Bí mật Dragon RaaS: Mối đe dọa mạng lưới bất ngờ

21/03/2025
1 mins read
Nội dung
Tổng quan về Dragon RaaS
Các phương pháp truy cập ban đầu và khai thác
Các kỹ thuật tiên tiến
Chi tiết kỹ thuật
Khuyến nghị thực tế

Tổng quan về Dragon RaaS

  • Sự xuất hiện: Dragon RaaS là một hoạt động Ransomware-as-a-Service (RaaS) tinh vi đã nổi lên như một nhân tố quan trọng trong băng nhóm tội phạm “Năm Gia Đình”.
  • Nguồn gốc: Đây là một nhánh của nhóm Stormous thân Nga, nhóm này đã nổi tiếng với việc nhắm vào các tổ chức bị coi là thù địch với Nga.
  • Hoạt động: Dragon RaaS tự quảng bá là một hoạt động RaaS tinh vi nhưng các cuộc tấn công của nhóm thường tập trung vào việc chỉnh sửa và tấn công cơ hội thay vì tống tiền quy mô lớn.

Các phương pháp truy cập ban đầu và khai thác

  • Khai thác lỗ hổng: Dragon RaaS khai thác các lỗ hổng trong các ứng dụng đối mặt công cộng, bao gồm các lỗ hổng trong các chủ đề và plugin của WordPress.
  • Các cuộc tấn công brute-force: Nhóm cũng sử dụng các cuộc tấn công vào thông tin đăng nhập và lợi dụng các thông tin đăng nhập đã bị xâm phạm từ nhật ký đánh cắp thông tin.
  • Triển khai webshell: Khi đã truy cập, Dragon RaaS triển khai một PHP webshell cho phép truy cập ngược và chức năng tống tiền bền bỉ.

Các kỹ thuật tiên tiến

  • Khung C2 tùy chỉnh: Các thành viên Dragon sử dụng một khung chỉ huy và kiểm soát (C2) được xây dựng tùy chỉnh với thuật toán DNS tunneling để tránh sự giám sát an ninh mạng truyền thống.
  • Kỹ thuật Living-Off-The-Land: Nhóm sử dụng các kỹ thuật này kết hợp với các phương pháp che giấu mới để không bị phát hiện trong các môi trường đã bị xâm nhập.
  • Rò rỉ dữ liệu: Trong thời gian này, các nhà điều hành xâm nhập dữ liệu nhạy cảm để gây áp lực tống tiền.

Chi tiết kỹ thuật

Chuỗi khai thác bắt đầu với một yêu cầu HTTP được định dạng đặc biệt, gây ra sự cố bộ nhớ trong mô-đun xác thực, giúp vượt qua các biện pháp bảo mật.

Khuyến nghị thực tế

  • Biện pháp an ninh: Để bảo vệ chống lại Dragon RaaS và các nhóm tương tự, các tổ chức nên ưu tiên bảo vệ các ứng dụng đối mặt công cộng bằng cách thường xuyên cập nhật và vá lỗi dịch vụ như WordPress và cPanel.
  • Thực hiện các chính sách mật khẩu mạnh, bao gồm xác thực đa yếu tố cũng rất quan trọng.
  • Triển khai các giải pháp bảo mật điểm cuối tiên tiến có thể giúp phát hiện và ngăn chặn các phương pháp độc hại của các nhóm này.
Tags