Một chiến dịch an ninh mạng tinh vi đã được Arctic Wolf phát hiện, sử dụng các kỹ thuật đầu độc tối ưu hóa công cụ tìm kiếm (SEO poisoning) và quảng cáo độc hại (malvertising) để phát tán các phiên bản bị Trojan hóa (Trojanized) của các công cụ IT phổ biến như PuTTY và WinSCP. Chiến dịch này nhắm mục tiêu một cách khéo léo vào các chuyên gia IT và quản trị viên hệ thống, những cá nhân thường xuyên dựa vào các công cụ này để truyền tải tệp an toàn và quản lý hệ thống từ xa.
Bằng cách thao túng kết quả công cụ tìm kiếm và đặt các quảng cáo tài trợ độc hại trên các nền tảng như Bing, các tác nhân đe dọa đã tạo ra một mạng lưới lừa đảo gồm các trang web giả mạo, bắt chước các nguồn hợp pháp. Người dùng không nghi ngờ tải xuống từ các trang web lừa đảo này vô tình cài đặt phần mềm độc hại, gây ra rủi ro đáng kể cho cả hệ thống cá nhân và an ninh tổ chức.
Cơ chế tấn công
Cơ chế của cuộc tấn công này vừa tinh vi vừa lén lút. Các trang web độc hại lưu trữ các trình cài đặt PuTTY và WinSCP bị Trojan hóa. Khi được thực thi, các trình cài đặt này triển khai một cửa hậu (backdoor) được xác định là Oyster hoặc Broomstick. Cửa hậu này cấp cho kẻ tấn công quyền truy cập trái phép vào hệ thống bị xâm nhập, có khả năng dẫn đến đánh cắp dữ liệu, di chuyển ngang (lateral movement) trong mạng, hoặc triển khai thêm phần mềm độc hại.
Các tác nhân đe dọa sử dụng đầu độc SEO và quảng cáo độc hại để đưa các trang web giả mạo lên đầu kết quả tìm kiếm cho các từ khóa liên quan đến PuTTY và WinSCP. Khi người dùng tìm kiếm các công cụ này, họ có thể nhấp vào các liên kết độc hại do tin rằng đó là các trang web chính thức hoặc đáng tin cậy. Sau khi truy cập, các trang web này cung cấp các trình cài đặt có vẻ hợp pháp nhưng thực chất đã bị sửa đổi để chứa mã độc.
Khai thác thông qua các công cụ IT bị Trojan hóa
Khi một người dùng tải xuống và chạy trình cài đặt PuTTY hoặc WinSCP bị Trojan hóa, phần mềm độc hại được nhúng sẽ tự động triển khai trên hệ thống. Trình cài đặt này được thiết kế để hoạt động giống như một trình cài đặt hợp pháp của công cụ, nhưng đồng thời, nó thực hiện các hành động độc hại trong nền mà người dùng không hề hay biết. Cửa hậu Oyster hoặc Broomstick chính là thành phần chính được cài đặt, cho phép kẻ tấn công thiết lập một kênh liên lạc bí mật với hệ thống bị xâm nhập.
Khả năng truy cập trái phép này cho phép kẻ tấn công thực hiện nhiều hoạt động độc hại, bao gồm:
- Thu thập thông tin nhạy cảm: Truy xuất thông tin đăng nhập, dữ liệu cá nhân hoặc dữ liệu kinh doanh quan trọng.
- Thực thi lệnh từ xa: Chạy các lệnh tùy ý trên hệ thống bị nhiễm, cho phép kẻ tấn công kiểm soát hoàn toàn.
- Di chuyển ngang: Sử dụng hệ thống bị xâm nhập làm bàn đạp để tiếp cận các hệ thống khác trong mạng.
- Triển khai phần mềm độc hại bổ sung: Cài đặt các loại mã độc khác như ransomware, keylogger, hoặc các công cụ gián điệp khác.
Cơ chế duy trì quyền truy cập (Persistence)
Để đảm bảo duy trì quyền truy cập trên hệ thống bị xâm nhập, phần mềm độc hại sử dụng một kỹ thuật tinh vi bằng cách tạo một tác vụ định kỳ (scheduled task). Tác vụ này được cấu hình để thực thi một cách định kỳ, cụ thể là cứ ba phút một lần. Điều này đảm bảo rằng ngay cả khi hệ thống khởi động lại hoặc một số quy trình độc hại bị chấm dứt, phần mềm độc hại vẫn có thể tự khởi chạy lại và duy trì sự hiện diện của nó.
Cơ chế duy trì quyền truy cập này khai thác một tệp DLL độc hại có tên twain_96.dll. Tệp DLL này được thực thi thông qua tiện ích hệ thống hợp pháp rundll32.exe, sử dụng kỹ thuật gọi hàm xuất DllRegisterServer. Đây là một phương pháp lạm dụng quá trình đăng ký DLL để duy trì chỗ đứng trên hệ thống bị nhiễm.
