Một lời nhắc lừa đảo duy nhất là tất cả những gì kẻ tấn công cần để có được chỗ đứng bên trong một tổ chức, lan rộng ra hơn 11 hệ thống và triển khai hai công cụ truy cập từ xa riêng biệt trước khi bị phát hiện. Một chiến dịch mới sử dụng kỹ thuật ClickFix đã cho thấy sự nguy hiểm tiềm tàng của một khoảnh khắc lơ là, có thể dẫn đến cuộc tấn công mạng quy mô lớn.
Chiến dịch Tấn công ClickFix: Phương thức Hoạt động
Kỹ thuật ClickFix là một dạng tấn công kỹ thuật xã hội, trong đó kẻ tấn công trình bày một hướng dẫn khắc phục sự cố giả mạo trên một trang web đã bị xâm phạm. Lời nhắc này thường yêu cầu người dùng thực hiện một hành động cụ thể, chẳng hạn như nhấn tổ hợp phím Win+R, dán một lệnh vào hộp thoại Run của Windows và nhấn Enter.
Sự tinh vi của phương thức này nằm ở việc nó khai thác tâm lý tin tưởng vào các hướng dẫn rõ ràng và có thẩm quyền. Kẻ tấn công dựa vào việc người dùng sẽ tuân theo các chỉ dẫn này mà không nghi ngờ, dẫn đến việc vô tình thực thi các lệnh độc hại.
Khai thác pcalua.exe và mshta.exe
Cuộc tấn công ban đầu bắt đầu khi người dùng truy cập một trang web bị xâm phạm và chạy một lệnh sử dụng pcalua.exe, một tiện ích hợp pháp của Windows. Tiện ích này được lạm dụng để chuyển tiếp lệnh thực thi tệp HTA (HTML Application) từ xa thông qua mshta.exe.
Tệp HTA này sau đó sẽ âm thầm tải xuống và cài đặt một gói MSI (Microsoft Installer) mà không có bất kỳ dấu hiệu trực quan nào cho người dùng. Gói MSI này chứa một bộ tải (loader) tùy chỉnh, được các nhà nghiên cứu đặt tên là Potemkin.
Potemkin sau đó kết nối đến một máy chủ chỉ huy và kiểm soát (C2), tải một công cụ truy cập từ xa đầy đủ tính năng có tên RMMProject vào bộ nhớ mà không ghi ra đĩa. Điều này giúp phát hiện tấn công trở nên khó khăn hơn.
Trong một diễn biến riêng biệt, kẻ tấn công triển khai EtherRAT, một backdoor được viết bằng Node.js. EtherRAT có khả năng lấy địa chỉ máy chủ C2 từ blockchain Ethereum, khiến việc triệt phá thông qua các phương pháp truyền thống như thu hồi tên miền trở nên cực kỳ khó khăn.
Potemkin Loader và RMMProject: Công cụ Tấn công Tinh vi
Potemkin là một bộ tải (loader) được thiết kế tối giản, có mục đích cụ thể. Nó tích hợp một Thuật toán Phát sinh Tên miền (DGA) có khả năng tạo ra 10.000 tên miền ứng viên từ một danh sách từ có sẵn và dò tìm từng tên miền cho đến khi tìm thấy một máy chủ hoạt động.
Sau khi thiết lập kết nối, nhiệm vụ duy nhất của Potemkin là tải và thực thi RMMProject một cách phản xạ (reflective loading). RMMProject là một tệp DLL dung lượng 4.4 MB, cung cấp 15 loại tác vụ khác nhau, bao gồm đánh cắp thông tin đăng nhập trình duyệt, đánh cắp cookie trên Chrome, Firefox và Edge, một mô-đun máy tính từ xa ẩn và khả năng tiêm mã vào tiến trình khác (process injection).
Kiểm soát Hệ thống và Vô hiệu hóa Bảo mật
Sau khoảng năm giờ, kẻ tấn công đã triển khai EtherRAT và thiết lập một đường hầm Cloudflare bằng cách sử dụng một bản sao được đổi tên của cloudflared. Điều này đảm bảo quyền truy cập ổn định và có thể tiếp cận từ internet bên trong mạng lưới của nạn nhân, tạo điều kiện cho xâm nhập mạng sâu hơn.
