Phần mềm tống tiền LeakNet
Tấn công ransomware LeakNet đã tạo ra một bước tiến đáng kể trong chiến thuật xâm nhập bằng cách tận dụng kỹ thuật tấn công phi kỹ thuật ClickFix làm phương thức xâm nhập chính. Phương pháp này thao túng người dùng thực thi các lệnh độc hại dưới vỏ bọc giải quyết các lỗi hệ thống giả mạo. Không giống như các phương pháp truy cập truyền thống, chẳng hạn như mua thông tin đăng nhập bị đánh cắp từ các nhà môi giới truy cập ban đầu, chiến thuật này trực tiếp khai thác lòng tin và hành vi thường ngày của người dùng.
Các trang web bị xâm nhập nhưng vẫn hợp pháp bị lợi dụng để tạo ra các lời nhắc xác minh CAPTCHA giả mạo. Những lời nhắc này hướng dẫn người dùng sao chép và thực thi lệnh msiexec.exe độc hại thông qua hộp thoại Chạy của Windows. Vì thao tác này bắt chước hoạt động hệ thống hàng ngày, cuộc tấn công trông có vẻ bình thường và tránh gây nghi ngờ ngay lập tức. Chiến lược cơ hội rộng rãi này cho phép nhắm mục tiêu vào nhiều ngành công nghiệp mà không phân biệt đối tượng.
Mục lục
Thay đổi chiến lược: Độc lập khỏi các nhà môi giới tiếp cận ban đầu
Việc LeakNet chuyển sang sử dụng ClickFix thể hiện một sự thay đổi hoạt động được tính toán kỹ lưỡng. Bằng cách loại bỏ sự phụ thuộc vào các nhà cung cấp thông tin xác thực bên thứ ba, tập đoàn này giảm thiểu cả chi phí và thời gian chờ đợi liên quan đến việc thu thập quyền truy cập. Sự độc lập này loại bỏ một nút thắt quan trọng, cho phép các chiến dịch mở rộng quy mô nhanh chóng và hiệu quả hơn.
Ngoài ra, việc sử dụng cơ sở hạ tầng hợp pháp bị xâm phạm thay vì các hệ thống do kẻ tấn công kiểm soát làm giảm đáng kể các dấu hiệu mạng có thể phát hiện được. Điều này làm cho các biện pháp phòng thủ truyền thống dựa trên ranh giới mạng trở nên kém hiệu quả hơn, vì hoạt động độc hại hòa lẫn một cách liền mạch với lưu lượng truy cập đáng tin cậy.
Thực thi không cần tệp: Trình tải dựa trên Deno hoạt động như thế nào
Một đặc điểm kỹ thuật nổi bật của các cuộc tấn công này là việc triển khai một trình tải điều khiển và kiểm soát được xây dựng trên môi trường chạy JavaScript của Deno. Trình tải này thực thi mã JavaScript được mã hóa Base64 trực tiếp trong bộ nhớ, tránh ghi vào ổ đĩa và giảm thiểu dấu vết pháp y.
Sau khi được kích hoạt, bộ phận nâng hạ sẽ thực hiện một số chức năng quan trọng:
- Phân tích hệ thống bị xâm nhập để thu thập thông tin tình báo môi trường.
- Thiết lập liên lạc với máy chủ bên ngoài để truy xuất các dữ liệu phụ.
- Duy trì tính liên tục thông qua cơ chế thăm dò liên tục để tải và thực thi mã bổ sung.
Mô hình thực thi không cần tệp này tăng cường tính bí mật và làm phức tạp thêm các nỗ lực phát hiện của các công cụ bảo mật truyền thống.
Sổ tay hướng dẫn xử lý hậu khai thác nhất quán
Mặc dù có sự khác biệt trong quá trình truy cập ban đầu, các hoạt động của LeakNet đều hội tụ về một quy trình làm việc có thể dự đoán được sau khi xâm nhập. Sự nhất quán này mang lại cho các nhà bảo mật những cơ hội quý giá để phát hiện và ngăn chặn trước khi phần mềm tống tiền được triển khai.
Trình tự tấn công điển hình bao gồm:
- Tấn công nạp DLL để thực thi các thư viện độc hại được cung cấp bởi trình nạp.
- Di chuyển ngang bằng cách sử dụng các công cụ như PsExec để mở rộng quyền truy cập mạng.
- Thực hiện dò tìm thông tin đăng nhập thông qua lệnh cmd.exe /c klist để xác định các phiên xác thực đang hoạt động.
- Lưu trữ và đánh cắp dữ liệu thông qua các thùng lưu trữ S3, che giấu hoạt động này dưới dạng lưu lượng truy cập đám mây hợp pháp.
- Giai đoạn mã hóa cuối cùng để triển khai phần mềm tống tiền
Việc sử dụng các công cụ gốc của Windows và các dịch vụ đám mây thông thường cho phép các hành động độc hại hòa lẫn vào hoạt động bình thường của hệ thống và mạng.
Hồ sơ mối đe dọa: Nguồn gốc và phạm vi mục tiêu
Xuất hiện vào tháng 11 năm 2024, LeakNet ban đầu tự định vị mình là một "tổ chức giám sát kỹ thuật số", thúc đẩy các chủ đề về tính minh bạch và tự do internet. Tuy nhiên, các hoạt động được quan sát cho thấy phạm vi hoạt động rộng hơn và hung hăng hơn, bao gồm cả các cuộc tấn công chống lại các tổ chức công nghiệp.
Chiến lược nhắm mục tiêu bừa bãi của chiến dịch, kết hợp với các phương pháp lây lan quy mô lớn, nhấn mạnh ý định tối đa hóa phạm vi tiếp cận thay vì tập trung vào các lĩnh vực cụ thể.
Ý nghĩa phòng thủ: Khả năng dự đoán là một lợi thế
Mặc dù các kỹ thuật xâm nhập của LeakNet đã được cải tiến, nhưng việc dựa vào chuỗi khai thác lặp đi lặp lại lại tạo ra một điểm yếu chí mạng. Mỗi giai đoạn của cuộc tấn công, từ thực thi đến di chuyển ngang và đánh cắp dữ liệu, đều tuân theo các mô hình hành vi có thể nhận dạng được.
Sự nhất quán này cho phép các hậu vệ:
- Phát hiện việc sử dụng bất thường các công cụ hệ thống hợp pháp
- Theo dõi các mẫu thực thi bất thường trong bộ nhớ.
- Xác định các tương tác lưu trữ đám mây đáng ngờ.
- Ngăn chặn quá trình tấn công trước khi quá trình mã hóa diễn ra.
Tóm lại, điểm mấu chốt rất rõ ràng: mặc dù các phương pháp tiếp cận ban đầu có thể khác nhau, nhưng kế hoạch hoạt động cơ bản vẫn ổn định, mang lại nhiều cơ hội phát hiện và ứng phó sớm.
