Các đối tượng tội phạm mạng ngày càng tăng cường sử dụng hạ tầng đám mây đáng tin cậy, bao gồm Amazon Web Services, Google Cloud, Microsoft Azure, Cloudflare và GitHub, để che giấu lưu lượng độc hại. Điều này giúp chúng tránh bị phát hiện và duy trì các hoạt động Command and Control (C2) kéo dài. Sự lạm dụng này là một thách thức lớn trong bối cảnh các cuộc tấn công mạng ngày càng tinh vi.
Chiến Thuật Lạm Dụng Hạ Tầng Đám Mây
Một cuộc điều tra threat intelligence gần đây đã chỉ ra mức độ sâu rộng của việc lạm dụng này trong chuỗi tấn công hiện đại. Các dịch vụ hợp pháp đang bị biến thành lá chắn cho hoạt động của các tác nhân độc hại.
Kỹ Thuật Che Giấu và Né Tránh Phát Hiện
Các tác nhân độc hại khai thác sự phổ biến của các dịch vụ đám mây lớn để hòa lẫn vào lưu lượng mạng thông thường. Phương pháp này gây khó khăn đáng kể cho các hệ thống bảo mật dựa trên danh tiếng truyền thống.
Giao thức HTTPS trên cổng 443 được sử dụng rộng rãi, giúp lưu lượng C2 ngụy trang thành các hoạt động hợp lệ của doanh nghiệp. Điều này là một yếu tố quan trọng trong chiến thuật ẩn mình của kẻ tấn công.
Phát Hiện Tấn Công Mạng qua JA3S Fingerprint
Một trong những phát hiện đáng báo động nhất xuất phát từ truy vấn dấu vân tay JA3S TLS. Dấu vân tay này nhắm mục tiêu vào hash 1af33e1657631357c73119488045302c, một chữ ký thường liên quan đến Cobalt Strike beacons.
Phân Tích Hoạt Động C2 của Cobalt Strike
Các nhà phân tích đã truy vấn hash này và phát hiện hơn 1.000 sự kiện hệ thống. Các sự kiện này chủ yếu liên quan đến các tiến trình gốc của Windows như slui.exe, svchost.exe và việc lạm dụng PowerShell theo kiểu Living-off-the-Land Binary (LOLBin).
Hầu hết mọi liên lạc đều được định tuyến qua cổng 443 (HTTPS). Điều này cho phép lưu lượng độc hại hòa trộn vào giao thông doanh nghiệp bình thường.
Hạ tầng C2 liên quan đến dấu vân tay JA3S này được tìm thấy trên Microsoft, GitHub, Google, Amazon và Cloudflare. Việc sử dụng có chủ đích các nền tảng uy tín này khiến việc chặn dựa trên danh tiếng trở nên không hiệu quả.
Tầm Quan Trọng của JA3S Fingerprinting
Dấu vân tay JA3S cung cấp một điểm neo hành vi bền vững, ngay cả khi kẻ tấn công thay đổi tên miền và địa chỉ IP. Đây là một kỹ thuật mạnh mẽ để theo dõi tính liên tục của hạ tầng C2.
Việc phát hiện hash JA3S này trong dữ liệu từ xa mạng cần được coi là một chỉ số mạnh mẽ của nhiễm Cobalt Strike. Nó cần kích hoạt ngay lập tức các quy trình tương quan điểm cuối và phản ứng sự cố để phát hiện xâm nhập.
Bạn có thể tìm hiểu thêm về các chiến thuật làm giàu ngữ cảnh để phát hiện mối đe dọa tại CybersecurityNews.
Các Chiến Dịch Lừa Đảo (Phishing) và BEC Tinh Vi
Cuộc điều tra cũng hé lộ các chiến dịch lừa đảo đang hoạt động nhắm vào các tổ chức. Kẻ tấn công đang tận dụng các tên miền phụ của các dịch vụ được công nhận toàn cầu cùng với các tên miền độc hại.
Lợi Dụng Tên Miền Phụ cho Lừa Đảo
Việc sử dụng hạ tầng được lưu trữ toàn cầu có hai mục đích chính. Thứ nhất, nó mang lại cho các cuộc tấn công mạng vẻ ngoài hợp pháp. Thứ hai, nó cản trở việc gỡ bỏ tên miền độc hại.
Các đội bảo mật nên đặc biệt cảnh giác với các email chứa liên kết được lưu trữ trên các tên miền phụ của các dịch vụ đám mây phổ biến. Sự cảnh giác này là cần thiết để tránh các rủi ro bảo mật.
