Phân tích plugin DeepData trong phần mềm gián điệp LightSpy
GIỚI THIỆU
LightSpy là một phần mềm gián điệp mạng được phát hiện vào đầu năm 2020. Đây là bộ công cụ tinh vi dưới dạng mô-đun, có khả năng giám sát để đánh cắp thông tin nhạy cảm từ nạn nhân, tập trung vào khu vực Châu Á - Thái Bình Dương.
Cấu trúc mô-đun của nó sử dụng nhiều plugin để theo dõi nạn nhân. Mỗi plugin chịu trách nhiệm cho một khía cạnh chức năng khác nhau, chẳng hạn như quyền truy cập vào micrô, trình duyệt hoặc vị trí địa lý. Các plugin cũng được thiết kế để trích xuất thông tin về thiết bị và các tệp được lưu trữ trên đó, bao gồm dữ liệu từ các ứng dụng nhắn tin riêng tư như Telegram và WeChat.
Nhiều báo cáo trong năm 2024 đã chỉ ra rằng những kẻ điều hành LightSpy đã mở rộng bộ công cụ của chúng để nhắm mục tiêu vào Android và macOS, đồng thời mở rộng khả năng của phần mềm độc hại, bao gồm cả việc thêm các mô-đun phá hủy dữ liệu.
APT41 (còn được gọi là Double Dragon) là một nhóm gián điệp mạng nổi tiếng và cực kỳ tinh vi, bị cáo buộc có mối liên hệ với Bộ An ninh quốc gia Trung Quốc (MSS). Lần đầu tiên được phát hiện vào năm 2012 khi thực hiện các cuộc tấn công với mục tiêu là các nhà phát triển trong lĩnh vực công nghiệp trò chơi điện tử, nhóm tin tặc này đã nhanh chóng mở rộng phạm vi hoạt động để nhắm vào các công ty công nghệ cao, bao gồm cả phương tiện truyền thông. Trong những năm gần đây, các hoạt động của APT41 đã mở rộng từ việc thu thập thông tin tình báo sang các lĩnh vực trọng yếu khác như chăm sóc sức khỏe, giáo dục, viễn thông và công nghệ.
APT41 được cho là đã phát triển DeepData để sử dụng trong các cuộc tấn công có chủ đích vào các thực thể ở Đông Nam Á, có khả năng tập trung vào các nhà báo, chính trị gia và nhà hoạt động chính trị.
PHÂN TÍCH KỸ THUẬT
DeepData bao gồm một mô-đun core và nhiều plugin nhắm mục tiêu vào nhiều ứng dụng khác nhau để đánh cắp thông tin. Khả năng ghi âm cũng được đóng gói trong một mô-đun sử dụng micrô của hệ thống và thư viện nguồn mở FFmpeg. Các bản ghi lưu ở định dạng .acc và được gửi đến máy chủ của kẻ tấn công.
Với việc bổ sung framework DeepData cho Windows, với 12 plugin chuyên biệt để đánh cắp thông tin, kẻ tấn công có khả năng do thám đa nền tảng toàn diện, được hỗ trợ bởi cơ sở hạ tầng máy chủ điều khiển và ra lệnh (C2) tinh vi.
Theo BlackBerry, khả năng giám sát của APT41 nhắm vào các nền tảng truyền thông như WhatsApp, Telegram, Signal, WeChat, Outlook, DingDing và Feishu, cũng như trình duyệt, trình quản lý mật khẩu và một lượng lớn dữ liệu hệ thống và mạng. Ngoài ra, các tin tặc cũng có thể ghi âm để theo dõi nạn nhân.
Trong quá trình điều tra về LightSpy và phần mềm gián điệp giám sát Android tiên tiến WyrmSpy (cũng được cho là phát triển bởi APT41), các nhà nghiên cứu của BlackBerry đã phát hiện ra thư mục “deepdata[.]zip” được lưu trữ trên hạ tầng C2 của APT41. Thư mục này bao gồm bốn tệp con, được hiển thị bên dưới trong Hình 1.
Hình 1. Các tệp của thư mục Deepdata[.]zip
Trong đó, Localupload[.]exe là một chương trình cho phép người dùng tải một thư mục tệp tin lên máy chủ từ xa. Data[.]dll giải mã mod[.]dat và tải công cụ gián điệp DeepData. Công cụ này có kiến trúc tương tự như phần mềm độc hại LightSpy, bao gồm một mô-đun core, tiến trình frame[.]exe và nhiều plugin khác.
