VỮNG MÃI MỘT NIỀM TIN
PlugX và Bookworm tái xuất trong chiến dịch APT hướng vào hạ tầng viễn thông ASEAN
- 01/10/2025
Trong những tháng gần đây, cộng đồng an ninh mạng ghi nhận một chiến dịch APT tinh vi, kéo dài và có mục tiêu rõ rệt nhắm tới hạ tầng viễn thông cùng một số nhà sản xuất tại Trung Á, Nam Á và khu vực ASEAN. Chiến dịch này nổi bật bởi sự xuất hiện của một biến thể PlugX mới và hoạt động đồng thời của Bookworm, với nhiều điểm kỹ thuật trùng khớp các cluster APT từng bị gán cho nhóm có nguồn gốc Trung Quốc — cho thấy mức độ phối hợp và đầu tư kỹ thuật lớn từ kẻ tấn công.
1. Điểm nổi bật kỹ thuật của chiến dịch
-
DLL side-loading: Kẻ tấn công lợi dụng các thực thi hợp pháp để side-load DLL độc hại bằng cơ chế tìm kiếm DLL của Windows.
-
Chuỗi giải mã payload: Thông thường payload được lưu dưới dạng mã hóa/ nén với thứ tự giải mã: XOR → RC4 → RtlDecompressBuffer trước khi thực thi trong bộ nhớ.
-
Thực thi fileless: Payload thực thi trực tiếp trên bộ nhớ (fileless), làm giảm dấu vết trên đĩa và gây khó khăn cho phân tích tĩnh.
-
Nạp plugin động: PlugX ở biến thể gần đây hỗ trợ nạp plugin theo cấu hình (ví dụ keylogger), dễ dàng mở rộng chức năng sau khi thỏa thuận mục tiêu.
-
Bookworm (liên quan Mustang Panda): Kiến trúc mô-đun với loader đảm nhiệm kết nối C2 và tải module chức năng (truyền file, thực thi lệnh, thu thập thông tin, rút dữ liệu). Một số biến thể còn nhúng shellcode dưới dạng chuỗi UUID, ghép lại thành blob nhị phân rồi thực thi trong bộ nhớ.
2. Dấu vết và chỉ báo dễ quan sát (IOCs hành vi)
-
Nhật ký nạp DLL từ thư mục bất thường kèm tiến trình hợp pháp.
-
Chuỗi gọi API liên quan tới cấp phát/ghi bộ nhớ (VirtualAlloc, VirtualProtect, CreateThread).
-
Gọi API nén/giải nén như RtlDecompressBuffer.
-
Xuất hiện chuỗi UUID dài trong cấu hình hoặc registry.
-
Mẫu DNS/HTTP(S) tới tên miền có vẻ hợp pháp nhưng có lịch sử đăng ký bất thường.
-
Tái sử dụng khóa RC4 hoặc hằng số XOR giữa các mẫu malware.
3. Vấn đề attribution và mối liên hệ giữa các cluster
Những trùng lặp kỹ thuật và mục tiêu cho thấy hai khả năng: các cluster có tên khác nhau có thể cùng một tác nhân, hoặc các nhóm khác nhau đang sử dụng chung công cụ/nhà cung cấp malware. Tuy nhiên, các nhà nghiên cứu đánh giá mức độ liên hệ hiện là trung bình — có nhiều chỉ báo hỗ trợ nhưng vẫn cần thêm bằng chứng để khẳng định attribution cuối cùng.
4. Hành trình tấn công (technical chain)
Quy trình điển hình gồm: lợi dụng thực thi hợp pháp → DLL side-load → DLL giả chứa logic giải mã → XOR → RC4 → RtlDecompressBuffer → payload giải nén và thực thi trong bộ nhớ. Sau đó kẻ tấn công có thể cấp phát vùng nhớ, ghi shellcode, thay đổi quyền trang hoặc nạp module phản chiếu (reflective DLL) để thực thi.
5. Khuyến nghị phát hiện & ứng phó (Endpoint + Mạng)
Trên endpoint
-
Rà soát ứng dụng có nguy cơ bị side-loading; áp dụng
SetDefaultDllDirectoriesvàAddDllDirectory. -
Buộc sử dụng đường dẫn tuyệt đối cho thư viện nội bộ.
-
Kích hoạt AppLocker hoặc Windows Defender Application Control để chặn DLL không ký số.
-
Cấu hình EDR để ghi lại chi tiết các API cấp phát/ghi bộ nhớ và hành vi nghi vấn.
Trên mạng
-
Tăng cường giám sát DNS và HTTP(S) để phát hiện pattern C2.
-
Sử dụng sinkhole hoặc chặn tên miền độc hại đã xác định.
-
Phân tích Netflow/traffic để tìm kết nối tới C2.
Trong quá trình triage
-
Cô lập tiến trình nghi ngờ, thu thập memory dump kịp thời.
-
Lấy danh sách DLL đã load, keys và cấu hình từ registry để phục hồi module đã tải xuống.
Kết luận — tác động chiến lược
Chiến dịch cho thấy đây là nỗ lực có chọn mục tiêu và đầu tư kỹ thuật, tập trung vào tổ chức viễn thông và cơ sở hạ tầng trong khu vực ASEAN. Các đội SOC/IR cần duy trì cảnh giác, cập nhật playbook cho tấn công thực thi trong bộ nhớ, chuẩn hóa quy trình thu thập memory dump an toàn, củng cố chính sách quản trị DLL và tăng cường chia sẻ chỉ báo giữa các tổ chức trong khu vực để phát hiện và ngăn chặn sớm.
.png)
.png)
.png)
.png)
.png)