Cảnh báo: Mã độc NordDragonScan tấn công Windows bằng phương pháp LOTL

Tran Hoang PhongTran Hoang Phong
7 min read

Các nhà nghiên cứu bảo mật gần đây đã phát hiện ra một phần mềm đánh cắp thông tin mới có tên "NordDragonScan", thực hiện tấn công lén lút trên các máy tính Windows bằng các kỹ thuật "living-off-the-land" (LOTL).

  • Các nền tảng bị ảnh hưởng: Microsoft Windows

  • Người dùng bị ảnh hưởng: Microsoft Window

  • Tác động: Thông tin bị đánh cắp có thể được sử dụng cho các cuộc tấn công trong tương lai

  • Mức độ nghiêm trọng: Cao

Cách thức tiếp cận ban đầu

Kẻ tấn công lợi dụng dịch vụ liên kết rút gọn với đường dẫn “hxxps://cutt[.]ly/4rnmskDe” chuyển hướng đến “hxxps://secfileshare[.]com,” từ đó kích hoạt việc tải xuống một tệp RAR có tên “Укрспецзв_Акт_30_05_25_ДР25_2313_13 від 26_02_2025.rar” (Ukrspetszv_Act_30_05_25_DR25_2313_13 ngày 26_02_2025). Tệp này chứa một shortcut LNK độc hại, âm thầm gọi mshta.exe để thực thi payload HTA 1.hta từ cùng một máy chủ.

LNK file shortcut details

Hình 1. Tệp LNK

Tiếp đó, tệp HTA độc hại sao chép tệp PowerShell.exe hợp lệ vào đường dẫn “C:\Users\Public\Documents\install.exe” để che giấu chính nó. Sau đó, nó tải xuống một tệp TXT đã được mã hóa, giải mã và lưu kết quả dưới dạng Act300525.doc Tài liệu giả này, có tiêu đề “Акт здачі-приймання наданих Послуг до договору про надання послуг” (Biên bản tiếp nhận Dịch vụ theo Hợp đồng Dịch vụ), tệp này vô hại và nhằm đánh lạc hướng người dùng. Cuối cùng, script HTA âm thầm tải xuống và thực thi payload độc hại, được nhúng dưới dạng tệp thực thi có tên adblocker.exe, vào thư mục của nạn nhân “\AppData\Local\Temp\adblocker.exe

HTA file content

Hình 2. Tệp HTA "1.hta"

Decoy document from "1.hta"

Hình 3. Tài liệu giả từ "1.hta"

Máy chủ của kẻ tấn công duy trì nhiều tệp giả mạo được thiết kế để thu hút sự tương tác của người dùng. Những tệp giả này sử dụng cơ chế script HTA tương tự, giúp tải xuống và thực thi cùng một payload, adblocker.exe trên các hệ thống bị xâm nhập. Việc sử dụng lại cùng một tệp thực thi trên nhiều tài liệu giả khác nhau cho thấy đây là một chiến thuật của kẻ tấn công nhằm tối đa hóa cơ hội lây nhiễm, đồng thời sử dụng các chủ đề tài liệu và tên tệp đa dạng để tránh bị phát hiện và giám sát an ninh.

Phân tích payload độc hại

Payload độc hại được tải xuống từ phase trước là một tệp thực thi .NET chứa đường dẫn PDB nhúng: “C:\Users\NordDragon\Documents\visual studio

NordDragonScan sử dụng kỹ thuật string obfuscation, thực hiện phép toán XOR và hoán đổi byte để giấu code khỏi việc phân tích tĩnh. Sau đó, nó bắt đầu kiểm tra xem thư mục làm việc dành riêng “NordDragonScan” có tồn tại trong thư mục “%LOCALAPPDATA%” không. Nếu thư mục này không có, nó sẽ tạo ra một thư mục mới để tạm thời lưu trữ dữ liệu bị đánh cắp trước khi tải lên máy chủ C2.

Checking the directory

Hình 4. Kiểm tra thư mục

Tiếp theo, mã độc kết nối tới máy chủ C2, “kpuszkiev.com” chứa các HTTP header được đặc biệt, cụ thể là “User-Agent: RTYUghjNM,” cùng với địa chỉ MAC của máy nạn nhân. Trong quá trình kết nối ban đầu, mục tiêu chính là lấy một URL động từ C2, sau đó sử dụng URL này làm điểm cuối để trích xuất dữ liệu đánh cắp.

Getting the upload URL

Hình 5. Lấy URL để trích xuất dữ liệu đánh cắp

Sau đó, nó thiết lập persistence bằng cách thêm một registry “NordStar” vào “Software\Microsoft\Windows\CurrentVersion\Run

the NordStar Registry

Hình 6. Thêm registry để tự động khởi chạy sau mỗi khi bật máy

Bước thu thập thông tin

Sau khi kết nối, NordDragonScan chuyển sang giai đoạn thu thập thông tin trên máy cục bộ. Nó lấy thông tin cơ bản của nạn nhân, bao gồm tên máy tính, tên người dùng, phiên bản hệ điều hành, kiến trúc, số lượng bộ xử lý, thông tin driver và RAM bằng cách sử dụng kết hợp các lệnh WMI và .NET. Kẻ tấn công sau đó liệt kê tất cả các network adapter đang hoạt động, trích xuất địa chỉ IPv4 chính và subnet mask, và tính toán phạm vi CIDR. Tiếp đó, mã độc bắt đầu rà quét chậm mỗi địa chỉ trong cùng một subnet, tạo ra một danh mục các máy chủ có thể truy cập trên cùng một mạng LAN.

