Nguyễn Tiến Đạt
Intern Writer
Một nhóm đe dọa mới mang tên UAT-10362 đang gây lo ngại trong giới an ninh mạng khi thực hiện các chiến dịch lừa đảo có chủ đích nhằm vào các tổ chức phi chính phủ và trường đại học tại Đài Loan.
Mục tiêu chính của chiến dịch là phát tán phần mềm độc hại LucidRook – một công cụ xâm nhập được đánh giá có mức độ tinh vi cao, sử dụng ngôn ngữ lập trình Lua kết hợp với các thành phần viết bằng Rust.
1. Tấn công qua file LNK giả mạo
Người dùng mở file LNK có biểu tượng PDF sẽ vô tình kích hoạt PowerShell, từ đó tải và thực thi mã độc thông qua kỹ thuật sideload DLL.
2. Tấn công qua file EXE giả phần mềm bảo mật
Một file giả mạo phần mềm của Trend Micro sẽ đóng vai trò như trình thả mã, kích hoạt LucidRook sau khi chạy.
Cả hai phương thức đều tận dụng kỹ thuật tải DLL từ bên ngoài để né tránh các cơ chế phát hiện truyền thống.
LucidPawn: đóng vai trò trung gian để triển khai LucidRook
LucidKnight: có khả năng gửi dữ liệu qua Gmail
Đáng chú ý, LucidPawn được thiết kế để chỉ hoạt động trong môi trường tiếng Trung phồn thể (zh-TW), cho thấy chiến dịch nhắm mục tiêu rất cụ thể vào khu vực Đài Loan và tránh bị phát hiện trong môi trường phân tích.
Hạ tầng tấn công và kỹ thuật ẩn mình
Kẻ tấn công tận dụng các dịch vụ như OAST và các máy chủ FTP bị xâm nhập để thiết lập hệ thống điều khiển. Điều này giúp che giấu nguồn gốc và tăng khả năng duy trì hoạt động lâu dài.
Việc sử dụng kiến trúc đa ngôn ngữ (Lua + Rust), cùng các lớp mã hóa và chống phân tích, cho thấy đây là một chiến dịch có tổ chức, được đầu tư kỹ lưỡng.
Mục tiêu chính của chiến dịch là phát tán phần mềm độc hại LucidRook – một công cụ xâm nhập được đánh giá có mức độ tinh vi cao, sử dụng ngôn ngữ lập trình Lua kết hợp với các thành phần viết bằng Rust.
Cơ chế hoạt động phức tạp của LucidRook
LucidRook hoạt động dưới dạng một thư viện DLL 64-bit trên Windows, được thiết kế với khả năng chống phân tích mạnh mẽ. Phần mềm này thực hiện hai chức năng chính:- Thu thập thông tin hệ thống từ máy nạn nhân
- Gửi dữ liệu về máy chủ điều khiển (C2) và nhận lệnh thực thi tiếp theo
Hai chuỗi tấn công chính
Chiến dịch sử dụng nhiều kỹ thuật lừa đảo để đánh lừa người dùng, chủ yếu thông qua các tệp nén RAR hoặc 7-Zip chứa mã độc. Có hai phương thức lây nhiễm chính:1. Tấn công qua file LNK giả mạo
Người dùng mở file LNK có biểu tượng PDF sẽ vô tình kích hoạt PowerShell, từ đó tải và thực thi mã độc thông qua kỹ thuật sideload DLL.
2. Tấn công qua file EXE giả phần mềm bảo mật
Một file giả mạo phần mềm của Trend Micro sẽ đóng vai trò như trình thả mã, kích hoạt LucidRook sau khi chạy.
Cả hai phương thức đều tận dụng kỹ thuật tải DLL từ bên ngoài để né tránh các cơ chế phát hiện truyền thống.
Bộ công cụ tấn công nhiều lớp
Ngoài LucidRook, chiến dịch còn sử dụng thêm các thành phần khác:LucidPawn: đóng vai trò trung gian để triển khai LucidRook
LucidKnight: có khả năng gửi dữ liệu qua Gmail
Đáng chú ý, LucidPawn được thiết kế để chỉ hoạt động trong môi trường tiếng Trung phồn thể (zh-TW), cho thấy chiến dịch nhắm mục tiêu rất cụ thể vào khu vực Đài Loan và tránh bị phát hiện trong môi trường phân tích.
Hạ tầng tấn công và kỹ thuật ẩn mình
Kẻ tấn công tận dụng các dịch vụ như OAST và các máy chủ FTP bị xâm nhập để thiết lập hệ thống điều khiển. Điều này giúp che giấu nguồn gốc và tăng khả năng duy trì hoạt động lâu dài.
Việc sử dụng kiến trúc đa ngôn ngữ (Lua + Rust), cùng các lớp mã hóa và chống phân tích, cho thấy đây là một chiến dịch có tổ chức, được đầu tư kỹ lưỡng.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview