Silver Fox: Phân Tích Chuyên Sâu Chiến Dịch Tấn Công Winos 4.0 và HoldingHands RAT

Đăng bởi Chuyên gia DevSecOps Story |

Mở rộng Tầm Ngắm: Từ Trung Quốc, Đài Loan đến Nhật Bản và Malaysia

Nhóm tội phạm mạng đứng sau malware Winos 4.0 (ValleyRAT), được biết đến với tên gọi Silver Fox, đã leo thang các hoạt động tấn công. Không chỉ dừng lại ở Trung Quốc và Đài Loan, chúng đã mở rộng địa bàn hoạt động sang Nhật Bản và Malaysia, sử dụng một Remote Access Trojan (RAT) mới có tên HoldingHands RAT. Bài viết này sẽ phân tích sâu về các chiến dịch, kỹ thuật và mã độc mà Silver Fox sử dụng, cung cấp cái nhìn toàn diện cho các chuyên gia DevSecOps.

Silver Fox là ai?

Silver Fox là một nhóm tội phạm mạng nói tiếng Trung Quốc có hoạt động rất tích cực, được các tổ chức an ninh mạng theo dõi dưới nhiều tên gọi khác nhau như SwimSnake, The Great Thief of Valley, và Void Arachne. Nhóm này nổi tiếng với các chiến dịch tinh vi, nhắm vào việc đánh cắp thông tin và kiểm soát hệ thống từ xa.

Vector Tấn Công Đa Dạng và Tinh Vi

1. Lừa đảo Phishing và SEO Poisoning

Silver Fox thường sử dụng email lừa đảo chứa tệp PDF giả mạo văn bản chính thức từ các cơ quan chính phủ (ví dụ: Bộ Tài chính). Các tệp PDF này chứa liên kết độc hại, dẫn người dùng đến các trang web giả mạo để tải về phần mềm độc hại. Ngoài ra, chúng còn sử dụng kỹ thuật SEO poisoning (đầu độc SEO) để đưa các trang web giả mạo phần mềm phổ biến (Google Chrome, Telegram, WPS Office) lên top kết quả tìm kiếm, lừa người dùng tải về mã độc.

2. Tấn công Bring Your Own Vulnerable Driver (BYOVD)

Một kỹ thuật đáng chú ý là việc lạm dụng driver chứa lỗ hổng của phần mềm WatchDog Anti-malware. Bằng cách mang theo driver dễ bị tổn thương này, chúng có thể vô hiệu hóa các phần mềm bảo mật được cài đặt trên máy tính của nạn nhân, dọn đường cho mã độc hoạt động mà không bị phát hiện.

Kho Vũ Khí Malware: Winos 4.0 và HoldingHands RAT

Cả Winos 4.0 và HoldingHands RAT đều được phát triển dựa trên mã nguồn của Gh0st RAT, một mã độc khét tiếng bị rò rỉ vào năm 2008 và được nhiều nhóm tin tặc Trung Quốc sử dụng lại. Điều này cho thấy sự chia sẻ tài nguyên và kỹ thuật trong cộng đồng tội phạm mạng.

Winos 4.0 (ValleyRAT)

Là mã độc chính trong các chiến dịch ban đầu, chủ yếu lây lan qua phishing và SEO poisoning.

HoldingHands RAT

Là biến thể mới được sử dụng để mở rộng tấn công sang Nhật Bản và Malaysia, với các tính năng nâng cấp.

Phân Tích Kỹ Thuật Chuỗi Lây Nhiễm HoldingHands RAT

Chuỗi lây nhiễm của HoldingHands RAT được thiết kế nhiều giai đoạn để né tránh các giải pháp bảo mật. Dưới đây là quy trình tấn công điển hình:

1. Mồi Nhử (Lure)
Người dùng nhấp vào liên kết độc hại trong email/tài liệu giả mạo.
2. Tải Payload & DLL Side-Loading
Tệp thực thi được tải về, sau đó sideload một DLL độc hại.
3. Vô hiệu hóa bảo mật
Kiểm tra môi trường ảo (anti-VM) và vô hiệu hóa các tiến trình diệt virus.
4. Lạm dụng Task Scheduler
Chấm dứt và khởi động lại Task Scheduler để thực thi DLL độc hại một cách bền bỉ.
5. Giải mã Payload
DLL đọc và giải mã payload cuối cùng từ các tệp .dat ẩn.
6. HoldingHands RAT hoạt động
Kết nối đến máy chủ C2 để nhận lệnh và đánh cắp dữ liệu.

Chiến Dịch Liên Quan: Operation Silk Lure

Song song với các chiến dịch trên, Operation Silk Lure là một chiến dịch lừa đảo qua email khác nhắm vào các công ty fintech, tiền điện tử của Trung Quốc. Kẻ tấn công mạo danh ứng viên xin việc, gửi email chứa CV giả mạo đến bộ phận nhân sự. Các CV này chứa tệp .LNK độc hại, khi được mở sẽ khởi chạy mã PowerShell để tải về Winos 4.0, thực hiện các hoạt động gián điệp như chụp màn hình, thu thập dữ liệu clipboard và trích xuất thông tin hệ thống.

Kết Luận và Khuyến Nghị cho Đội Ngũ DevSecOps

Các chiến dịch của Silver Fox cho thấy sự tiến hóa không ngừng về kỹ thuật và khả năng mở rộng quy mô của các nhóm tội phạm mạng. Chúng kết hợp nhiều phương pháp từ social engineering đến các kỹ thuật lẩn tránh tinh vi để xâm nhập và duy trì sự hiện diện trong hệ thống nạn nhân.

Các biện pháp phòng chống quan trọng:

  • Đào tạo nhận thức người dùng: Hướng dẫn nhân viên nhận biết các email lừa đảo, liên kết và tệp đính kèm đáng ngờ.
  • Sử dụng giải pháp EDR: Endpoint Detection and Response (EDR) có khả năng phát hiện các hành vi bất thường như DLL side-loading hay việc thực thi mã PowerShell đáng ngờ.
  • Giám sát và Hạn chế PowerShell: Cấu hình chính sách để hạn chế việc thực thi script PowerShell và giám sát các lệnh được chạy.
  • Cập nhật và vá lỗ hổng: Đảm bảo hệ điều hành và các phần mềm, đặc biệt là các sản phẩm bảo mật, luôn được cập nhật phiên bản mới nhất.
  • Phân tích Sandbox: Mở các tệp đính kèm và liên kết đáng ngờ trong môi trường sandbox để phân tích hành vi của chúng một cách an toàn.