Một chiến dịch do các tác nhân đe dọa người Nga điều hành sử dụng các lời mời làm việc giả để nhắm mục tiêu đến những người Đông Âu làm việc trong ngành công nghiệp tiền điện tử, nhằm mục đích lây nhiễm cho họ một phiên bản sửa đổi của phần mềm độc hại Stealerium có tên 'Enigma'.
Theo Trend Micro , công ty đã theo dõi hoạt động độc hại, các tác nhân đe dọa sử dụng một bộ trình tải bị xáo trộn nghiêm trọng để khai thác lỗ hổng trình điều khiển Intel cũ nhằm giảm tính toàn vẹn của mã thông báo của Bộ bảo vệ Microsoft và bỏ qua các biện pháp bảo vệ.
Các cuộc tấn công bắt đầu bằng một email giả vờ là một lời mời làm việc với các cuộc phỏng vấn bằng tiền điện tử giả mạo để thu hút các mục tiêu của chúng. Các email có tệp đính kèm lưu trữ RAR chứa TXT ("câu hỏi phỏng vấn.txt") và tệp thực thi ("điều kiện phỏng vấn.word.exe").
Tệp văn bản chứa các câu hỏi phỏng vấn được viết bằng chữ Cyrillic, tuân theo định dạng chuẩn và được làm cho có vẻ hợp pháp.
Nếu nạn nhân bị lừa khởi chạy tệp thực thi, một chuỗi tải trọng sẽ được thực thi để cuối cùng tải xuống phần mềm độc hại đánh cắp thông tin Enigma từ Telegram.
Sơ đồ chuỗi tấn công
Trình tải xuống giai đoạn đầu tiên là một công cụ C++ sử dụng các kỹ thuật như hàm băm API, mã hóa chuỗi và mã không liên quan để tránh bị phát hiện trong khi tải xuống và khởi chạy tải trọng giai đoạn hai, "UpdateTask.dll."
Tải trọng giai đoạn hai, cũng được viết bằng C++, sử dụng kỹ thuật "Bring Your own Vulnerable Driver" (BYOVD) để khai thác lỗ hổng CVE-2015-2291 của Intel. Lỗ hổng trình điều khiển Intel này cho phép các lệnh được thực thi với các đặc quyền Kernel.
Các tác nhân đe dọa lợi dụng lỗ hổng này để vô hiệu hóa Bộ bảo vệ Microsoft trước khi phần mềm độc hại tải trọng thứ ba xuống.
Sửa đổi tính toàn vẹn mã thông báo của Defender
Giai đoạn thứ ba tải xuống tải trọng cuối cùng, Enigma Stealer, từ một kênh Telegram riêng mà Trend Micro cho biết là phiên bản sửa đổi của Stealerium, một phần mềm độc hại đánh cắp thông tin mã nguồn mở.
Enigma nhắm mục tiêu thông tin hệ thống, mã thông báo và mật khẩu được lưu trữ trong các trình duyệt web như Google Chrome, Microsoft Edge, Opera, v.v. Ngoài ra, nó nhắm mục tiêu dữ liệu được lưu trữ trong Microsoft Outlook, Telegram, Signal, OpenVPN và các ứng dụng khác.
Enigma cũng có thể chụp ảnh màn hình từ hệ thống bị xâm nhập và trích xuất nội dung khay nhớ tạm hoặc cấu hình VPN.
Logic ăn cắp của Enigma
Cuối cùng, tất cả dữ liệu bị đánh cắp được nén trong kho lưu trữ ZIP ("Data.zip") và gửi lại cho những kẻ đe dọa thông qua Telegram.
Một số chuỗi của Enigma, chẳng hạn như đường dẫn trình duyệt web và URL dịch vụ API định vị địa lý, được mã hóa bằng thuật toán AES ở chế độ chuỗi khối mật mã (CBC), có khả năng che giấu dữ liệu và ngăn truy cập hoặc giả mạo trái phép.
Logic mã hóa chuỗi
Trend Micro đã không chỉ định quy kết với sự tự tin mạnh mẽ nhưng đã phát hiện ra một số yếu tố có thể cho thấy một tác nhân đe dọa người Nga đứng đằng sau các cuộc tấn công.
Manh mối đầu tiên là một trong những máy chủ ghi nhật ký được sử dụng trong chiến dịch này để theo dõi luồng thực thi của các vụ lây nhiễm đang hoạt động lưu trữ bảng điều khiển Amadey C2, khá phổ biến trong các diễn đàn tội phạm mạng của Nga.
Thứ hai, máy chủ chạy "Deniska", một hệ thống Linux có mục đích đặc biệt chỉ được tham chiếu trong các diễn đàn nói tiếng Nga.
Cuối cùng, múi giờ mặc định của máy chủ được đặt thành Moscow, một dấu hiệu khác cho thấy các tác nhân đe dọa là người Nga.
Người ta thường thấy những kẻ đe dọa ở Bắc Triều Tiên thực hiện các chiến dịch quảng bá các lời mời làm việc giả nhắm vào những người làm việc trong ngành công nghệ cao . Vì vậy, nhìn thấy người Nga áp dụng chủ đề này là một sự phát triển thú vị.
"Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.