Khi đã kiểm soát được hệ thống, một người điều hành đã thực hiện kiểm soát trực tiếp và bắt đầu di chuyển trong mạng theo cách thủ công. Kẻ tấn công đã sử dụng thông tin đăng nhập quản trị viên bị xâm phạm, thực hiện các bước thu thập thông tin tình báo phù hợp với bộ công cụ Impacket và di chuyển ngang sang bộ điều khiển miền (domain controller) thông qua WMIExec và SMBExec.
Mục tiêu chính là lan truyền EtherRAT ra càng nhiều máy chủ càng tốt, đồng thời thiết lập nhiều đường dự phòng (fallback paths) để duy trì sự hiện diện.
Vượt qua Windows Defender
Kẻ tấn công đã nỗ lực đáng kể để vô hiệu hóa Windows Defender trong suốt phiên tấn công. Chúng liên tục áp dụng các bản vá AMSI (Antimalware Scan Interface), ghi chính sách vào registry, thực hiện tải mã vào bộ nhớ và lạm dụng các đường dẫn loại trừ trước khi tiến hành dừng hoàn toàn dịch vụ Defender.
Một shell đảo ngược (reverse shell) trên cổng 43301 và nhiều đường hầm SOCKS của Chisel đã cung cấp cho kẻ tấn công khả năng duy trì quyền truy cập phân lớp, có thể tồn tại ngay cả khi một số cơ chế phát hiện bị kích hoạt. Điều này cho thấy rủi ro bảo mật ngày càng tăng khi các công cụ tấn công trở nên tinh vi hơn.
Các Chỉ số Gây Compromise (IoCs) và Khuyến nghị
Các chỉ số IoC từ chiến dịch này bao gồm các địa chỉ IP và tên miền sau (được làm mờ để tránh phân giải hoặc tạo liên kết ngoài ý muốn):
cl.distritovagas[.]com
Lưu ý: Địa chỉ IP và tên miền nên được xử lý cẩn thận trong các nền tảng tình báo mối đe dọa như MISP, VirusTotal hoặc SIEM của bạn.
Các Hành động Phòng ngừa và Phát hiện
Các nhà nghiên cứu đã đưa ra một số khuyến nghị quan trọng để các tổ chức có thể thực hiện nhằm giảm thiểu rủi ro từ các cuộc tấn công tương tự:
- Kiểm tra phạm vi giám sát điểm cuối: Các tổ chức cần ngay lập tức kiểm tra lại xem tất cả các điểm cuối quan trọng đều đã được cài đặt tác nhân giám sát. Toàn bộ cuộc xâm nhập này bắt nguồn từ một máy không có tác nhân giám sát nào được cài đặt.
- Vô hiệu hóa Hộp thoại Run của Windows: Việc vô hiệu hóa hộp thoại Run của Windows thông qua Group Policy sẽ loại bỏ điểm vào ban đầu của cuộc tấn công ClickFix, vì nó phụ thuộc vào việc người dùng dán lệnh vào hộp thoại này.
- Giám sát các Tín hiệu Đáng ngờ: Các nhóm bảo mật nên cảnh báo về các tiến trình
cloudflaredhoặc các bản sao được đổi tên của nó trên các điểm cuối. Đồng thời, coi việc dừng dịch vụWinDefendcùng với các lệnhAdd-MpPreferenceđể thêm các đường dẫn loại trừ số lượng lớn là các tín hiệu đe dọa có độ tin cậy cao.
Việc hiểu rõ cách thức hoạt động của các kỹ thuật tấn công mới nổi như ClickFix và triển khai các biện pháp phòng ngừa phù hợp là yếu tố then chốt để bảo vệ hệ thống trước các mối đe dọa mạng ngày càng tinh vi.
Tham khảo thêm thông tin chi tiết về cuộc tấn công này tại báo cáo của Huntress: Potemkin Loader, RMMProject, and the ClickFix Attack.
