Chiến Dịch Phishing APT29 Năm 2024: Phân Tích Kỹ Thuật và TTPs
Chiến dịch phishing mới nhất của APT29 (hay còn gọi là Cozy Bear) vào năm 2024 đã cho thấy sự tái sử dụng các exploit và cơ sở hạ tầng tinh vi nhằm vào các mục tiêu chiến lược. Bài viết này cung cấp cái nhìn chi tiết về các lỗ hổng, kỹ thuật tấn công (TTPs), và cơ sở hạ tầng được sử dụng trong chiến dịch, hỗ trợ các đội ngũ SOC và IR trong việc phân tích và ứng phó với mối đe dọa này.
Các Lỗ Hổng và Exploit Được Sử Dụng
APT29 đã tái sử dụng các exploit từ các công ty giám sát thương mại (Commercial Surveillance Vendors – CSVs) như NSO Group và Intellexa, nhắm đến cả thiết bị iOS và người dùng Android thông qua Google Chrome:
- iOS Exploit: Lỗ hổng CVE-2021-1879 được khai thác để đánh cắp các cookie xác thực từ các nền tảng như LinkedIn, Gmail và Facebook.
- Chrome Exploit Chain: Nhắm đến người dùng Android thông qua một cuộc tấn công watering hole trên trang web
mfa.gov.mnvào cuối tháng 7/2024. Chuỗi exploit này bao gồm một kỹ thuật sandbox escape để vượt qua cơ chế site isolation của Chrome.
Cả hai exploit đều tận dụng các lỗ hổng n-day, vốn từng được sử dụng như zero-day bởi các nhà cung cấp giám sát thương mại trước đây, nhằm mục đích đánh cắp thông tin xác thực.
Kỹ Thuật Tấn Công và TTPs
APT29 đã áp dụng một loạt kỹ thuật tiên tiến trong chiến dịch này:
- Sử dụng obfuscated JavaScript để nhúng các iframe độc hại vào trang web mục tiêu.
- Tận dụng giao thức trao đổi khóa Elliptic Curve Diffie-Hellman (ECDH) để mã hóa dữ liệu trong các giai đoạn tấn công.
- Lưu trữ thông tin trạng thái client-side bằng indexedDB, sử dụng các định danh duy nhất (unique identifiers) xuyên suốt các giai đoạn chiến dịch.
Chi Tiết Cơ Sở Hạ Tầng Tấn Công
Rogue RDP Attacks
APT29 đã sử dụng các email spear-phishing chứa tệp cấu hình .RDP độc hại, trong đó tích hợp công cụ PyRDP hoạt động như một proxy man-in-the-middle (MITM). Proxy này chuyển hướng kết nối đến các máy chủ rogue do kẻ tấn công kiểm soát.
Các Lớp Ẩn Danh (Anonymization Layers)
Để che giấu nguồn gốc tấn công, APT29 đã triển khai các lớp ẩn danh sau:
- Dịch vụ VPN thương mại.
- Các exit node của mạng TOR.
- Các nhà cung cấp dịch vụ proxy dân cư (residential proxy).
Cơ Sở Hạ Tầng Mạng
Chiến dịch sử dụng một mạng lưới rộng lớn để triển khai tấn công:
- Hơn 200 địa chỉ IP VPS được sử dụng.
- 34 máy chủ rogue RDP được triển khai trong các chiến dịch.
Phương Thức Gửi Email
Các email spear-phishing được gửi qua các máy chủ email bị xâm nhập, kết hợp với proxy và VPN để che giấu dấu vết.
Malware và Công Cụ Được Sử Dụng
Các công cụ và malware chính được ghi nhận trong chiến dịch bao gồm:
- PyRDP: Công cụ proxy MITM dùng để chặn các phiên RDP.
- RogueRDP: Công cụ tự động tạo các tệp RDP độc hại với giao diện thuyết phục.
Mục Tiêu và Đối Tượng Tấn Công
Chiến dịch nhắm đến các đối tượng cụ thể với mục tiêu chiến lược:
- Các quan chức chính phủ từ các quốc gia Tây Âu, bị tấn công qua nhắn tin LinkedIn với các liên kết độc hại trong các chiến dịch trước đó (tháng 3/2021).
- Người dùng Android, bị nhắm đến qua các cuộc tấn công watering hole khai thác lỗ hổng Chrome vào giữa và cuối năm 2024.
Tóm Tắt Các Điểm Chính
Dưới đây là các thông tin cốt lõi về chiến dịch phishing APT29 năm 2024:
- APT29 tái sử dụng exploit iOS (CVE-2021-1879) để đánh cắp cookie từ LinkedIn, Gmail và Facebook.
- Cuộc tấn công watering hole trên
mfa.gov.mnkhai thác lỗ hổng Chrome, bao gồm kỹ thuật sandbox escape. - Sử dụng obfuscated JavaScript để nhúng iframe độc hại; trao đổi khóa ECDH để mã hóa; lưu trữ thông tin client-side bằng indexedDB.
- Spear-phishing với tệp .RDP tích hợp PyRDP MITM proxy, chuyển hướng kết nối đến máy chủ rogue.
- Cơ sở hạ tầng ẩn danh gồm VPN thương mại, exit node TOR, và proxy dân cư; sử dụng hơn 200 IP VPS và 34 máy chủ rogue RDP.
- Email spear-phishing được gửi qua máy chủ email bị xâm nhập, kết hợp proxy và VPN.
- Công cụ liên quan: PyRDP và RogueRDP.
Bài viết này cung cấp thông tin kỹ thuật cần thiết để các chuyên gia bảo mật và đội ngũ SOC/IR có thể phân tích và xây dựng biện pháp ứng phó với các TTPs của APT29 trong chiến dịch phishing năm 2024. Nếu phát hiện dấu hiệu tương tự trong hệ thống, việc kiểm tra các Indicators of Compromise (IOCs) và cập nhật quy trình phòng thủ là điều cần thiết.
