Theo ghi nhận từ phần mềm Trend Micro, các tác nhân độc hại đã sử dụng kết hợp các khai thác hiện tại và các chức năng hợp pháp của Windows để tạo ra một hệ thống backdoor đáng tin cậy và tinh vi.
Các nhà nghiên cứu đã quan sát thấy ít nhất 5 lần email xảy ra từ ngày 23 tháng 6 đến ngày 27 tháng 7 năm nay. Mỗi lần chạy gửi nhiều email cho mỗi mục tiêu, sử dụng các email khác nhau cho mỗi lần chạy và cho từng mục tiêu.
Quá trình nhiễm độc bắt đầu bằng email xuất hiện từ phòng bán hàng hoặc các bộ phận thanh toán với các chủ đề như “Các quy tắc để kết nối với gateway” hoặc “Thanh toán các nghĩa vụ của tiểu bang”. Các email này có chứa tài liệu đính kèm .doc hợp pháp. Tệp tin định dạng văn bản đa phương tiện (RTF) có khai thác được biết đến có khai thác CVE-2017-0199, một phần của giao diện liên kết và đối chiếu đối tượng Windows OLE của Microsoft Office nên rất được tin tưởng.
Sự khai thác này cho phép nhân viên tải xuống bảng tính Excel giả mạo có bản chất thực sự là một ứng dụng HTML được nhúng với JavaScript độc hại. Sau đó, hai tập lệnh PowerShell và một tệp DLL được kích hoạt chạy. Tệp này sau đó thả một tệp khác trong thư mục% AppData% có đuôi .txt, nhưng thực sự là một tệp JavaScript.
Tệp mới đã sử dụng Regsvr32 để bỏ qua các hạn chế về việc chạy các tập lệnh. Cuối cùng, một tệp XML khác đã được tải xuống để làm backdoor chính.
Giữ an toàn từ email độc hại
Mặc dù các chức năng cuối của chiến dịch backdoor này rất khó phát hiện, hầu hết các cuộc tấn công lừa đảo đều bắt đầu theo cùng một cách: email độc hại.
Đối với nhiều doanh nghiệp, bảo mật email vốn không cần thiết. Tuy nhiên, theo CNN, đã có rất nhiều email đánh lừa nhiều nhân viên của chính phủ Hoa Kỳ. Mặc dù không có bí mật nhà nước bị lộ, nhưng rõ ràng có thể thấy các email độc hại dễ dàng đánh lừa được các nhân viên cấp cao nhất.
Vậy làm thế nào các công ty có thể cảnh báo nhân viên không bao giờ mở tệp đính kèm chưa được chắc chắn?
Các công ty nên liệt kê các trình thông dịch lệnh đặc biệt hoặc các ứng dụng ít khi được sử dụng cho nhân viên. Đó cũng là một ý tưởng tốt để đảm bảo rằng nhân viên chỉ có các đặc quyền mạng mà họ cần cho công việc hàng ngày.
Công ty cũng nên theo dõi nhân viên bằng cách thực thi quản lý vá lỗi nghiêm ngặt cho Microsoft Office và tắt tự động chạy macro.doc. Trend Micro lưu ý rằng, điều này “có thể ảnh hưởng đến các chức năng hệ thống hợp pháp” nhưng hiệu suất bị tấn công sẽ giảm nhẹ trước tình trạng backdoor liên tục.
Các email độc hại đang làm xôn xao các doanh nghiệp Nga. Việc đào tạo nhân viên thận trọng, và thực hiện các bước để hạn chế quyền truy cập ứng dụng và mạng là điều cần thiết nhất.
Như Quỳnh (theo Trend Micro)