Chiến Dịch BEC và Lợi Dụng Amazon S3
Bên cạnh đó, các chiến dịch Business Email Compromise (BEC) đã được phát hiện triển khai các tệp PDF hóa đơn giả mạo. Các tệp này, có tên invoice.pdf và pagamento.pdf, được lưu trữ trên các Amazon S3 buckets.
Những tệp này đóng vai trò là vector lây nhiễm cho các hoạt động gian lận tài chính. Phát hiện này khẳng định rằng lưu trữ đám mây hợp pháp hiện là điểm tập kết ưa thích cho việc phân phối tải trọng ban đầu của các cuộc tấn công mạng.
IOCs và Phương Pháp Săn Lùng Mối Đe Dọa
Các hash tệp từ những mẫu này cung cấp các Chỉ số Thỏa hiệp (IOCs) có thể hành động để chặn và phát hiện. Việc thu thập và phân tích threat intelligence là vô cùng quan trọng.
Chỉ Số Thỏa Hiệp (IOCs) Đã Phát Hiện
- JA3S Hash:
1af33e1657631357c73119488045302c(liên quan đến Cobalt Strike) - Tên tệp giả mạo:
invoice.pdf,pagamento.pdf - Các tên miền cấp cao nhất (TLDs) có rủi ro cao:
.top,.shop,.cc - Tiến trình Windows bị lạm dụng (LOLBin):
slui.exe,svchost.exe,powershell.exe - Cổng liên lạc C2:
443 (HTTPS)
Chiến Lược Tấn Công Đa Lớp
Một truy vấn săn lùng dựa trên hành vi kết hợp định vị địa lý IP, phân loại trojan Suricata và giao tiếp cổng 443 đã đưa ra một hệ sinh thái đa dạng của lưu lượng độc hại. Lưu lượng này được cố tình ngụy trang thành hoạt động web mã hóa thông thường.
Chiến lược tấn công đa lớp này, sử dụng nhiều dịch vụ hợp pháp qua các cổng khác nhau cho giao tiếp và dự phòng, cho thấy cách kẻ tấn công xây dựng khả năng phục hồi trực tiếp vào hạ tầng của chúng.
Tên Miền Cấp Cao Nhất Nguy Hiểm (.top)
TLD .top nổi lên như một không gian tên miền đặc biệt nguy hiểm. Các tên miền Domain Generation Algorithm (DGA) được tạo bằng thuật toán đã được phân loại là độc hại trên quy mô lớn.
Các tên miền này thường xuyên sử dụng lưu trữ WinRAR để phân phối tải trọng và sử dụng dịch vụ Cloudflare để che giấu vị trí máy chủ thực. Do khối lượng hoạt động độc hại cực kỳ cao liên quan đến .top, nhiều tổ chức hiện đang chủ động chặn toàn bộ TLD này tại chu vi mạng.
Khuyến Nghị Bảo Mật và Phản Ứng
Đối với các đội SOC và các nhà săn lùng mối đe dọa, nghiên cứu này nhấn mạnh một số yêu cầu quan trọng. Các truy vấn săn lùng đa tham số kết hợp dấu vân tay JA3S, định vị địa lý đích, phân loại Suricata và các mẫu đường dẫn tệp sẽ vượt trội đáng kể so với các tìm kiếm IOC đơn lẻ.
Triển Khai Quy Tắc Phát Hiện Nâng Cao
Các quy tắc phát hiện nhắm mục tiêu vào hash JA3S đã xác định, hành vi C2 dựa trên HTTPS và các TLD có rủi ro cao như .top, .shop và .cc cần được triển khai ngay lập tức để phát hiện xâm nhập hiệu quả.
Việc tích hợp kết quả từ các nguồn threat intelligence vào các nền tảng SIEM/SOAR có thể tự động hóa việc tương quan mối đe dọa và giảm gánh nặng cho các nhà phân tích. Điều này giúp tăng cường khả năng phản ứng trước các tấn công mạng.
Tăng Cường An Ninh Mạng Toàn Diện
Ở cấp độ tổ chức, việc lạm dụng rộng rãi hạ tầng đáng tin cậy từ Microsoft, Google và Amazon chứng tỏ rằng danh tiếng thương hiệu không còn đảm bảo an toàn mạng. Một chiến lược bảo mật mạng toàn diện là cần thiết.
Việc áp dụng tư thế Zero Trust, đầu tư vào phát hiện dựa trên sandbox nâng cao và giáo dục các đội tài chính về rủi ro BEC và lừa đảo không còn là tùy chọn nữa. Chúng là những yêu cầu cơ bản để có khả năng phục hồi trong một bối cảnh mối đe dọa mà vũ khí đáng tin cậy nhất của kẻ tấn công lại chính là nền tảng đám mây mà doanh nghiệp của bạn đã tin tưởng.