Tệp Data[.]dll đã được quan sát thấy thực hiện tìm kiếm các tệp DLL sau (Trong số này, 11 tệp được liệt kê là plugin theo API C2):
- appdata[.]dll, Audio[.]dll, ChatIndexDB[.]dll, OutlookX32[.]dll, Pass[.]dll, ProductList[.]dll, SocialSoft[.]dll, SystemInfo[.]dll, Tdm[.]dll, WebBrowser[.]dll, wifiList[.]dll.
- ffmpeg[.]dll, frame[.]dll, iumdll[.]dll, Telegram[.]dll, ucrtbase[.]enclave[.]dll
Một tệp readme[.]txt đi kèm với DeepData minh họa cách sử dụng stealer với thực thi thủ công, thông qua tệp rundll32[.]exe. Địa chỉ C2 cũng được chỉ định là đối số dòng lệnh, cũng như các plugin được yêu cầu chạy hoặc dữ liệu cần trích xuất. Ý nghĩa của phương pháp thực thi này là nó phải được thực hiện thủ công, không có tập lệnh hoặc một số phân phối gói khác.
DeepData core
Nhiều chuỗi plugin cơ sở dữ liệu PDB ngụ ý rằng đây là phiên bản 2 của DeepData.
Hình 2. Chuỗi plugin PDB
Trong khi đó, các chuỗi trong frame[.]exe được giải mã từ mod[.]dat có thể nhận định số phiên bản hiện tại là 3.2.1228.
Hình 3. Chuỗi DeepData version hiển thị số phiên bản hiện tại
DeepData hỗ trợ nhiều phiên bản Windows. Để cung cấp phiên bản plugin được biên dịch chính xác, các phiên bản Windows sau đây được kiểm tra:
Hình 4. Các phiên bản Windows được DeepData hỗ trợ
Các plugin
Hình 5. Tổng quan về plugin DeepData
Tất cả các tệp plugin đều có chức năng trích xuất tương tự, bao gồm phiên bản, tên, ID và thực thi lệnh của chúng.
Hình 6. Trích xuất plugin DeepData
Tiện ích bổ sung appdata
Plugin appdata chứa nhiều tệp nhị phân được sử dụng để thu thập dữ liệu từ các ứng dụng nhắn tin. Plugin này cố gắng truy cập các ứng dụng như:
- WxWorks: Hệ điều hành thời gian thực (RTOS) được các nhà phát triển sử dụng trong các hệ thống nhúng.
- FeiShu: Nền tảng cộng tác doanh nghiệp được phát triển bởi ByteDance, một công ty công nghệ Internet của Trung Quốc.
- Signal: Dịch vụ nhắn tin mã nguồn mở.
- WhatsApp: Dịch vụ nhắn tin và thoại qua IP (VoIP) thuộc sở hữu của tập đoàn công nghệ Meta (Mỹ).
Ứng dụng này về mặt kỹ thuật sao chép chức năng của plugin ChatIndexedDb[.]dll theo nhiều cách. Điểm khác biệt là nó cố gắng truy cập nhiều ứng dụng hơn. Có thể các tin tặc sau khi mở rộng chức năng của plugin appdata[.]dll, đã quyết định sử dụng nó để cố gắng truy cập nhiều ứng dụng hơn, vì ChatIndexedDb[.]dll chỉ nhắm mục tiêu vào hai ứng dụng.
Các nhà nghiên cứu đặt giả thuyết này dựa trên thực tế là ChatIndexedDb[.]dll được biên dịch vào tháng 10/2023, trong khi appdata[.]dll được xây dựng vào đầu tháng 01/2024. Plugin appdata[.]dll chứa hai thư viện thực thi: WhatsApp[.]dll và Signal[.]dll. Các thư viện này sẽ được khởi chạy khi plugin đang chạy. WhatsApp[.]dll về cơ bản là bản sao của thư viện có trong ChatIndexedDb[.]dll. Bên cạnh đó, Appdata cũng chứa chứng chỉ X509 cho Windows Phone.
Hình 7. Chứng chỉ X509 trong appdata[.]dll
Plugin SystemInfo
Plugin này (SystemInfo[.]dll) được thiết kế để thu thập thông tin về hệ thống của người dùng và sau đó gửi lại cho máy chủ do tác nhân đe dọa kiểm soát, bao gồm:
- Thông tin về các tiến trình đang chạy trên hệ thống, bao gồm đường dẫn đến các tệp thực thi đang chạy trong hệ thống.
