Một chiến dịch tấn công mới vừa được Unit 42 của Palo Alto Networks phát hiện đã sử dụng chuỗi lây nhiễm đa tầng để phát tán các dòng mã độc nguy hiểm như Agent Tesla, Remcos RAT và XLoader. Điểm đặc biệt của chiến dịch này không nằm ở kỹ thuật mã hóa tinh vi, mà ở cách kẻ tấn công sắp xếp các bước thực thi đơn giản theo trình tự có chủ đích, khiến quá trình phát hiện và phân tích trở nên phức tạp hơn.
Tấn công bắt đầu bằng một email giả mạo đóng vai trò là vector lây nhiễm ban đầu, giả danh là yêu cầu xử lý đơn hàng. Email này đính kèm một tệp nén 7-zip chứa file JavaScript mã hóa (.JSE), được thiết kế để tạo cảm giác gấp gáp, thúc giục người nhận mở tệp đính kèm. Khi người dùng kích hoạt tệp .JSE, đoạn mã JavaScript sẽ tải xuống một PowerShell script từ máy chủ điều khiển của kẻ tấn công. Mã PowerShell chứa một payload được mã hóa Base64, sau khi được giải mã sẽ ghi xuống thư mục tạm của hệ thống và thực thi ngay sau đó.
Đáng chú ý là sau bước này, kẻ tấn công có thể lựa chọn một trong hai công cụ thực thi: một dropper biên dịch bằng .NET hoặc một tệp thực thi viết bằng AutoIt. Với phiên bản .NET, payload mã hóa – có thể là biến thể của Agent Tesla, Snake Keylogger hoặc XLoader – sẽ được giải mã và tiêm trực tiếp vào tiến trình hợp pháp RegAsm.exe. Đây là kỹ thuật từng xuất hiện trong nhiều chiến dịch phát tán mã độc trước đó. Trong khi đó, AutoIt mang đến một lớp che chắn bổ sung, với script ẩn chứa payload đã mã hóa, chịu trách nhiệm nạp mã shellcode và thực hiện tiêm tiếp vào tiến trình RegSvcs.exe để triển khai mã độc.
Việc sử dụng nhiều con đường thực thi cho thấy kẻ tấn công không tìm cách che giấu mã độc bằng kỹ thuật phức tạp, mà thay vào đó là xây dựng một chuỗi hành động nhiều tầng, đơn giản nhưng đủ nhiễu để vượt qua cơ chế phân tích hành vi tự động. Theo nhận định của Unit 42, chính cách “xếp lớp đơn giản” này tạo nên một chuỗi lây nhiễm bền bỉ và khó bị phát hiện trong môi trường thực tế.
Song song với chiến dịch trên, các nhà nghiên cứu từ Kaspersky cũng phát hiện một đợt tấn công nhắm vào các cơ quan chính phủ tại Mông Cổ và Nga. Chiến dịch này được cho là có liên quan đến nhóm tấn công nói tiếng Trung mang tên IronHusky – từng bị ghi nhận hoạt động từ năm 2017 và có liên quan đến việc khai thác lỗ hổng 0-day trong Windows để phát tán mã độc MysterySnail RAT.
