã mã nguồn C# được mã hóa Base64, sau đó sử dụng công cụ hệ thống csc.exe để biên dịch và InstallUtil.exe để cài đặt thành tệp vlcplayer.dll trong thư mục C:\ProgramData\USOShared. Macro đồng thời tạo một tệp batch trong thư mục Startup để thiết lập cơ chế khởi động cùng hệ thống và lên lịch một tác vụ tự động liên lạc với máy chủ điều khiển qua tên miền keeferbeautytrends.com, vốn từng được liên kết với các hoạt động của Bitter trước đây.
Hướng tấn công thứ hai khai thác một lỗ hổng truy cập vượt giới hạn đường dẫn chưa được công bố trong WinRAR, nhiều khả năng tồn tại trước CVE-2025-8088. Kẻ tấn công tạo ra tệp nén có tên Provision of Information for Sectoral for AJK.rar, được thiết kế để ghi đè mẫu Normal.dotm hợp pháp trong thư mục C:\Users<username>\AppData\Roaming\Microsoft\Templates. Khi nạn nhân giải nén gói tin vào đúng vị trí này, mẫu Normal.dotm độc hại sẽ thay thế mẫu mặc định của Word, khiến mã độc được kích hoạt mỗi khi ứng dụng khởi chạy. Macro bên trong mẫu này kết nối đến miền koliwooclients.com\templates để tải về tệp winnsc.exe, một backdoor có chức năng tương tự vlcplayer.dll, cho thấy cả hai phương thức đều chung nguồn gốc và được điều phối trong cùng một chiến dịch.
Backdoor được thiết kế theo mô-đun và giao tiếp qua HTTP(S) đã mã hóa. Sau khi khởi chạy, chương trình thu thập các thông tin cơ bản của hệ thống như phiên bản hệ điều hành, tên máy và thư mục người dùng rồi gửi về máy chủ điều khiển; máy chủ này sau đó trả về các tham số lệnh để chỉ định hành vi tiếp theo, bao gồm việc tải xuống và thực thi payload phụ. Hoạt động mạng cho thấy kẻ tấn công vận hành một cụm tên miền liên quan, trong đó hạ tầng thuộc về esanojinjasvc.com được ghi nhận có mối liên hệ với các tài sản trước đây của nhóm Bitter. Tổng thể phương thức tấn công kết hợp việc lạm dụng công cụ hệ thống để biên dịch tại chỗ và khai thác thành phần của phần mềm bên thứ ba nhằm ghi đè mẫu Office, cho thấy nhóm đang thử nghiệm kỹ thuật nhằm tăng tính ẩn mình và khả năng duy trì truy cập.
Để phát hiện sớm và ngăn chặn chiến dịch, các đội an ninh cần tập trung rà soát một số điểm trọng yếu. Trước hết, nên kiểm tra xem có file Normal.dotm mới hoặc bị sửa trong AppData\Roaming\Microsoft\Templates hay không, đồng thời tìm kiếm các tệp lạ như vlcplayer.dll trong C:\ProgramData\USOShared. Cũng cần chú ý đến các tiến trình bất thường: nếu csc.exe hoặc InstallUtil.exe được kích hoạt từ Office, đó là dấu hiệu đáng ngờ. Các file .bat xuất hiện trong thư mục khởi động hoặc những scheduled task mới tạo cũng cần được kiểm tra ngay.
Song song với đó, đội vận hành cần giám sát lưu lượng kết nối ra ngoài tới cụm tên miền liên quan, cô lập các máy nghi ngờ và phân tích tệp đáng ngờ trong môi trường sandbox trước khi cho phép chạy trên hệ thống thật. Việc tắt macro mặc định trong Office, chỉ cho phép macro đã được ký số, cùng với cập nhật WinRAR ngay khi có bản vá là những bước cần thiết để giảm thiểu rủi ro khai thác.
Chiến dịch của Bitter cho thấy ranh giới giữa tấn công và phòng thủ đang mờ dần, khi các nhóm APT ngày càng tận dụng chính công cụ hợp pháp trong hệ thống để ẩn mình. Với việc lỗ hổng zero-day trong WinRAR bị khai thác, các doanh nghiệp cần nhìn nhận lại quy trình kiểm thử phần mềm và chính sách bảo mật nội bộ, thay vì chỉ trông chờ vào bản vá từ nhà cung cấp.
Theo Cyber Press