- Dữ liệu về tài khoản người dùng trong hệ thống.
- Thông tin kết nối mạng, bao gồm số cổng đang hoạt động.
- Thông tin về các dịch vụ đang chạy trên hệ thống.
- Danh sách trình điều khiển được cài đặt, bao gồm phiên bản và tên nhà phát triển.
Plugin wifiList
WifiList[.]dll) được thiết kế để thu thập thông tin về các mạng không dây mà thiết bị của người dùng được kết nối và lưu vào tệp “WifiList[.]json”. Plugin này cũng thu thập danh sách các khóa để kết nối với các mạng không dây mà thiết bị của người dùng được kết nối và lưu vào tệp “wifiKey[.]json”. Đồng thời, thu thập danh sách các mạng khả dụng cho thiết bị của nạn nhân. Sau đó, plugin sẽ gửi hai tệp này đến máy chủ của kẻ tấn công.
Plugin WebBrowser
Plugin WebBrowser[.]dll thu thập các thông tin nhạy cảm như cookie, lịch sử duyệt web, mật khẩu và dữ liệu tự động nhập từ các trình duyệt phổ biến (Chrome, Firefox, Edge, Opera).
Plugin này tương tác với cơ sở dữ liệu trình duyệt cục bộ, truy xuất dữ liệu thông qua các truy vấn SQL và đường dẫn tệp chuẩn, xử lý dữ liệu bằng cách áp dụng các thuật toán mật mã để giải mã và băm. Đồng thời, plugin cũng chứa các mô-đun xử lý lỗi để đảm bảo hoạt động ổn định.
Plugin Pass
Plugin này (Pass[.]dll) cố gắng thu thập thông tin tài khoản cũng như mật khẩu từ các ứng dụng sau:
- BaiduNetDisk: Dịch vụ lưu trữ đám mây do Baidu cung cấp, có trụ sở chính tại Bắc Kinh.
- QQ: Một dịch vụ phần mềm nhắn tin và cổng thông tin web được phát triển bởi công ty công nghệ Trung Quốc Tencent.
- FoxMail: Ứng dụng email miễn phí cũng được Tencent phát triển.
- MailMaster: Hỗ trợ soạn thảo và trả lời tin nhắn email sử dụng công nghệ trí tuệ nhân tạo (AI).
- OneDrive: Dịch vụ lưu trữ tệp của Microsoft.
Plugin này cũng chứa các thư viện của project “KeeFarce”, cho phép trích xuất trái phép thông tin cơ sở dữ liệu mật khẩu KeePass 2.x từ bộ nhớ. Các thư viện này là KeeFarce[.]dll và Bootstrap[.]dll.
Sử dụng các thư viện này, plugin cố gắng trích xuất mật khẩu và thông tin khác từ ứng dụng KeePass được cài đặt trên thiết bị của nạn nhân. Sau đó, plugin gửi tất cả dữ liệu đã thu thập được đến máy chủ từ xa do tác nhân đe dọa kiểm soát.
Plugin OutlookX32
Plugin này (OutlookX32[.]dll) được thiết kế để đánh cắp thông tin từ ứng dụng Outlook của Microsoft. Plugin cố gắng truy cập email, thư mục mail trong Outlook và danh sách liên lạc của người dùng.
Plugin ProductList
Plugin này được thiết kế để thu thập thông tin về các ứng dụng đã cài đặt trên hệ thống. Nó có thể thu thập tên ứng dụng, đường dẫn cài đặt và truyền chúng đến máy chủ do tác nhân đe dọa kiểm soát.
Plugin SocialSoft
Plugin này được thiết kế để cho phép truy cập trái phép vào các ứng dụng sau:
- WeChat: Ứng dụng nhắn tin tức thời, mạng xã hội và thanh toán di động của Trung Quốc do Tencent phát triển.
- DingDing: Một trong những ứng dụng cộng tác và giao tiếp doanh nghiệp di động lớn nhất tại Trung Quốc, với hơn 100 triệu người dùng.
- Telegram: Dịch vụ nhắn tin đa nền tảng, mạng xã hội dựa trên nền tảng đám mây.
- Feishu: Nền tảng cộng tác doanh nghiệp được phát triển bởi ByteDance, một công ty công nghệ Internet của Trung Quốc.
