Phát hiện chiến dịch tấn công mạng mới, sử dụng lỗ hổng bảo mật trên WinRar

MuddyWater - còn được gọi là SeedWorm, lần đầu tiên được quan sát vào năm 2017,  nhóm tin tặc được cho là đang phát động các cuộc tấn công mạng, nhắm mục tiêu vào các tổ chức trong ngành công nghiệp vệ tinh và truyền thông, sử dụng lỗ hổng bảo mật đã được tiết lộ trong WinRar

Phát hiện chiến dịch tấn công mạng mới, sử dụng lỗ hổng bảo mật trên WinRar - CyberSec365.org

Theo đó, chiến dịch tấn công này lợi dụng lỗ hổng 19 tuổi có mã hiệu CVE-2018-20250 trên WinRar nhằm khởi chạy một chuỗi lây nhiễm phức tạp và khởi chạy một cửa hậu trên máy tính mục tiêu. 

Với hơn "100 lần khai thác" được phát hiện chỉ trong 1 tuần đầu lỗ hổng được tiết lộ, lỗ hổng bảo mật này là một cơ hội tốt cho các nhóm tin tặc khi việc update WinRar không được người dùng quá chú trọng.

Mới đây, Office 365 Advanced Threat Protection (ATP) đã phát hiện ra tệp độc hại mang mã độc khai thác cho lỗ hổng WinRAR ACE. Nhận thấy một cuộc tấn công với mức độ tinh vi cao hơn, Nhóm nghiên cứu ATP của Office 365 bắt đầu phân tích vụ việc.

Tiến hành phân tích

Theo Rex Plantado thuộc Nhóm nghiên cứu ATP Office 365 của Microsoft nói rằng nỗ lực thỏa hiệp bắt đầu với một email lừa đảo giả vờ là từ Bộ Ngoại giao ở Afghanistan.

Phát hiện chiến dịch tấn công mạng mới, sử dụng lỗ hổng bảo mật trên WinRar - CyberSec365.org

Email này có một tập tin Word được đính kèm và yêu cầu người nhận cung cấp thông tin hình ảnh vệ tinh nhưng không chứa mã độc ẩn, rất có thể để tránh sự phát hiện của các sản phẩm bảo mật email.

Tuy nhiên, tài liệu không chứa bất kỳ thông tin nào liên quan đến yêu cầu; thay vào đó, nó đã hướng dẫn nạn nhân tiềm năng tải xuống một tài liệu mới từ OneDrive.

Phát hiện chiến dịch tấn công mạng mới, sử dụng lỗ hổng bảo mật trên WinRar - CyberSec365.org

Tài liệu Word thứ hai là tải trọng cho giai đoạn đầu của cuộc tấn công. Nó chứa một macro rất khó hiểu. Theo mặc định, các sản phẩm trong bộ Microsoft Office có hỗ trợ vô hiệu hóa các macro.

"Việc kích hoạt macro bắt đầu một loạt các hành động độc hại dẫn đến việc tải xuống phần mềm độc hại", yêu cầu khởi động lại máy tính để chạy, Plantado nói.

Thuận tiện, nút "Tiếp theo" được nhúng trong tài liệu độc hại đưa nạn nhân đến một tin nhắn giả mạo để nhắc khởi động lại vì một DLL cụ thể không có trên hệ thống.

Phát hiện chiến dịch tấn công mạng mới, sử dụng lỗ hổng bảo mật trên WinRar - CyberSec365.org

Khi được khởi chạy dưới chế độ nền, macro độc hại chạy một loạt các hành động được thiết kế để có được tập lệnh PowerShell giai đoạn hai với mã hóa nhiều lớp. Theo nhà nghiên cứu, kịch bản tương tự như mã được sử dụng trong các chiến dịch MuddyWater trước đây.

"Tập lệnh PowerShell giai đoạn hai thu thập thông tin hệ thống, tạo ID máy tính duy nhất và gửi chúng đến một địa điểm từ xa," Plantado giải thích.

Mục đích của nó là tạo một cửa hậu, nhưng nó cũng có thể tải xuống các tệp tùy ý, chạy các lệnh thông qua Command Prompt và giải mã một lệnh được mã hóa base64 và chạy nó bằng PowerShell.

Chính ở giai đoạn này, lỗ hổng trong WinRAR đã được sử dụng. Vì tập lệnh có thể tải xuống và thực thi các tệp, kẻ tấn công hiện có thể cung cấp kho lưu trữ độc hại và khai thác CVE-2018-20250 để kiểm soát máy trạm. Điều này xảy ra khi nạn nhân mở kho lưu trữ thủ công.

Nguồn: Bleeping Computer