Tập đoàn Google Threat Intelligence đã công bố thông tin về một chiến dịch tấn công mạng tinh vi được thực hiện bởi tác nhân đe dọa UNC3944, còn được biết đến với các bí danh như “0ktapus,” “Octo Tempest,” và “Scattered Spider.” Nhóm này, với động cơ tài chính, đã tăng cường tập trung vào các lĩnh vực bán lẻ, hàng không và bảo hiểm. Chiến dịch này nổi bật bởi việc không dựa vào các lỗ hổng phần mềm truyền thống mà thay vào đó sử dụng kỹ thuật xã hội tiên tiến để xâm nhập vào các tổ chức, đặt ra những thách thức đáng kể cho an ninh mạng.
Tổng quan về Chiến dịch tấn công của UNC3944
Mục tiêu và Phương thức tiếp cận ban đầu
UNC3944 bắt đầu các cuộc tấn công bằng cách giả mạo nhân viên hoặc quản trị viên thông qua các cuộc gọi điện thoại, thuyết phục bộ phận IT help desk đặt lại mật khẩu Active Directory, từ đó giành được quyền truy cập ban đầu vào tài khoản người dùng. Phương pháp tiếp cận lấy con người làm trung tâm này cho phép các tác nhân vượt qua các biện pháp bảo mật mạnh mẽ, tiến hành trinh sát trên các tài nguyên nội bộ như trang SharePoint và kho mật khẩu để xác định các nhóm có đặc quyền cao như “vSphere Admins” hoặc “ESX Admins”.
Khai thác môi trường VMware vSphere và Active Directory
Sau khi có được đặc quyền, nhóm chuyển hướng sang môi trường VMware vSphere, khai thác sự tích hợp với Microsoft Active Directory để giành quyền kiểm soát các hypervisor. Điều này cho phép chúng triển khai mã độc tống tiền trực tiếp từ mặt phẳng quản lý. Chiến dịch này tuân thủ phương pháp “living-off-the-land”, thao túng các công cụ quản trị hợp pháp để giảm thiểu các chỉ số thỏa hiệp (Indicators of Compromise – IOC) có thể bị phát hiện.
Kỹ thuật Living-off-the-Land và Triển khai Mã độc tống tiền
Duy trì quyền truy cập và Đánh cắp thông tin xác thực
Sau khi xâm nhập được vCenter Server, kẻ tấn công sẽ khởi động lại thiết bị để truy cập vào shell gốc, từ đó thiết lập các backdoor duy trì thông qua các công cụ như Teleport cho các kênh chỉ huy và kiểm soát (command-and-control – C2) được mã hóa. Điều này tạo điều kiện thuận lợi cho việc đánh cắp thông tin xác thực ngoại tuyến bằng cách tắt các máy ảo quan trọng, chẳng hạn như Domain Controllers, và gắn đĩa của chúng vào các máy ảo mồ côi (orphaned VMs) để trích xuất dữ liệu nhạy cảm như cơ sở dữ liệu NTDS.dit.
Vô hiệu hóa sao lưu và Mã hóa cấp độ Hypervisor
Hoạt động của UNC3944 còn mở rộng đến việc phá hoại các bản sao lưu bằng cách xóa các tác vụ (jobs) và kho lưu trữ (repositories), đảm bảo nạn nhân không thể khôi phục dữ liệu. Sau đó, chúng tiến hành mã hóa ở cấp độ hypervisor bằng cách đẩy các binary tùy chỉnh qua SSH tới các máy chủ ESXi. Hiệu quả của các cuộc tấn công này bắt nguồn từ khả năng hiển thị hạn chế ở các lớp ảo hóa, nơi các công cụ phát hiện và phản hồi điểm cuối (Endpoint Detection and Response – EDR) thường không thể giám sát hypervisor ESXi hoặc thiết bị vCenter, cho phép toàn bộ chuỗi tấn công từ quyền truy cập ban đầu đến triển khai mã độc tống tiền diễn ra trong vài giờ thay vì nhiều ngày.
Thách thức về khả năng Hiển thị và Thời gian phản ứng đối với hệ thống bị xâm nhập
Theo báo cáo của Google Cloud, để chống lại những mối đe dọa này, các tổ chức phải áp dụng chiến lược phòng thủ đa trụ cột nhấn mạnh việc tăng cường chủ động, cô lập danh tính và phát hiện nâng cao. Các biện pháp giảm thiểu chính bao gồm việc thực thi xác thực đa yếu tố (MFA) chống lừa đảo cho các lần đăng nhập vCenter, kích hoạt chế độ vSphere Lockdown Mode để hạn chế quyền truy cập trực tiếp vào ESXi, và triển khai mã hóa VM để bảo vệ chống lại các cuộc tấn công hoán đổi đĩa. Điều này đặc biệt quan trọng để nâng cao an ninh mạng trong môi trường ảo hóa.