- QQ: Dịch vụ phần mềm nhắn tin và cổng thông tin web được phát triển bởi công ty công nghệ Trung Quốc Tencent.
- Skype: Dịch vụ gọi thoại, hội nghị truyền hình và điện thoại video do Microsoft phát triển.
Plugin cố gắng truy cập tin nhắn và dữ liệu được lưu trữ trong thư mục ứng dụng. Nếu việc đánh cắp tin nhắn thành công, plugin sẽ đóng gói tin nhắn và gửi chúng đến máy chủ do tác nhân đe dọa kiểm soát.
Plugin Audio
Plugin này được thiết kế để ghi lại môi trường âm thanh bằng micrô trên thiết bị hệ thống đích. Khi được chạy, plugin trích xuất một thư viện thực thi khác (audio[.]core[.]dll) từ phần body của nó được đóng gói bởi UPX.
Plugin audio[.]core[.]dll sử dụng các thư viện mã nguồn mở có tên là FFmpeg 4.3.5 để ghi âm thanh ở định dạng Advanced audio Encoding (.aac) và lưu bản ghi vào thư mục %temp%.
Cùng với lệnh ghi âm, plugin sẽ nhận được thời lượng ghi âm tính bằng giây. Sau khi ghi âm hoàn tất, tệp âm thanh sẽ được chuyển đến máy chủ do tác nhân đe dọa kiểm soát.
Hình 8. Code của plugin bắt đầu ghi âm
Plugin ChatIndexedDb
Plugin này được một tác nhân đe dọa sử dụng để theo dõi các ứng dụng WhatsApp và Zalo được cài đặt trên Windows. Zalo là ứng dụng nhắn tin di động phổ biến nhất tại Việt Nam, với tỷ lệ sử dụng 82% vào năm 2024 và 77,6 triệu người dùng hoạt động hàng tháng. Plugin sẽ sao chép tất cả dữ liệu từ các ứng dụng này, đồng thời cũng theo dõi dữ liệu được người dùng chia sẻ trong các cuộc trò chuyện riêng tư với những người liên hệ khác của họ.
Ngoài ra, plugin còn chứa thư viện WhatsApp[.]dll, được thiết kế đặc biệt để đánh cắp dữ liệu và tin nhắn từ ứng dụng WhatsApp. Nếu việc đánh cắp dữ liệu thành công, plugin sẽ đóng gói chúng và gửi đến máy chủ do tác nhân đe dọa kiểm soát.
Plugin Tdm
Plugin này tải xuống một thư viện có tên là Telegram[.]dll và đưa nó vào không gian địa chỉ của ứng dụng “Telegram for Windows”. Plugin cố gắng sao chép tất cả thông tin trong các cuộc trò chuyện của người dùng, bao gồm danh bạ, tin nhắn, hình ảnh, âm thanh và video. Nếu sao chép thành công, nó sẽ gửi dữ liệu đến máy chủ do tác nhân đe dọa kiểm soát.
Hình 9. Code thể hiện việc đẩy thư viện Telegram[.]dll vào Telegram for Widows
Nạn nhân ảnh hưởng
Dựa trên các nạn nhân mà LightSpy đã nhắm tới trong quá khứ và dựa trên các ứng dụng mà DeepData cố gắng truy cập, các nhà nghiên cứu nhận định rằng các mục tiêu có thể nằm ở Đông Nam Á và có khả năng liên quan đến các nhà hoạt động chính trị, chính trị gia và nhà báo với mức độ xác suất trung bình.
KẾT LUẬN
Những phát hiện mới nhất của BlackBerry chỉ ra rằng tác nhân đe dọa đằng sau DeepData tập trung rõ ràng vào việc thu thập thông tin tình báo lâu dài. Kể từ khi phát triển phần mềm gián điệp LightSpy vào năm 2022, kẻ tấn công đã liên tục cập nhật và cải tiến phương pháp tấn công và nhắm mục tiêu chiến lược vào các nền tảng truyền thông.
Các tổ chức ở mọi quy mô, đặc biệt là những tổ chức ở các khu vực mục tiêu, nên coi mối đe dọa này là ưu tiên hàng đầu và triển khai các biện pháp phòng thủ toàn diện. Sự phát triển liên tục của các công cụ như DeepData cho thấy mối đe dọa dai dẳng có khả năng mở rộng cả về khả năng và phạm vi theo thời gian.
Hồng Đạt
(Tổng hợp)
