Phần mềm độc hại SNOW

Một cụm mối đe dọa chưa từng được ghi nhận trước đây, được theo dõi với mã số UNC6692, đã được xác định là sử dụng các kỹ thuật tấn công phi kỹ thuật (social engineering) tiên tiến thông qua Microsoft Teams để triển khai một khung phần mềm độc hại tùy chỉnh có tên là SNOW Malware. Kẻ tấn công liên tục giả mạo nhân viên hỗ trợ CNTT, thuyết phục các nạn nhân chấp nhận lời mời trò chuyện từ các tài khoản bên ngoài.

Chiêu trò lừa đảo này được củng cố bởi một chiến dịch tấn công email phối hợp, trong đó nạn nhân bị ngập tràn bởi các tin nhắn rác để tạo ra sự khẩn cấp và hoang mang. Ngay sau đó, kẻ tấn công bắt đầu liên lạc qua Teams, giả danh là nhân viên hỗ trợ CNTT và đề nghị giúp đỡ giải quyết vấn đề đã được bịa đặt. Chiến thuật thao túng hai lớp này làm tăng đáng kể khả năng người dùng tin theo.

Chiến thuật truyền thống, tác động hiện đại.

Mô hình hoạt động này phản ánh các kỹ thuật từng được liên kết với các chi nhánh của Black Basta. Mặc dù nhóm này đã ngừng các hoạt động tấn công bằng mã độc tống tiền, nhưng các phương pháp của chúng vẫn tồn tại và vẫn hiệu quả. Các nhà nghiên cứu bảo mật đã xác nhận rằng phương pháp này chủ yếu nhắm vào các giám đốc điều hành và nhân viên cấp cao, cho phép truy cập mạng ban đầu có thể dẫn đến việc đánh cắp dữ liệu, di chuyển ngang, triển khai mã độc tống tiền và tống tiền. Trong các trường hợp được quan sát, các cuộc trò chuyện do kẻ tấn công khởi xướng diễn ra chỉ trong vài giây, cho thấy tính tự động hóa và sự phối hợp chặt chẽ.

Điểm Khởi Đầu Lừa Gạt: Vụ Giải Quyết Giả Mạo

Khác với các cuộc tấn công truyền thống chỉ dựa vào các công cụ quản lý từ xa như Quick Assist hoặc Supremo Remote Desktop, chiến dịch này sử dụng một chuỗi lây nhiễm được sửa đổi. Nạn nhân được hướng dẫn nhấp vào một liên kết lừa đảo được chia sẻ qua Teams, được hiển thị dưới dạng 'Tiện ích sửa chữa và đồng bộ hóa hộp thư v2.1.5'.

Liên kết này kích hoạt quá trình tải xuống một kịch bản AutoHotkey độc hại được lưu trữ trên dịch vụ lưu trữ đám mây do kẻ tấn công kiểm soát. Cơ chế kiểm soát đảm bảo việc phân phối phần mềm độc hại chỉ đến các mục tiêu được chỉ định, giúp tránh được phân tích bảo mật tự động. Ngoài ra, kịch bản này xác minh việc sử dụng trình duyệt và bắt buộc sử dụng Microsoft Edge thông qua các cảnh báo liên tục, đảm bảo khả năng tương thích với các thành phần độc hại tiếp theo.

SNOWBELT: Lỗ hổng bảo mật trình duyệt ẩn

Tập lệnh ban đầu tiến hành trinh sát trước khi triển khai SNOWBELT, một tiện ích mở rộng trình duyệt độc hại dựa trên Chromium. Được cài đặt thông qua một tiến trình Edge không giao diện người dùng bằng cách sử dụng các tham số dòng lệnh cụ thể, SNOWBELT hoạt động như một cửa hậu bí mật. Nó tạo điều kiện thuận lợi cho việc tải xuống các phần mềm độc hại bổ sung, bao gồm SNOWGLAZE, SNOWBASIN, các tập lệnh AutoHotkey khác và một tệp lưu trữ nén chứa môi trường Python di động.

