Destiny Stealer: Mối đe dọa nguy hiểm đánh cắp dữ liệu

Destiny Stealer: Mối đe dọa nguy hiểm đánh cắp dữ liệu

Hoạt động của Destiny Stealer đang gia tăng tại Châu Âu và Hoa Kỳ, đe dọa các tài khoản doanh nghiệp, truy cập từ xa, dữ liệu email và thông tin kinh doanh nhạy cảm. Một điểm cuối bị nhiễm có thể làm lộ mật khẩu, cookie phiên, chi tiết VPN, dữ liệu Outlook, ví tiền điện tử, cấu hình Wi-Fi và ảnh chụp màn hình desktop. Đây là một mối đe dọa mạng nghiêm trọng cần được quan tâm ngay lập tức.

Tác động và Rủi ro của Destiny Stealer

Đối với các lãnh đạo an ninh, mối quan ngại lớn nhất là sự chậm trễ trong việc phát hiện. Một số mẫu phân tích không có phát hiện trên VirusTotal hoặc không rõ nguồn gốc vào thời điểm phân tích, làm tăng nguy cơ đánh cắp thông tin đăng nhập dẫn đến chiếm đoạt tài khoản, gian lận hoặc một sự cố bảo mật rộng hơn trước khi Trung tâm Điều hành An ninh (SOC) có thể phản ứng.

Destiny Stealer được thiết kế để thu thập nhiều loại dữ liệu nhạy cảm từ một thiết bị bị nhiễm. Điều này có thể làm lộ nhiều hơn là chỉ một tài khoản nhân viên duy nhất.

Dữ liệu mà Destiny Stealer có thể đánh cắp:

  • Mật khẩu
  • Cookie phiên
  • Chi tiết VPN
  • Dữ liệu Outlook
  • Ví tiền điện tử
  • Hồ sơ Wi-Fi
  • Ảnh chụp màn hình desktop

Đối với các tổ chức, điều này tạo ra nhiều con đường tiềm năng để bị xâm phạm thêm. Các cookie bị đánh cắp có thể giúp kẻ tấn công vượt qua các biện pháp kiểm soát đăng nhập, dữ liệu VPN có thể làm lộ quyền truy cập nội bộ và thông tin email có thể hỗ trợ gian lận hoặc tấn công email doanh nghiệp (BEC).

Hậu quả có thể bao gồm chiếm đoạt tài khoản, lộ lọt dữ liệu, gián đoạn hoạt động, rủi ro pháp lý và quy trình ứng phó sự cố tốn kém hơn. Đây là một rủi ro bảo mật đáng kể mà các doanh nghiệp không thể xem nhẹ.

Phát hiện và Phân tích Sâu

Khi một tệp đáng ngờ không bị các công cụ bảo mật tiêu chuẩn gắn cờ, SOC có thể mất thời gian quý báu để quyết định xem nó có thực sự gây ra mối đe dọa hay không. Phân tích hành vi bên trong một sandbox tương tác giúp các nhóm xác nhận hoạt động độc hại bằng cách hiển thị những gì tệp thực hiện sau khi thực thi.

Điều này có nghĩa là phân loại nhanh hơn, bằng chứng rõ ràng hơn để ngăn chặn và ít thời gian hơn dành cho các cuộc điều tra không mang lại kết quả. Các nhà phân tích có thể thấy dữ liệu nào được thu thập, nó được lưu trữ ở đâu và cách nó rời khỏi thiết bị trước khi sự cố mở rộng thành chiếm đoạt tài khoản, gian lận hoặc truy cập mạng rộng hơn.

Chuỗi Tấn công của Destiny Stealer

Việc kiểm tra quá trình thực thi của Destiny Stealer và thu thập các Chỉ số Xâm phạm (IOC) có thể giúp tăng tốc độ phát hiện.

Chuỗi tấn công của Destiny Stealer đã được phơi bày bên trong sandbox ANY.RUN chỉ trong 1 phút.

Phân tích cho thấy cuộc tấn công tuân theo một trình tự rõ ràng:

Toàn bộ chuỗi thực thi có thể nhìn thấy bên trong Sandbox Tương tác ANY.RUN, cho phép các nhóm kết nối hành vi điểm cuối với hoạt động mạng và thu thập các chỉ số đã được xác minh từ một cuộc điều tra duy nhất.

Chuyển đổi bằng chứng hành vi thành phân loại nhanh hơn, quyết định ứng phó rõ ràng hơn và giảm rủi ro hoạt động. Tăng cường phản ứng với mối đe dọa.

Điều này cung cấp cho SOC bằng chứng cần thiết để cách ly thiết bị bị ảnh hưởng, bảo vệ các tài khoản bị lộ, chặn cơ sở hạ tầng độc hại và giảm thời gian giữa phát hiện ban đầu và ngăn chặn. Đây là một phần quan trọng trong chiến lược an ninh mạng của mọi tổ chức.

Ứng phó và Giảm thiểu Rủi ro

Destiny Stealer nên được coi là một mối đe dọa đối với danh tính và quyền truy cập, chứ không chỉ là mã độc trên một điểm cuối. Một khi mật khẩu, cookie phiên, chi tiết VPN và dữ liệu Outlook rời khỏi thiết bị, việc xóa tệp độc hại đơn thuần có thể không đủ.

Các bước ứng phó đề xuất cho các nhóm phản ứng:

  • Kiểm tra bằng chứng thu thập được từ sandbox.
  • Kết nối phát hiện sandbox với SIEM, SOAR, EDR và các biện pháp kiểm soát danh tính để đẩy nhanh quá trình chuyển đổi từ xác nhận sang ngăn chặn.
  • Hành động dựa trên bằng chứng đã được xác minh trước khi sự cố lan rộng.

Giá trị thực sự của việc phân tích sớm Destiny Stealer không chỉ là xác định mã độc. Nó là cung cấp cho các nhóm phản ứng đủ bằng chứng đã được xác minh để hành động trong khi sự cố vẫn còn được kiểm soát. Với chuỗi thực thi và IOC có trong tay, các nhóm có thể phối hợp hành động trên các kiểm soát điểm cuối, danh tính, mạng và email.

Họ có thể cách ly các hệ thống bị ảnh hưởng, thu hồi các phiên hoạt động, đặt lại thông tin đăng nhập bị lộ, chặn cơ sở hạ tầng của kẻ tấn công và tìm kiếm hoạt động liên quan trên toàn bộ môi trường. Điều này rút ngắn cửa sổ phơi nhiễm và cải thiện chất lượng của mọi quyết định ứng phó. SOC dành ít thời gian hơn để xác nhận mối đe dọa, trong khi tổ chức giảm khả năng truy cập thứ cấp, gian lận, gián đoạn hoạt động và chi phí phục hồi tốn kém.

Để hiểu rõ hơn về cách các công cụ phân tích hành vi có thể hỗ trợ phát hiện và ứng phó với các mối đe dọa như Destiny Stealer, bạn có thể tham khảo các công cụ ứng phó sự cố tại Cybersecurity News.