Cảnh báo chiến dịch tấn công của nhóm APT Darkpink nhắm vào các nước Đông Nam Á

Trong quá trình săn tìm mã độc trên không gian mạng, nhóm phân tích mã độc của Viettel Threat Intelligence có phát hiện một mẫu mã độc giả mạo văn bản có sử dụng tiếng việt. Mẫu mã độc mới phát hiện này khai thác lổ hổng CVE-2023-38831 trên WinRAR kết hợp cùng với kỹ thuật DLL Sideloading (đây kỹ thuật tấn công được sử dụng rất phổ biến bởi các nhóm APT). Sau khi phân tích chi tiết thì Viettel Threat Intelligence đưa đến nhận định rằng mẫu mã độc này thuộc chiến dịch của nhóm APT Darkpink (còn có tên khác là Saaiwc) tấn công vào các nước thuộc khu vực Đông Nam Á. Sau đây là bài phân tích chi tiết về cách thức tấn công và các bằng chứng tương đồng giữa mẫu mã độc mới phát hiện với mẫu mã độc của Darkpink đã được phát hiện trước đó.

1.Thông tin về Samples

2. Phân tích mã độc

2.1. Kịch bản tấn công:

Mã độc là một tệp nén trong đó có chứa một tệp tin PDF giả mạo văn bản tài liệu cơ quan nhà nước Việt Nam và một thư mục cùng tên với tệp PDF nhằm khai thác lổ hổng CVE-2023-38831 trên WinRAR. Trong thư mục trên có chứa một tệp thực thi exe thực chất là tệp explorer.exe của Microsoft được sử dụng để side-loading tệp thư viện DLL chứa hành vi chính của mã độc.

2.2. Phân tích hành vi

Khi người dùng thực hiện click vào tệp tin PDF nén trong thư mục nén, đồng thời tệp tin exe nằm trong thư mục cùng tên với tệp PDF sẽ được thực thi.

Mã độc sau đó tiến hành tạo registry tại đường dẫn SOFTWARE\Classes\amvfile\shell\open\command nhằm thực hiện lệnh powershell với payload được lưu trong key amv mỗi khi thực thi tệp tin có đuôi mở rộng .amv.

Mã độc cũng đồng thời tiến hành tạo các tệp tin shortcut TextC, TextV, TextA dưới dạng ẩn và đăng kí với các tổ hợp phím tắt lần lượt là Ctrl+C, Ctrl+V, Ctrl+A. Khi người dùng sử dụng một trong các tổ hợp phím trên, các tệp tin shortcut trên sẽ được thực thi gọi tới tệp Tsys.amv nằm trong thư mục Startup đồng thời thực thi payload mã độc nằm trong registry .

Nội dung sourcecode Powershell trong registry sau khi giải mã thu được như sau.

Đoạn payload trên sẽ tiến hành thu thập các thông tin trên máy tính của nạn nhân bao gồm địa chỉ IP, hệ điều hành, biến môi trường, GUID và các phần mềm Anti-Virus được cài trên máy.

Các thông tin trên sau khi thu thập được sẽ được gửi về kẻ tấn công thông qua API chatbot của Telegram với bot_token được lưu trong biến môi trường TKS và chat_id lưu trong biến IDS.

Sau đó mã độc sẽ nhận payload Powershell từ Telegram với mục đích đánh cắp các tệp tin tài liệu có đuôi mở rộng .doc, .xls, .ppt, .pdf, .txt rồi gửi về cho kẻ tấn công.

3. Mở rộng điều tra

Ngoài mẫu mã độc được phân tích ở trên, team phân tích cũng phát hiện các tệp tin nén có hành vi tương tư sử dụng các văn bản, tài liệu khác giả mạo cơ quan nhà nước Việt Nam.

Dựa trên các địa chỉ IP của nạn nhân thu thập được từ bot Telegram, có thể thấy chiến dịch tấn công không những chỉ nhắm vào Việt Nam mà còn bao gồm các quốc gia khác trong khu vực như Thái Lan, Malaysia,  Philippines,…

Qua phân tích các chiến dịch tấn công APT nhắm vào khu vực Đông Nam Á trước đây,  Viettel Threat Intelligence nhận thấy chiến dịch tấn công lần này sử dụng các TTP tương đồng với chiến dịch tấn công của nhóm Darkpink vào năm 2022. Có thể thấy ở cả hai chiến dịch tấn công, các đối tượng đều sử dụng kĩ thuật Shell extension làm persistence. Đồng thời ở cả 2 chiến dịch nhóm tấn công đều sử dụng Bot Telegram làm phương thức để trao đổi dữ liệu giữa mã độc và kẻ tấn công.

4. Tổng kết

4.1. Bảng MItre ATT&CK

4.2. Danh sách IOCs

MD5:

· 6A3948A3602F11E58D8A9300D50984D6

· 5504799EB0E7C186AFCB07F7F50775B2

· DD9146BF793AC34DE3825BDABCD9F0F3

· C5331b30587DCAF94BFDE94040D4FC89

SHA-1:

· 351722DEC1499A39A6F84DF2F4C723254575FDA9

· 6C7AE4E0A64825423F30A2C46055F03F30AE8641

· 436A820B5598987AFA7B0E2F0C6B90EEB440243F

· 4F75D2B42E9D9EBAF032430D2EADA95CBF4A2FAA

SHA-256:

· 3CF0408CE29F916BEB1FC5767A028C0F8C7DD4
C0311002E0827F7557C0C25AB4

· 1A3B1FB53E0C902319AA63C4BFA737EDABE88
C9A5F2464651F3B2990C0A4A4D3

· BCC0D383D8B253BB2FBA1F5FA1B23640E07E86
BDDD6AFDB7E39D1CB329A3FA47

· 0DA357954775AD2771DFCAC44471CE29BB68D7275
DA75B4AD50F24482E20DB37

Tuyên bố miễn trừ trách nhiệm

Báo cáo này được cung cấp với mục đích duy nhất là chia sẻ thông tin và không có bất kỳ sự cam kết nào, rõ ràng hay ngụ ý, về tính chính xác, độ tin cậy hoặc tính phù hợp cho bất kỳ mục đích cụ thể nào khác. Nhóm tác giả không chịu trách nhiệm về bất kỳ thiệt hại trực tiếp hoặc gián tiếp nào phát sinh từ việc sử dụng hoặc tham khảo thông tin trong báo cáo này. Mọi quyết định hoặc hành động dựa trên nội dung của báo cáo là trách nhiệm của người đọc. Báo cáo có sử dụng một số thông tin thu được trong quá trình cung cấp dịch vụ của Viettel Cyber Security và tham khảo thông tin của một số báo cáo khác.

Thông tin tham khảo về chiến dịch tấn công của nhóm APT Darkpink trong năm 2022: https://mp.weixin.qq.com/s/G3gUjg9WC96NW4cRPww6gw 1.111