WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
443 bài viết
Tấn công APT lây nhiễm mã độc vào cảnh báo lỗi của Windows
Một chiến dịch lây nhiễm mã độc vào dịch vụ báo cáo lỗi của Windows (Windows Error Reporting – WER) vừa được các nhà nghiên cứu tại Malwarebytes Threat Intelligence phát hiện.
Kẻ xấu đã lừa nạn nhân bằng cách giả danh cung cấp các thông tin quan trọng về các quyền đền bù cho người lao động, từ đó dẫn người dùng đến một website độc hại để tải mã độc được giấu trong WER.
WER là công cụ báo cáo lỗi của hệ điều hành Windows. Công cụ này xuất hiện trên cả Windows Mobile phiên bản 5.0 và 6.0
Dịch vụ này chạy tệp WerFault.exe, một tiến trình “thường” được gọi khi có lỗi liên quan đến hệ điều hành, các tính năng hoặc ứng dụng của Windows. Điều này làm cho WerFault.exe trở thành một cơ chế che giấu tốt cho kẻ xấu, vì người dùng sẽ không nghi ngờ bất kỳ hoạt động bất chính nào nếu WerFault.exe đang chạy.
Các nhà nghiên cứu cho biết: “Khi nạn nhân nhìn thấy file WerFault.exe đang chạy trên máy tính, họ có thể cho rằng có vài lỗi đang xảy ra, thực tế họ đang bị tấn công”.
Cuộc tấn công bắt đầu bằng một file Zip độc hại có tên “Compensation.manual.doc” được kẻ xấu phát tán thông qua các cuộc tấn công spear-phishing.
Theo các nhà nghiên cứu: “Chúng tôi tìm thấy một macro độc hại sử dụng một phiên bản đã được chỉnh sửa của module CactusTorch VBA để thực thi shellcode. CactusTorch tận dụng kỹ thuật DotNetToJscript để tải một tệp .NET đã được biên dịch vào trong bộ nhớ và thực thi nó từ vbscript”.
Trong chiến dịch gần đây, trình tải lên có 2 lớp chính, lớp Kraken và Loader phối hợp với nhau trong quá trình cài đặt payload độc hại vào trong dịch vụ WER.
Lớp “Kraken” có chứa shellcode được dùng để tiêm vào tiến trình mục tiêu “WerFault.exe”. Lớp này chỉ có chức năng duy nhất là: gọi hàm “tải” cho lớp “Loader” kèm theo các tham số là shellcode và tiến trình mục tiêu. Sau đó lớp loader sẽ chịu trách nhiệm tiêm nhiễm shellcode vào trong tiến trình mục tiêu bằng các cuộc gọi API của Windows.
Các nhà nghiên cứu mới chỉ nghi ngờ nhóm APT32 đứng sau cuộc tấn công vì họ không truy cập được đến payload cuối cùng để kiểm tra.
Kẻ xấu đã lừa nạn nhân bằng cách giả danh cung cấp các thông tin quan trọng về các quyền đền bù cho người lao động, từ đó dẫn người dùng đến một website độc hại để tải mã độc được giấu trong WER.
WER là công cụ báo cáo lỗi của hệ điều hành Windows. Công cụ này xuất hiện trên cả Windows Mobile phiên bản 5.0 và 6.0
Dịch vụ này chạy tệp WerFault.exe, một tiến trình “thường” được gọi khi có lỗi liên quan đến hệ điều hành, các tính năng hoặc ứng dụng của Windows. Điều này làm cho WerFault.exe trở thành một cơ chế che giấu tốt cho kẻ xấu, vì người dùng sẽ không nghi ngờ bất kỳ hoạt động bất chính nào nếu WerFault.exe đang chạy.
Các nhà nghiên cứu cho biết: “Khi nạn nhân nhìn thấy file WerFault.exe đang chạy trên máy tính, họ có thể cho rằng có vài lỗi đang xảy ra, thực tế họ đang bị tấn công”.
Cuộc tấn công bắt đầu bằng một file Zip độc hại có tên “Compensation.manual.doc” được kẻ xấu phát tán thông qua các cuộc tấn công spear-phishing.
Theo các nhà nghiên cứu: “Chúng tôi tìm thấy một macro độc hại sử dụng một phiên bản đã được chỉnh sửa của module CactusTorch VBA để thực thi shellcode. CactusTorch tận dụng kỹ thuật DotNetToJscript để tải một tệp .NET đã được biên dịch vào trong bộ nhớ và thực thi nó từ vbscript”.
Trong chiến dịch gần đây, trình tải lên có 2 lớp chính, lớp Kraken và Loader phối hợp với nhau trong quá trình cài đặt payload độc hại vào trong dịch vụ WER.
Lớp “Kraken” có chứa shellcode được dùng để tiêm vào tiến trình mục tiêu “WerFault.exe”. Lớp này chỉ có chức năng duy nhất là: gọi hàm “tải” cho lớp “Loader” kèm theo các tham số là shellcode và tiến trình mục tiêu. Sau đó lớp loader sẽ chịu trách nhiệm tiêm nhiễm shellcode vào trong tiến trình mục tiêu bằng các cuộc gọi API của Windows.
Các nhà nghiên cứu mới chỉ nghi ngờ nhóm APT32 đứng sau cuộc tấn công vì họ không truy cập được đến payload cuối cùng để kiểm tra.
Theo ThreadPost