CoralRaider: nhóm tin tặc có nguồn gốc Việt Nam

Cisco Talos đánh giá với độ tin cậy cao rằng nhóm tin tặc CoralRaider đến từ Việt Nam, dựa trên những dòng tin nhắn của tác nhân đe dọa trong kênh bot Telegram C2 và tùy chọn ngôn ngữ trong việc đặt tên cho bot, chuỗi PDB và các từ tiếng Việt khác được mã hóa cứng trong tệp nhị phân payload. Ngoài ra, các nhà nghiên cứu cho biết địa chỉ IP của tin tặc có vị trí tại Hà Nội.

Phân tích của các nhà nghiên cứu cho thấy kẻ tấn công sử dụng bot Telegram thông qua lệnh được gửi từ máy chủ điều khiển và kiểm soát (C2) nhằm đánh cắp dữ liệu của nạn nhân. Điều này giúp các nhà nghiên cứu thu thập thông tin và khám phá một số chỉ số có giá trị về nguồn gốc và hoạt động của tin tặc.

Kẻ tấn công đã sử dụng hai bot Telegram: Một bot “debug” để gỡ lỗi và một bot “online” làm địa chỉ nhận dữ liệu đã được thu thập từ nạn nhân.

Hình 1. Bot trên Telegram trong chiến dịch

Các nhà nghiên cứu tìm thấy một số nhóm Telegram bằng tiếng Việt có tên “Kiếm tiền từ Facebook”, “Mua bán scan MINI” và “Mua bán scan Meta”. Việc giám sát các nhóm này cho thấy chúng là thị trường ngầm, nơi dữ liệu nạn nhân được giao dịch, mua bán cùng với các hoạt động khác.

Trong hình ảnh từ bot “debug”, các nhà nghiên cứu phát hiện ID thiết bị Windows (HWID) và địa chỉ IP 118[.]71[.]64[.]18 tại Hà Nội, đồng thời nhận định nhiều khả năng đây là địa chỉ IP của nhóm tin tặc CoralRaider.

Cisco Talos cũng đã phát hiện ra hai hình ảnh khác tiết lộ một số thư mục trên OneDrive của họ. Một trong các thư mục có tên tiếng Việt là “Bot Export Chiến”, giống với một trong các thư mục trong chuỗi PDB của thành phần trình tải của chúng. Xoay quanh đường dẫn thư mục trong chuỗi PDB, các nhà nghiên cứu phát hiện thêm một số chuỗi PDB khác có đường dẫn tương tự nhưng tên tiếng Việt khác nhau.

Qua phân tích, các mẫu được phát hiện có chuỗi PDB và có thể thuộc cùng một họ trình tải là RotBot - một biến thể tùy chỉnh của phần mềm độc hại QuasarRAT. Tên tiếng Việt trong chuỗi PDB của tệp nhị phân RotBot càng củng cố thêm đánh giá của các nhà nghiên cứu rằng CoralRaider có nguồn gốc từ Việt Nam.

Một hình ảnh khác mà Cisco Talos phân tích là một bảng tính Excel có khả năng chứa dữ liệu của nạn nhân. Các nhà nghiên cứu đã chỉnh sửa lại các hình ảnh để duy trì tính bảo mật. Bảng tính có một số tab bằng tiếng Việt và bản dịch tiếng Anh của chúng hiển thị cho các tab “Employee salary spreadsheet”, “advertising costs”, “website to buy copies”, “PayPal related” và “can use”.

Hình 2. Bảng tính Excel có khả năng chứa dữ liệu nạn nhân

Bảng tính này dường như có nhiều phiên bản với phiên bản đầu tiên được tạo vào ngày 10/5/2023. Các nhà nghiên cứu cũng phát hiện ra rằng họ đã đăng nhập vào tài khoản Microsoft Office 365 của mình với tên hiển thị “daloia krag” khi truy cập vào bảng tính và các tin tặc CoralRaider có thể vận hành tài khoản này.

Các tin tặc CoralRaider đã mã hóa cứng các từ tiếng Việt trong một số chức năng đánh cắp thông tin của phần mềm độc hại XClient và ghi chúng vào một tệp văn bản trên thư mục tạm thời của nạn nhân trước khi bị trích xuất. Một chức năng trong số này được sử dụng để đánh cắp tài khoản quảng cáo Facebook Ads.

Hình 3. Mã hóa cứng các từ tiếng Việt

Phân tích chiến dịch

Cisco Talos quan sát thấy các tin tặc CoralRaider đang tiến hành một chiến dịch độc hại nhắm vào nạn nhân ở nhiều quốc gia ở châu Á và Đông Nam Á, bao gồm Ấn Độ, Trung Quốc, Hàn Quốc, Bangladesh, Pakistan, Indonesia và Việt Nam.

