F-Secure cảnh báo bộ công cụ gián điệp Regin

Regin là bộ công cụ gián điệp tinh vi mới nhất được sử dụng để nhắm đền nhiều tổ chức trên thế giới. Như đã nói ở trên, đó là một trong những malware phức tạp hơn nhiều, dường như rất các công cụ khác đều bị bỏ lại đằng sau nó. Chúng ta gặp phải Regin gần 6 năm về trước vào đầu 2009, khi nó đang lẩn trốn trên máy chủ Windows của một khác hàng tại Bắc Á.

Các máy chủ cho thấy triệu chứng sự cố vì thỉnh thoảng bị dừng hoạt động bởi lỗi “màn hình xanh”. Một trình điều khiển với cái tên vô hại “pciclass.sys” dường như đã gây ra lỗi này. Sau khi phân tích kĩ càng, trình điều khiển này thật ra là một rootkit, chính xác hơn là một trong những biến thể đầu tiên của Regin.

Như có thể thấy tại hình tên, trình điều khiển được biên soạn vào ngày 7 tháng 3 năm 2008.

Trình điều khiển này chỉ là một phần trong mối đe dọa gồm nhiều giai đoạn. Các cấu hình nhúng trong trình điều khiển cho thấy nó có thể sử dụng một khóa registry hoặc một tệp tin hệ thống NTFS mở rộng thuộc tính nhằm tải các giai đoạn tiếp theo của mã độc.

Các nhà nghiên cứu đã tìm ra những khóa registry dưới đây được sử dụng trong giai đoạn payload tiếp theo:

REGISTRYMachineSystemCurrentControlSetControlClass{9B9A8ADB-8864-4BC4-8AD5-B17DFDBB9F58}:Class
REGISTRYMachineSystemCurrentControlSetControlClass{4F20E605-9452-4787-B793-D0204917CA58}:Class
REGISTRYMachineSystemCurrentControlSetControlRestoreList:VideoBase

Các thư mục sau chứa NTFS Extended Attribute với tên “_”  cũng dùng để chứa payload giai đoạn tiếp theo và được chia ra làm hai thuộc tính khác nhau:

%WINDIR%
%WINDIR%security
%WINDIR% epair
%WINDIR%msapps
%WINDIR%msagent
%WINDIR%Cursors
%WINDIR%fonts
%WINDIR%Temp
%WINDIR%msagentchars
%WINDIR%Help
%WINDIR%inf
%WINDIR%SpoolPrinters
%WINDIR%CertSrv

Trong suốt 2013 và 2014, sau khi phân tích các phiên bản tiếp theo của Regin, độ phức tạp và mức độ tinh vi trong các cuộc tấn công đã trở nên rất rõ ràng. F-Secure sẽ đặt Regin vào cùng thể loại với các chiến dịch tình báo như stuxnet, Flame và Turla/Snake.

F-secure