Chiến lược Phòng thủ đa tầng chống lại các rủi ro bảo mật từ UNC3944
Củng cố Định danh và Quyền truy cập
- Thực thi MFA chống lừa đảo cho vCenter: Đảm bảo rằng các phương pháp xác thực mạnh mẽ được áp dụng để ngăn chặn việc giành quyền truy cập trái phép.
- Kích hoạt vSphere Lockdown Mode: Hạn chế quyền truy cập trực tiếp vào các máy chủ ESXi, buộc mọi tương tác phải thông qua vCenter Server.
- Triển khai mã hóa VM: Bảo vệ dữ liệu trên các máy ảo khỏi các cuộc tấn công hoán đổi đĩa hoặc truy cập trái phép.
Giám sát và Phát hiện Nâng cao
Việc tập trung nhật ký từ các sự kiện vCenter, nhật ký kiểm tra ESXi và nhật ký máy chủ tiêu chuẩn là rất quan trọng để phát hiện các sự bất thường, chẳng hạn như cấu hình lại VM bất ngờ hoặc thay đổi thành viên nhóm trong Active Directory. Ví dụ, việc giám sát các sự kiện vCenter như VmReconfiguredEvent có thể tiết lộ các đính kèm đĩa trái phép, trong khi cảnh báo về AD Event ID 4728 cho các sửa đổi đối với các nhóm liên quan đến sao lưu sẽ ngăn chặn hành vi phá hoại.
# Ví dụ về truy vấn nhật ký SIEM để phát hiện VmReconfiguredEvent
index=vmware source=vcenter_logs VmReconfiguredEvent | table _time, user, vm_name, old_config, new_config
# Ví dụ về truy vấn nhật ký SIEM để phát hiện AD Event ID 4728
index=windows source=active_directory_logs EventCode=4728 | table _time, TargetUserName, MemberName, GroupNameĐảm bảo Toàn vẹn Kiến trúc và Khả năng phục hồi
Tính toàn vẹn của kiến trúc là rất quan trọng: cô lập cơ sở hạ tầng sao lưu trong các miền riêng biệt với các kho lưu trữ bất biến sẽ phá vỡ các chuỗi tin cậy bị UNC3944 khai thác. Việc tránh các vòng lặp xác thực bằng cách lưu trữ các nhà cung cấp định danh (Identity Providers – IDP) bên ngoài môi trường ảo hóa sẽ tăng cường khả năng phục hồi. Các biện pháp phòng thủ truyền thống như bảo mật điểm cuối không đủ chống lại các hoạt động cấp độ hypervisor, đòi hỏi các công cụ quản lý trạng thái liên tục để chống lại sự sai lệch cấu hình (configuration drift) và đảm bảo các kiểm soát như execInstalledOnly được duy trì. Điều này góp phần củng cố tổng thể an ninh mạng.
# Cấu hình vSphere Lockdown Mode (thực hiện qua vCenter UI hoặc PowerCLI)
Get-VMHost | ForEach-Object {
Set-VMHostAdvancedConfiguration -VMHost $_ -Name UserVars.ESXiShellInteractiveTimeOut -Value 300
Set-VMHostAdvancedConfiguration -VMHost $_ -Name UserVars.ESXiShellTimeOut -Value 300
# Kích hoạt Lockdown Mode
Set-VMHost -VMHost $_ -State LockedDown
}Phản ứng nhanh và Tích hợp SIEM
Bằng cách tương quan nhật ký trên Active Directory, vCenter và ESXi được chuyển tiếp đến các nền tảng SIEM, các nhà bảo vệ có thể tạo ra các cảnh báo có độ tin cậy cao để can thiệp sớm, biến các sự cố hệ thống bị xâm nhập tiềm tàng thành các sự cố có thể được ngăn chặn. Sự chuyển đổi từ săn lùng phản ứng sang củng cố hạ tầng là điều cần thiết, vì tốc độ và khả năng tàng hình của UNC3944 khiến thời gian tồn tại (dwell time) của chúng ở mức tối thiểu, đòi hỏi hành động ngay lập tức đối với các mẫu đáng ngờ để ngăn chặn việc trích xuất và mã hóa dữ liệu. Khi các phương pháp này trở nên phổ biến, việc ưu tiên các biện pháp phòng thủ ảo hóa được củng cố sẽ rất quan trọng để bảo vệ tài sản của tổ chức chống lại các mối đe dọa an ninh mạng đang phát triển.