Vector ban đầu của chiến dịch là các tệp Windows shortcut, ví dụ như: Research[.]pdf[.]lnk, manual[.]pdf[.]lnk, index-write-upd[.]lnk, refcount[.]lnk,…

Cuộc tấn công bắt đầu khi người dùng mở tệp Windows shortcut độc hại, tệp này tải xuống và thực thi tệp ứng dụng HTML (HTA) từ máy chủ do kẻ tấn công kiểm soát. Tệp HTA này thực thi tập lệnh Visual Basic bị xáo trộn được nhúng. Tập lệnh Visual Basic độc hại thực thi tập lệnh PowerShell nhúng trong bộ nhớ, giải mã và thực thi tuần tự ba tập lệnh PowerShell khác thực hiện kiểm tra chống VM và chống phân tích, bỏ qua tính năng User Access Control, vô hiệu hóa thông báo Windows và ứng dụng trên máy của nạn nhân, cuối cùng tải xuống và thực thi mã độc RotBot.

Như đã đề cập, RotBot là một biến thể của phần mềm độc hại QuasarRAT, trong giai đoạn thực thi ban đầu, nó sẽ thực hiện một số kiểm tra để trinh sát hệ thống và trốn tránh sự phát hiện bởi các giải pháp bảo mật trên máy nạn nhân. Sau đó, RotBot kết nối với máy chủ trên một tên miền hợp pháp, có thể do tác nhân đe dọa kiểm soát và tải xuống tệp cấu hình để RotBot kết nối với máy chủ C2. Các tin tặc CoralRaider sử dụng bot Telegram làm kênh C2 trong chiến dịch này.

Sau khi kết nối với Telegram C2, RotBot tải payload của trình đánh cắp XClient vào bộ nhớ nạn nhân và thực thi chương trình plugin của nó. Plugin đánh cắp này thực hiện kiểm tra phần mềm chống VM và chống vi-rút trên máy của nạn nhân. Nó thực thi các chức năng của mình để thu thập dữ liệu trình duyệt của nạn nhân, bao gồm cookie, thông tin xác thực được lưu trữ và các thông tin tài chính như chi tiết thẻ tín dụng. Plugin cũng thu thập dữ liệu của nạn nhân từ các tài khoản mạng xã hội, bao gồm Facebook, Instagram, TikTok và YouTube. Bên cạnh đó, thu thập dữ liệu ứng dụng từ máy tính để bàn Telegram và ứng dụng Discord của nạn nhân.

Plugin đánh cắp có thể chụp ảnh màn hình máy tính và lưu chúng dưới dạng tệp PNG trong thư mục tạm thời trên máy của nạn nhân. Với các tệp PNG, plugin đánh cắp dữ liệu của nạn nhân được thu thập từ trình duyệt và tài khoản mạng xã hội vào một tệp văn bản và tạo một kho lưu trữ ZIP. Các tệp PNG và ZIP được lọc sang Telegram bot C2 của kẻ tấn công.

Hình 4. Luồng thực thi độc hại

RotBot tải và thực thi payload độc hại 

RotBot là một công cụ truy cập từ xa (RAT) được biết đến vào đầu tháng 01/2024, được tải xuống và thực thi trên máy nạn nhân, ngụy trang dưới dạng ứng dụng “spoolsv.exe”.

Trong lần thực thi đầu tiên, RotBot thực hiện một số kiểm tra trên máy của nạn nhân để tránh bị phát hiện, bao gồm địa chỉ IP, số ASN và các tiến trình đang chạy. Nó thực hiện trinh sát dữ liệu hệ thống trên và cấu hình thông số Proxy Internet bằng cách sửa đổi khóa registry tại đường dẫn “Software\Microsoft\Windows\CurrentVersion\Internet”: ProxyServer = 127.0.0.1:80 và ProxyEnable = 1.

Các nhà nghiên cứu quan sát thấy RotBot trong chiến dịch này tạo ra các giá trị mutex trên máy nạn nhân làm dấu hiệu lây nhiễm bằng cách sử dụng các chuỗi mã hóa cứng ở dạng nhị phân.

Hình 5. Chuỗi mã hóa cứng

RotBot tải và thực thi mô-đun đánh cắp thông tin XClient từ tài nguyên của nó và sử dụng các tham số cấu hình cho bot Telegram C2 từ tệp cấu hình đã tải xuống.

Hình 6. RobBot tải và thực thi trình đánh cắp thông tin XClient

Đánh cắp tài khoản mạng xã hội

Mẫu phân tích của trình đánh cắp thông tin XClient mà các nhà nghiên cứu đã phân tích trong chiến dịch này là một tệp thực thi .Net được công bố vào ngày 7/01/2024. XClient có khả năng đánh cắp thông tin ở phạm vi rộng lớn thông qua plugin và nhiều mô-đun khác nhau để thực hiện các tác vụ quản trị từ xa.