Chi tiết về kỹ thuật này:
Lệnh thực thi cơ bản có thể tương tự như sau (mặc dù đường dẫn và tên tệp có thể thay đổi):
rundll32.exe C:\Windows\System32\twain_96.dll,DllRegisterServerrundll32.exe: Là một tiện ích hợp pháp của Windows được sử dụng để chạy các hàm xuất từ các thư viện liên kết động (DLL). Kẻ tấn công lợi dụng tiện ích này để ngụy trang hoạt động độc hại, làm cho nó khó bị phát hiện hơn bởi các giải pháp bảo mật chỉ tập trung vào các tiến trình lạ.twain_96.dll: Là tệp DLL độc hại chứa mã của cửa hậu Oyster hoặc Broomstick. Tên tệp có thể được chọn để bắt chước các tệp hệ thống hợp pháp hoặc các tệp liên quan đến phần mềm thông thường, nhằm mục đích đánh lừa người dùng và hệ thống phòng thủ.DllRegisterServer: Đây là một hàm xuất tiêu chuẩn trong các tệp DLL thường được sử dụng để đăng ký các đối tượng COM (Component Object Model) hoặc ActiveX trên hệ thống. Khi được gọi, hàm này sẽ thực thi mã của nó, mà trong trường hợp này là mã độc của cửa hậu. Việc lạm dụngDllRegisterServercho phép phần mềm độc hại tự động khởi chạy mà không cần tạo một tiến trình mới rõ ràng, làm cho việc phát hiện trở nên khó khăn hơn.
Mặc dù chỉ PuTTY và WinSCP được xác nhận là mục tiêu trong chiến dịch này, Arctic Wolf cảnh báo rằng các công cụ IT khác cũng có thể bị vũ khí hóa trong các cuộc tấn công tương tự, kêu gọi tăng cường cảnh giác trên diện rộng.
Phạm vi ảnh hưởng và khuyến nghị bảo mật
Ý nghĩa của chiến dịch này rất sâu rộng, đặc biệt đối với các môi trường IT nơi sự tin cậy vào các công cụ như PuTTY và WinSCP là tối quan trọng. Một hệ thống bị nhiễm duy nhất có thể trở thành điểm xâm nhập cho sự thỏa hiệp mạng rộng lớn hơn, khiến các tổ chức phải hành động nhanh chóng.
Arctic Wolf khuyến nghị mạnh mẽ rằng các đội ngũ IT và người dùng nên tránh dựa vào các công cụ tìm kiếm để tải xuống các công cụ quản trị. Thay vào đó, phần mềm nên được lấy độc quyền từ các kho lưu trữ nội bộ đã được kiểm duyệt hoặc trực tiếp từ các trang web chính thức của nhà cung cấp. Thực hành này giảm đáng kể nguy cơ trở thành nạn nhân của đầu độc SEO và quảng cáo độc hại dẫn đến các bản tải xuống bị Trojan hóa.
Thêm vào đó, các tổ chức được khuyến nghị giáo dục nhân viên của mình, đặc biệt là nhân sự IT, về những nguy hiểm của các nguồn tải xuống không được xác minh và thực hiện các chính sách nghiêm ngặt về việc mua sắm phần mềm. Đây là một phần quan trọng của vệ sinh an ninh mạng tổng thể, nhằm xây dựng một ý thức cảnh giác và thói quen bảo mật an toàn cho toàn bộ nhân viên.
Một số biện pháp phòng thủ chủ động quan trọng bao gồm:
- Xác minh nguồn tải xuống: Luôn tải phần mềm từ các trang web chính thức của nhà cung cấp (ví dụ: putty.org, winscp.net) hoặc từ các kho lưu trữ phần mềm nội bộ đã được kiểm tra và phê duyệt. Tránh các liên kết quảng cáo hoặc kết quả tìm kiếm không rõ ràng.
- Sử dụng giải pháp bảo mật nâng cao: Triển khai các hệ thống bảo vệ điểm cuối (Endpoint Protection Platforms – EPP) và các giải pháp phát hiện và phản hồi điểm cuối (Endpoint Detection and Response – EDR) để theo dõi hành vi đáng ngờ của các tiến trình và tệp, đặc biệt là các tiến trình liên quan đến
rundll32.exevà các DLL không rõ nguồn gốc. - Giám sát mạng: Thực hiện giám sát lưu lượng mạng để phát hiện các kết nối bất thường từ các hệ thống nội bộ đến các máy chủ điều khiển và kiểm soát (Command and Control – C2) của kẻ tấn công.
- Cập nhật phần mềm định kỳ: Đảm bảo tất cả phần mềm hệ điều hành và ứng dụng, bao gồm cả các công cụ IT, được cập nhật thường xuyên để vá các lỗ hổng đã biết.
- Đào tạo và nâng cao nhận thức: Tổ chức các buổi đào tạo định kỳ cho nhân viên về các mối đe dọa kỹ thuật xã hội, nhận diện lừa đảo và tầm quan trọng của việc tuân thủ các chính sách bảo mật nội bộ.
Chiến dịch này như một lời nhắc nhở rõ ràng về các chiến thuật ngày càng phát triển được sử dụng bởi tội phạm mạng và nhu cầu cấp thiết về vệ sinh an ninh mạng mạnh mẽ trong bối cảnh kỹ thuật số ngày nay.
