-
09/04/2020
-
93
-
600 bài viết
Tin tặc sử dụng kỹ thuật RTF injection cho mục đích lừa đảo
Ba nhóm tấn công APT từ Ấn Độ, Nga và Trung Quốc đã và đang sử dụng kỹ thuật chèn mẫu RTF (rich text format) mới trong các chiến dịch lừa đảo gần đây của mình.
Kỹ thuật này là một phương pháp đơn giản nhưng hiệu quả để truy xuất nội dung độc hại từ một URL từ xa. Các nhà nghiên cứu dự đoán rằng kỹ thuật này sẽ sớm được nhiều hacker biết đến.
Các nhà nghiên cứu tại Proofpoint đã phát hiện ra những trường hợp tiêm mẫu RTF đầu tiên được vũ khí hóa vào tháng 3 năm 2021 và kể từ đó, kẻ tấn công đã liên tục tối ưu hóa kỹ thuật này.
Một phương pháp đơn giản để tìm nạp tệp Rich Text Format (RTF) payload đó là sử dụng một định dạng tài liệu do Microsoft phát hành, có thể mở bằng Microsoft Word, WordPad và các ứng dụng khác có thể tìm thấy trên hầu hết các hệ điều hành.
Khi tạo tệp RTF, bạn có thể bao gồm RTF Template chỉ định cách định dạng văn bản trong tài liệu. Các mẫu này là các tệp cục bộ được nhập vào trình xem RTF trước khi hiển thị nội dung của tệp để định dạng nó một cách chính xác.
Mặc dù RTF Template vốn được lưu trữ cục bộ, kẻ tấn công hiện đang lợi dụng chức năng hợp pháp này để truy xuất tài nguyên URL thay vì tài nguyên tệp cục bộ.
Sự thay thế này cho phép hacker tải các payload độc hại vào một ứng dụng như Microsoft Word hoặc thực hiện xác thực NTLM đối với một URL từ xa để lấy cắp thông tin đăng nhập Windows. Hơn nữa, các tệp này khi được chuyển dưới dạng RTF Template sẽ có khả năng vượt qua các cơ chế phát hiện lừa đảo vì ban đầu chúng không xuất hiện trong các tệp RTF.
Tạo RTF Template từ xa khá đơn giản vì tất cả những gì mà kẻ tấn công phải làm là thêm lệnh {\*\template URL} vào tệp RTF bằng trình chỉnh sửa hex.
Phương pháp này cũng khả thi trên các tệp doc.rtf được mở trong Microsoft Word, buộc ứng dụng phải truy xuất tài nguyên từ URL được chỉ định trước khi cung cấp nội dung cho nạn nhân.
Proofpoint đã quan sát thấy phương pháp truy xuất payload này trên các chiến dịch lừa đảo của nhóm hack thân Ấn Độ DoNot Team, nhóm hack Gamaredon có liên kết với Nga và nhóm TA423.
Các tệp RTF có thể phân tích cú pháp các ký tự Unicode 16-bit, vì vậy kẻ tấn công đã sử dụng Unicode thay vì các chuỗi văn bản rõ cho tài nguyên URL được đưa vào để tránh bị phát hiện.
Vì việc tiêm RTF Template được thực hiện dễ dàng bằng cách sử dụng công cụ chỉnh sửa hex và khó có thể bị phát hiện bởi các máy quét chống vi-rút nên có khả năng chúng có thể sẽ được kẻ tấn công sử dụng rộng rãi hơn.
Proofpoint giải thích trong báo cáo của họ: "Khả năng tồn tại của các tài liệu mẫu từ xa dựa trên XML Office đã chứng minh rằng loại cơ chế phân phối này là một phương pháp lâu dài và hiệu quả khi được kết hợp với lừa đảo như một vectơ phân phối ban đầu”.
"Mặc dù phương pháp này hiện đang được sử dụng bởi một số nhỏ kẻ tấn công APT với nhiều mức độ phức tạp, nhưng tính hiệu quả của kỹ thuật kết hợp với tính dễ sử dụng của nó có khả năng thúc đẩy việc hacker lợi dụng nó trong tương lai”.
Hơn nữa, vì nội dung độc hại được truy xuất từ một URL từ xa, nó cho phép kẻ tấn công sửa đổi các chiến dịch của họ trong thời gian thực để sử dụng các payload mới hoặc các hành vi độc hại khác nhau.