Trình đánh cắp thông tin này có ba chức năng chính giúp nó có khả năng vượt qua được các giải pháp bảo mật. Đầu tiên, phần mềm độc hại thực hiện việc trốn tránh môi trường ảo nếu máy của nạn nhân chạy trên VMware hoặc VirtualBox. Thứ hai, XClient cũng kiểm tra xem một tệp DLL có tên là sbieDll[.]dll có tồn tại trên máy nạn nhân hay không để kiểm tra sự tồn tại trong Sandbox. Thứ ba, XClient cũng kiểm tra xem phần mềm chống vi-rút, bao gồm AVG, Avast và Kaspersky, có đang được bật không.

Sau khi vượt qua tất cả các chức năng kiểm tra, XClient chụp màn hình trên máy nạn nhân và lưu nó với phần mở rộng “.png” trong thư mục hồ sơ người dùng tạm thời của nạn nhân và gửi nó đến máy chủ C2 thông qua URL “/sendPhoto”.

XClient đánh cắp thông tin xác thực ứng dụng web mạng xã hội, dữ liệu trình duyệt và thông tin tài chính như chi tiết thẻ tín dụng của nạn nhân. Phần mềm độc hại này nhắm mục tiêu đến các tệp dữ liệu trình duyệt Chrome, Microsoft Edge, Opera, Brave, CocCoc và Firefox. Nó sẽ trích xuất nội dung của cơ sở dữ liệu trình duyệt thành một tệp văn bản trong thư mục tạm thời trên máy nạn nhân.

Ngoài ra, các nhà nghiên cứu cho biết rằng XClient chiếm quyền điều khiển và đánh cắp nhiều dữ liệu Facebook khác nhau từ tài khoản Facebook của nạn nhân. XClient thiết lập siêu dữ liệu header HTTP tùy chỉnh cùng với cookie Facebook bị đánh cắp, tên người dùng và gửi yêu cầu tới API Facebook thông qua các URL trong Hình 7.

Hình 7. Các URL được sử dụng để gửi yêu cầu tới API Facebook

Phần mềm độc hại lúc này sẽ kiểm tra xem Facebook của nạn nhân là tài khoản doanh nghiệp hay tài khoản quảng cáo và sử dụng cụm từ thông dụng để tìm kiếm access_token, assetsID và PaymentAccountID. Bằng cách sử dụng API graph Facebook, XClient có thể thu thập những thông tin chi tiết và hình ảnh danh sách bạn bè tài khoản của nạn nhân.

Hình 8. Sử dụng API graph Facebook để đánh cắp thông tin

Ngoài ra, XClient cũng nhắm mục tiêu đến tài khoản Instagram và YouTube của nạn nhân thông qua các URL và thu thập nhiều dữ liệu thông tin khác nhau, ví dụ username, badge_count, appID, multiPageMenuRenderer, sections, hasChannel. Phần mềm độc hại cũng thu thập dữ liệu từ tài khoản doanh nghiệp TikTok của nạn nhân và kiểm tra các tài khoản quảng cáo doanh nghiệp.

Cuối cùng, trình đánh cắp thông tin XClient lưu trữ dữ liệu mạng xã hội đã đánh cắp vào một tệp văn bản trong thư mục tạm thời trên máy nạn nhân và tạo một kho lưu trữ ZIP. Các tệp ZIP đã được chuyển sang Telegram C2 thông qua URL “/sendDocument”.

Diễn biến liên quan

Sự phát triển này diễn ra khi hãng bảo mật Bitdefender (Romania) tiết lộ chi tiết về một chiến dịch quảng cáo độc hại trên Facebook lợi dụng các công cụ AI tạo sinh để phân phối các phần mềm đánh cắp thông tin như Rilide, Vidar, IceRAT và Nova Stealer.

Vector ban đầu của cuộc tấn công là việc các tin tặc chiếm đoạt tài khoản Facebook hiện có và sửa đổi giao diện để bắt chước các công cụ AI nổi tiếng của Google, OpenAI và Midjourney, đồng thời mở rộng phạm vi tiếp cận của chúng bằng cách chạy quảng cáo được tài trợ trên nền tảng này.

Một trang mạo danh giả dạng MidJourney (ứng dụng sử dụng AI để tạo các bức tranh sống động) có 1,2 triệu người theo dõi trước khi bị gỡ xuống vào ngày 8/3/2023. Các tác nhân đe dọa quản lý trang giảo mạo này chủ yếu đến từ Việt Nam, Mỹ, Indonesia, Anh và Úc.

Bitdefender cho biết: “Các chiến dịch quảng cáo độc hại có phạm vi tiếp cận rất lớn thông qua hệ thống quảng cáo được tài trợ của Meta và đã tích cực nhắm mục tiêu đến người dùng châu Âu từ Đức, Ba Lan, Ý, Pháp, Bỉ, Tây Ban Nha, Hà Lan, Romania, Thụy Điển và một số quốc gia khác”.