Đồng thời, giao diện lừa đảo hiển thị một "Bảng quản lý cấu hình" với tính năng "Kiểm tra trạng thái". Giao diện này yêu cầu người dùng nhập thông tin đăng nhập hộp thư dưới vỏ bọc xác thực, nhưng thực chất là thu thập và đánh cắp dữ liệu nhạy cảm về cơ sở hạ tầng do kẻ tấn công kiểm soát.

Hệ sinh thái phần mềm độc hại dạng mô-đun: Phân tích chi tiết khung SNOW

Bộ phần mềm độc hại SNOW hoạt động như một hệ sinh thái mô-đun, phối hợp nhịp nhàng, được thiết kế để duy trì sự hiện diện, kiểm soát và hoạt động bí mật:

• SNOWBELT hoạt động như một máy chuyển tiếp lệnh dựa trên JavaScript, nhận chỉ thị từ kẻ tấn công và chuyển tiếp chúng để thực thi.
• SNOWGLAZE hoạt động như một tiện ích tạo đường hầm dựa trên Python, thiết lập kết nối WebSocket an toàn giữa mạng bị xâm nhập và máy chủ điều khiển của kẻ tấn công.
• SNOWBASIN hoạt động như một phần mềm cửa hậu tồn tại lâu dài, cho phép thực thi lệnh từ xa, truyền tệp, chụp ảnh màn hình và tự gỡ bỏ, đồng thời hoạt động như một máy chủ HTTP cục bộ trên nhiều cổng.

Sau khi khai thác: Mở rộng quyền kiểm soát và trích xuất dữ liệu

Sau khi xâm nhập ban đầu, kẻ tấn công thực hiện một loạt hành động để tăng cường quyền truy cập và trích xuất thông tin có giá trị:

Việc trinh sát mạng được thực hiện bằng cách quét các cổng quan trọng, sau đó là di chuyển ngang bằng các công cụ quản trị và các phiên máy tính từ xa được thiết lập thông qua các hệ thống bị xâm nhập.

Việc leo thang đặc quyền được thực hiện bằng cách trích xuất bộ nhớ tiến trình nhạy cảm, cho phép thu thập thông tin đăng nhập và truy cập trái phép vào các hệ thống cấp cao hơn.

Các kỹ thuật tiên tiến như Pass-the-Hash được sử dụng để xâm nhập vào bộ điều khiển miền, sau đó các công cụ pháp y được triển khai để thu thập dữ liệu nhạy cảm, bao gồm cả cơ sở dữ liệu thư mục, rồi được đánh cắp bằng các tiện ích truyền tệp.

Ngụy trang đám mây: Pha trộn lưu lượng truy cập độc hại với các dịch vụ hợp pháp

Đặc điểm nổi bật của chiến dịch này là việc lạm dụng có chủ đích cơ sở hạ tầng đám mây đáng tin cậy. Các phần mềm độc hại, việc đánh cắp dữ liệu và liên lạc điều khiển từ xa đều được định tuyến qua các nền tảng đám mây hợp pháp. Cách tiếp cận này cho phép hoạt động đe dọa hòa lẫn một cách liền mạch với lưu lượng truy cập doanh nghiệp thông thường, từ đó vượt qua hiệu quả các bộ lọc bảo mật truyền thống dựa trên danh tiếng hoặc phát hiện bất thường.

Bối cảnh mối đe dọa đang thay đổi: Lòng tin là mục tiêu chính.

Chiến dịch UNC6692 làm nổi bật sự phát triển đáng kể trong các chiến lược tấn công mạng, kết hợp kỹ thuật xã hội, các công cụ doanh nghiệp đáng tin cậy và phần mềm độc hại dạng mô-đun. Bằng cách khai thác lòng tin của người dùng vào các nền tảng và dịch vụ được sử dụng rộng rãi, kẻ tấn công tăng tỷ lệ thành công đồng thời giảm thiểu khả năng bị phát hiện. Sự tồn tại dai dẳng của các chiến thuật cũ song song với các cơ chế phân phối mới nhấn mạnh một thực tế quan trọng: các chiến lược tấn công hiệu quả có thể tồn tại lâu dài sau khi những kẻ điều hành ban đầu biến mất.