Getting networking information

Hình 7. Thu thập thông tin mạng

Scanning the network

Hình 8. Rà quét mạng

Nó cũng chụp ảnh màn hình và lưu lại dưới dạng “SPicture.png” và thu thập dữ liệu từ các trình duyệt Chrome và Firefox trên máy nạn nhân.

Copying Chrome data into “Chrm”

Hình 9. Sao chép dữ liệu Chrome vào thư mục “Chrm”

Copying Firefox data

Hình 10. Sao chép dữ liệu Firefox

NordDragonScan tiếp tục quét hệ thống tệp cục bộ, bao gồm các thư mục Desktop, Documents và Downloads, và sao chép các tệp trong các thư mục này có các phần mở rộng sau: “.docx,” “.doc,” “.xls,” “.ovpn,” “.rdp,” “.txt,” và “.pdf.” Sau khi tìm thấy một tệp khớp, nó sao chép nó vào thư mục làm việc và nhóm lại theo nguồn gốc file. Khi giai đoạn quét hoàn tất, nó thực hiện request POST đến máy chủ C2. Request này sử dụng header tùy chỉnh “User-Agent: Upload,” hoặc “Backups:,” và tên dữ liệu mà nó chuẩn bị gửi, chẳng hạn như “sysinfo.txt” cho thông tin hệ thống.

Stolen data in the working directory

Hình 11. Dữ liệu bị đánh cắp trong thư mục làm việc

Uploading system information

Hình 12. Request POST mã độc gửi tới C2 Server

Danh sách IOCs liên quan đến mã độc NordDragonScan

Domain

secfileshare[.]com
kpuszkiev[.]com

Hash

ValueTypeDescription
2102c2178000f8c63d01fd9199400885d1449501337c4f9f51b7e444aa6fbf50SHA256File RAR hash
e07b33b5560bbef2e4ae055a062fdf5b6a7e5b097283a77a0ec87edb7a354725SHA256File RAR hash
3f3e367d673cac778f3f562d0792e4829a919766460ae948ab2594d922a0edaeSHA256File RAR hash
f8403e30dd495561dc0674a3b1aedaea5d6839808428069d98e30e19bd6dc045SHA256File HTA hash
fbffe681c61f9bba4c7abcb6e8fe09ef4d28166a10bfeb73281f874d84f69b3dSHA256File HTA hash
39c68962a6b0963b56085a0f1a2af25c7974a167b650cf99eb1acd433ecb772bSHA256File HTA hash
9d1f587b1bd2cce1a14a1423a77eb746d126e1982a0a794f6b870a2d7178bd2cSHA256File HTA hash
7b2b757e09fa36f817568787f9eae8ca732dd372853bf13ea50649dbb62f0c5bSHA256File HTA hash
f4f6beea11f21a053d27d719dab711a482ba0e2e42d160cefdbdad7a958b93d0SHA256File executable hash

Khuyến nghị

Phía FPT Threat Intelligence khuyến nghị tổ chức và cá nhân một số biện pháp nhằm phòng chống phần mềm đánh cắp thông tin (infostealer) như NordDragonScan và các biến thể tương tự:

  • Tăng cường kiểm soát email và tệp tải về: Thiết lập chính sách lọc email chặt chẽ nhằm ngăn chặn việc tải về các tệp nén (.rar, .zip) đáng ngờ, hoặc script HTA (.hta) nguy hiểm.

  • Giám sát hành vi thực thi trong hệ thống: Theo dõi liên tục các tiến trình hệ thống có khả năng bị lạm dụng như mshta.exe, PowerShell.exe, rundll32.exe và các hành vi nghi ngờ như giải mã tệp từ xa, tạo tập tin thực thi trong thư mục tạm, thiết lập registry để duy trì sự hiện diện hoặc giao tiếp với máy chủ Command & Control (C2).

  • Bảo vệ dữ liệu trình duyệt và thông tin nhạy cảm: Không nên lưu thông tin đăng nhập tự động trên trình duyệt Chrome hoặc Firefox.

  • Cấu hình chính sách truy cập file và hệ thống hợp lý: Áp dụng quyền hạn chế ghi và thực thi trong các thư mục thường bị phần mềm độc hại lợi dụng như %LOCALAPPDATA%, %TEMP%. Tăng cường giám sát với các định dạng tập tin nhạy cảm như .docx, .pdf, .xls, .ovpn, .rdp nhằm ngăn việc rò rỉ dữ liệu.

  • Đào tạo nhận thức an ninh cho người dùng cuối: Trang bị kiến thức cho người dùng về nhận diện tệp shortcut giả mạo, kỹ thuật giả mạo tài liệu, và thói quen kiểm tra kỹ nguồn gốc tệp trước khi mở. Nhấn mạnh tầm quan trọng của việc không cài đặt phần mềm từ liên kết rút gọn hoặc các trang chia sẻ không đáng tin cậy.

  • Thiết lập hệ thống giám sát và phát hiện xâm nhập: Theo dõi lưu lượng mạng đầu ra để phát hiện hoạt động gửi dữ liệu bất thường tới máy chủ C2, các header HTTP không phổ biến, hoặc các hành vi liên quan đến beaconing/heartbeat tới domain lạ.

Tham khảo

0
Subscribe to my newsletter

Read articles from Tran Hoang Phong directly inside your inbox. Subscribe to the newsletter, and don't miss out.

NordDragonScaninfostealerMalwarethreat intelligence

Written by

Tran Hoang Phong
Tran Hoang Phong

Just a SOC Analyst ^^