Chiến dịch VEIL#DROP: Kẻ tấn công lợi dụng nền tảng Blogger để phát tán PureLogs Stealer
Các nhà nghiên cứu an ninh mạng vừa phát hiện chiến dịch VEIL#DROP, một chuỗi tấn công đa giai đoạn sử dụng nền tảng Blogger để phát tán mã độc đánh cắp thông tin PureLogs...
Các chuyên gia an ninh mạng tại Securonix vừa cảnh báo về một chiến dịch tấn công đa giai đoạn mới có tên mã VEIL#DROP. Chiến dịch này sử dụng kỹ thuật kỹ nghệ xã hội và tận dụng nền tảng Blogger để phát tán mã độc đánh cắp thông tin (infostealer) có tên là PureLogs.
Table Of Content
Phương thức tấn công tinh vi
Theo báo cáo, kẻ tấn công thường sử dụng hình thức spear-phishing hoặc tấn công drive-by download để dẫn dụ nạn nhân. Chuỗi lây nhiễm bắt đầu bằng một tệp JavaScript được ngụy trang dưới dạng tài liệu (ví dụ: transcript.pdf.js). Khi được thực thi, tệp này sẽ kích hoạt Windows Script Host và chạy PowerShell với chính sách thực thi (execution policy) đã bị vô hiệu hóa.
Điểm đáng chú ý là kịch bản PowerShell này sẽ tải payload tiếp theo từ Blogger (htlwub00klocate.blogspot[.]com). Việc lạm dụng hạ tầng tin cậy của Google giúp kẻ tấn công vượt qua các cơ chế phòng thủ dựa trên danh tiếng (reputation-based defenses) và che giấu hoạt động độc hại dưới vỏ bọc lưu lượng truy cập web hợp lệ.
Kỹ thuật né tránh và thực thi không để lại dấu vết
Để đánh lừa người dùng, mã độc sẽ mở một trang web vô hại như Google, tạo cảm giác như tài liệu PDF đang được mở, trong khi quá trình lây nhiễm PureLogs diễn ra âm thầm ở chế độ nền. Mã độc này thực hiện hàng loạt thao tác để xóa dấu vết, bao gồm việc chấm dứt các tiến trình như wscript.exe và xóa tệp tin gốc.
Securonix nhấn mạnh rằng VEIL#DROP sử dụng các kỹ thuật né tránh cực kỳ tinh vi:
- Tạo stage động và biến đổi runtime: Thay vì sử dụng các URL tĩnh, mã độc tự xây dựng URL blogspot bằng cách chèn ngẫu nhiên các dấu gạch chéo (“/”) để vượt qua các bộ lọc URL.
- Đa hình (Polymorphism): Các đoạn mã được thay đổi liên tục trong quá trình thực thi để vô hiệu hóa các cơ chế nhận diện dựa trên chữ ký (script signatures) và băm tệp (file hashes).
- Thực thi trong bộ nhớ (Fileless execution): Mã độc được chạy hoàn toàn trong bộ nhớ mà không để lại bất kỳ tệp tin nào trên ổ cứng.
- Lạm dụng LOLBins: Nếu không thể chạy trực tiếp, mã độc sẽ sử dụng các tệp nhị phân hợp lệ của Microsoft (như
regsvcs.exe,installutil.exe,msbuild.exe) để thực thi mã, một kỹ thuật được gọi là Living-off-the-Land (LotL).
Mối đe dọa từ PureLogs Stealer
PureLogs Stealer là một mã độc dựa trên .NET, được thiết kế để thu thập dữ liệu nhạy cảm từ các máy chủ bị xâm nhập. Việc nhiễm mã độc này không chỉ dừng lại ở endpoint ban đầu mà còn tạo tiền đề cho kẻ tấn công thực hiện các hành vi nguy hiểm hơn như duy trì sự hiện diện (persistence), di chuyển ngang (lateral movement) trong mạng nội bộ, hoặc thậm chí tấn công vào hạ tầng cloud của doanh nghiệp.
Các chuyên gia khuyến cáo người dùng và quản trị viên cần cảnh giác với các tệp tin lạ, đặc biệt là các tệp JavaScript có đuôi mở rộng kép, đồng thời tăng cường giám sát các tiến trình PowerShell bất thường trong hệ thống.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.