Vào tháng 12 năm 2023, cộng đồng an ninh mạng đã được cảnh báo về một hình thức mới của mối đe dọa mạng - phần mềm độc hại Ducktail. Sự cố này được phát hiện bởi Đội Phản ứng Mối đe dọa của eSentire (TRU), nhắm vào một chuyên gia tiếp thị kỹ thuật số, tiết lộ cơ chế phức tạp của phần mềm độc hại này và làm nổi bật những yếu điểm trong các mạng chuyên nghiệp.
Ducktail bắt đầu xâm nhập thông qua một kênh có vẻ vô hại - LinkedIn. Các tấn công gửi một tin nhắn riêng tư đến mục tiêu chứa một tập tin nén ZIP. Phương pháp tiếp cận này làm nổi bật một biên mới trong các cuộc tấn công mạng, khai thác các mạng và nền tảng chuyên nghiệp để phân phối phần mềm độc hại. Việc sử dụng LinkedIn, một nền tảng nổi tiếng về uy tín chuyên nghiệp, đánh dấu một xu hướng lo ngại về cách mà những người tấn công đang phát triển chiến lược để xâm phạm các hệ thống phòng thủ.
Bộ lưu trữ chứa các phím tắt được nén, có kích thước hơn 800MB, với các tập lệnh batch thực thi các lệnh PowerShell. Những phím tắt này là bước ban đầu trong chuỗi tấn công phức tạp. Sau khi giải mã, những tập lệnh này dẫn đến việc tải xuống thêm tập lệnh PowerShell từ các URL đáng ngờ. Những tập lệnh này có hai chức năng chính: phá vỡ cài đặt User Account Control (UAC) và thực thi đặc quyền quản trị dựa trên trạng thái UAC của hệ thống.
Phần mềm độc hại Ducktail tiếp cận mục tiêu một cách tỉ mỉ để tránh bị phát hiện. Nó kiểm tra cài đặt UAC của hệ thống từ registry và sử dụng các kỹ thuật để vượt qua UAC. Nếu UAC đã bị tắt, nó tải xuống và thực thi một tệp với đặc quyền quản trị. Nếu UAC được bật, nó sử dụng fodhelper.exe, một phương pháp đã biết để vượt qua UAC trên Windows, để ghi đè lên các tệp hệ thống hợp lệ bằng những tệp độc hại.
Kết thúc của cuộc tấn công này liên quan đến việc tải xuống và thực thi hai tải trọng cốt lõi - 'mainbot.exe' và 'myRdpService.exe'. Những tải trọng .NET này, được biên dịch bằng phương pháp native Ahead-Of-Time (AOT), làm cho quá trình phân tích trở nên phức tạp hơn. Những tải trọng này chịu trách nhiệm thiết lập kết nối với máy chủ điều khiển và kiểm soát, thực thi lệnh từ xa và có thể gửi dữ liệu ra khỏi hệ thống. Chức năng này nổi bật nguy cơ mất mát thông tin nhạy cảm và cần thiết lập chiến lược theo dõi mạng và ngăn chặn mất mát dữ liệu mạnh mẽ.
Sự cố về phần mềm độc hại Ducktail đào tạo cho chúng ta một số bài học quan trọng:
Các mạng chuyên nghiệp lớn không miễn dịch trước các mối đe dọa mạng. Sự sáng tạo của những người tấn công trong việc khai thác những nền tảng này yêu cầu sự cảnh báo cao khi tương tác với các tin nhắn và tệp đính kèm không được yêu cầu.
Việc tạo các công việc và dịch vụ theo lịch trình cùng với các kỹ thuật vượt qua UAC chỉ ra một sự tập trung vào việc tránh phát hiện và duy trì sự kiên nhẫn trên các hệ thống đã bị nhiễm.
Khả năng truy vấn Windows Management Instrumentation để kiểm tra các sản phẩm antivirus hoạt động và thêm các đường dẫn loại trừ vào Windows Defender cho thấy ý định né tránh các phòng thủ bảo mật tiêu chuẩn.