Để bảo vệ khỏi mối đe dọa này, bạn nên tránh tải xuống và mở các tệp RTF đến qua email không mong muốn, quét chúng bằng phần mềm AV và cập nhật Microsoft Office với các bản vá mới nhất.
Các nhà nghiên cứu tại Proofpoint đã phát hiện ra những trường hợp tiêm mẫu RTF đầu tiên được vũ khí hóa vào tháng 3 năm 2021 và kể từ đó, kẻ tấn công đã liên tục tối ưu hóa kỹ thuật này.
Một phương pháp đơn giản để tìm nạp tệp Rich Text Format (RTF) payload đó là sử dụng một định dạng tài liệu do Microsoft phát hành, có thể mở bằng Microsoft Word, WordPad và các ứng dụng khác có thể tìm thấy trên hầu hết các hệ điều hành.
Khi tạo tệp RTF, bạn có thể bao gồm RTF Template chỉ định cách định dạng văn bản trong tài liệu. Các mẫu này là các tệp cục bộ được nhập vào trình xem RTF trước khi hiển thị nội dung của tệp để định dạng nó một cách chính xác.
Mặc dù RTF Template vốn được lưu trữ cục bộ, kẻ tấn công hiện đang lợi dụng chức năng hợp pháp này để truy xuất tài nguyên URL thay vì tài nguyên tệp cục bộ.
Sự thay thế này cho phép hacker tải các payload độc hại vào một ứng dụng như Microsoft Word hoặc thực hiện xác thực NTLM đối với một URL từ xa để lấy cắp thông tin đăng nhập Windows. Hơn nữa, các tệp này khi được chuyển dưới dạng RTF Template sẽ có khả năng vượt qua các cơ chế phát hiện lừa đảo vì ban đầu chúng không xuất hiện trong các tệp RTF.
Tạo RTF Template từ xa khá đơn giản vì tất cả những gì mà kẻ tấn công phải làm là thêm lệnh {\*\template URL} vào tệp RTF bằng trình chỉnh sửa hex.
Phương pháp này cũng khả thi trên các tệp doc.rtf được mở trong Microsoft Word, buộc ứng dụng phải truy xuất tài nguyên từ URL được chỉ định trước khi cung cấp nội dung cho nạn nhân.
Proofpoint đã quan sát thấy phương pháp truy xuất payload này trên các chiến dịch lừa đảo của nhóm hack thân Ấn Độ DoNot Team, nhóm hack Gamaredon có liên kết với Nga và nhóm TA423.
Các tệp RTF có thể phân tích cú pháp các ký tự Unicode 16-bit, vì vậy kẻ tấn công đã sử dụng Unicode thay vì các chuỗi văn bản rõ cho tài nguyên URL được đưa vào để tránh bị phát hiện.
Vì việc tiêm RTF Template được thực hiện dễ dàng bằng cách sử dụng công cụ chỉnh sửa hex và khó có thể bị phát hiện bởi các máy quét chống vi-rút nên có khả năng chúng có thể sẽ được kẻ tấn công sử dụng rộng rãi hơn.
Proofpoint giải thích trong báo cáo của họ: "Khả năng tồn tại của các tài liệu mẫu từ xa dựa trên XML Office đã chứng minh rằng loại cơ chế phân phối này là một phương pháp lâu dài và hiệu quả khi được kết hợp với lừa đảo như một vectơ phân phối ban đầu”.
"Mặc dù phương pháp này hiện đang được sử dụng bởi một số nhỏ kẻ tấn công APT với nhiều mức độ phức tạp, nhưng tính hiệu quả của kỹ thuật kết hợp với tính dễ sử dụng của nó có khả năng thúc đẩy việc hacker lợi dụng nó trong tương lai”.
Hơn nữa, vì nội dung độc hại được truy xuất từ một URL từ xa, nó cho phép kẻ tấn công sửa đổi các chiến dịch của họ trong thời gian thực để sử dụng các payload mới hoặc các hành vi độc hại khác nhau.
Để bảo vệ khỏi mối đe dọa này, bạn nên tránh tải xuống và mở các tệp RTF đến qua email không mong muốn, quét chúng bằng phần mềm AV và cập nhật Microsoft Office với các bản vá mới nhất.
Nguồn: bleepingcomputer
Chỉnh sửa lần cuối: