Chiến dịch APT Silver Fox Nhắm Mục Tiêu Ngành Y tế và Khu vực Công
Nhóm đe dọa dai dẳng cấp cao (APT) Silver Fox đã tiến hành các cuộc tấn công có mục tiêu vào các tổ chức cung cấp dịch vụ chăm sóc sức khỏe và các tổ chức thuộc khu vực công. Các chiến dịch này nổi bật bởi việc sử dụng các kỹ thuật triển khai mã độc đa tầng phức tạp, cho thấy mức độ tinh vi cao trong các hoạt động của nhóm.
Kỹ thuật TTPs (MITRE ATT&CK)
Các hoạt động của Silver Fox được phân tích dựa trên khung MITRE ATT&CK, cho thấy một chuỗi tấn công có tổ chức và bài bản:
- Initial Access (Truy cập Ban đầu): Nhóm sử dụng phương pháp lừa đảo qua email (spear-phishing) với các tệp đính kèm độc hại. Đáng chú ý là việc sử dụng một trình thả (dropper) ngụy trang dưới dạng ứng dụng Philips DICOM Viewer để khởi tạo chuỗi lây nhiễm ban đầu.
- Execution (Thực thi): Sau khi trình thả được thực thi trên hệ thống của nạn nhân, nó sẽ kích hoạt việc truy xuất các tệp cấu hình được mã hóa và các payload giả mạo tệp ảnh chứa trình điều khiển TrueSightKiller. Bước này là then chốt để thiết lập sự kiểm soát ban đầu trên hệ thống bị xâm nhập và chuẩn bị cho các giai đoạn tấn công tiếp theo.
- Defense Evasion (Trốn tránh Phòng thủ): Để duy trì sự hiện diện và hoạt động không bị phát hiện, Silver Fox sử dụng trình điều khiển TrueSightKiller để chấm dứt các tiến trình của phần mềm diệt virus (antivirus processes). Điều này giúp vô hiệu hóa các biện pháp bảo mật của nạn nhân. Đồng thời, nhóm cũng lập lịch các tác vụ (scheduling tasks) để duy trì tính bền vững (persistence) trên hệ thống, đảm bảo khả năng truy cập trở lại sau này ngay cả khi hệ thống khởi động lại.
- Credential Access / Collection (Truy cập / Thu thập Thông tin Xác thực): Sau khi xâm nhập thành công và thiết lập quyền kiểm soát, nhóm tiếp tục triển khai các công cụ như trojan ValleyRAT, một keylogger (công cụ ghi lại thao tác bàn phím để thu thập thông tin xác thực), và thậm chí cả phần mềm đào tiền mã hóa (cryptocurrency mining malware). Điều này cho thấy mục tiêu đa dạng của nhóm, từ thu thập thông tin nhạy cảm đến khai thác tài nguyên hệ thống để thu lợi bất chính.
Các Gia đình Mã độc và Công cụ
Các công cụ và mã độc được Silver Fox sử dụng trong các chiến dịch tấn công bao gồm:
- Philips DICOM Viewer malicious dropper: Đây là công cụ giai đoạn đầu, được dùng để mở đường cho các cuộc tấn công bằng cách giả mạo một ứng dụng hợp pháp để qua mặt người dùng.
- TrueSightKiller driver: Trình điều khiển này là thành phần quan trọng để vô hiệu hóa phần mềm bảo mật của nạn nhân và thiết lập tính bền vững trên hệ thống.
- Silver RAT: Một trojan truy cập từ xa (remote access trojan) được sử dụng để duy trì quyền kiểm soát và triển khai thêm các payload độc hại khác vào hệ thống đã bị xâm nhập.
- ValleyRAT trojan: Một biến thể trojan được triển khai trong giai đoạn sau của cuộc tấn công, thường để duy trì kiểm soát, thực hiện các hành vi độc hại bổ sung, hoặc thu thập thông tin.
Biện pháp Phòng thủ và Khuyến nghị
Để chống lại các cuộc tấn công tinh vi như của Silver Fox, các tổ chức cần áp dụng nhiều lớp phòng thủ và chiến lược bảo mật toàn diện:
- Triển khai các công cụ Endpoint Detection and Response (EDR) và Extended Detection and Response (XDR) để nâng cao khả năng phát hiện và ứng phó với các mối đe dọa ở cấp độ điểm cuối và trên toàn bộ hệ thống, cung cấp tầm nhìn sâu rộng về các hoạt động đáng ngờ.
- Kích hoạt nhật ký PowerShell logging để có được tầm nhìn rõ ràng hơn về các cuộc tấn công dựa trên script. Các script PowerShell thường được các nhóm APT ưa chuộng để thực hiện các hành vi độc hại mà không cần cài đặt phần mềm.
- Thực thi các hạn chế cài đặt phần mềm (software installation restrictions) để ngăn chặn việc thực thi các payload trái phép. Điều này bao gồm việc chỉ cho phép cài đặt phần mềm từ các nguồn đáng tin cậy và có kiểm soát.
- Áp dụng mô hình truy cập đặc quyền tối thiểu (least privilege access models) nhằm hạn chế tối đa quyền truy cập của người dùng và ứng dụng, từ đó giảm thiểu khả năng di chuyển ngang (lateral movement) của kẻ tấn công trong mạng lưới nếu một tài khoản bị xâm phạm.
- Thực hiện phân đoạn mạng (network segmentation) để cô lập hiệu quả các sự cố xâm nhập. Bằng cách chia nhỏ mạng thành các phân đoạn nhỏ hơn, một cuộc tấn công ở một phân đoạn sẽ khó lây lan sang các phần khác của hệ thống.
- Triển khai các cơ chế giám sát hành vi (behavioral monitoring mechanisms) để phát hiện kịp thời các bất thường trong lưu lượng mạng hoặc hoạt động trên máy chủ. Các hành vi không điển hình có thể là dấu hiệu sớm của một cuộc tấn công đang diễn ra.
Sự cố Ransomware tại Kettering Health do Nhóm Interlock
Vào ngày 20 tháng 5 năm 2025, hệ thống của Kettering Health, một nhà cung cấp dịch vụ y tế lớn, đã bị tấn công bằng ransomware. Sự cố này được quy kết cho nhóm ransomware Interlock, gây ra tình trạng ngừng hoạt động trên toàn hệ thống, ảnh hưởng đến 14 trung tâm y tế và hơn 120 cơ sở ngoại trú của họ tại Ohio. Cuộc tấn công đã mã hóa các hệ thống chăm sóc bệnh nhân quan trọng, dẫn đến việc hủy bỏ các thủ tục tự chọn và làm gián đoạn các trung tâm cuộc gọi, gây ảnh hưởng nghiêm trọng đến hoạt động y tế.
Ngoài việc mã hóa dữ liệu, những kẻ tấn công còn đánh cắp dữ liệu bệnh nhân nhạy cảm và đe dọa công bố chúng trên dark web nếu các cuộc đàm phán tiền chuộc không diễn ra trong vòng 72 giờ. Đây là một chiến thuật tống tiền kép (“double extortion”) ngày càng phổ biến, nhằm gia tăng áp lực buộc nạn nhân phải trả tiền chuộc bằng cách đe dọa rò rỉ dữ liệu nhạy cảm.
Hành động Ứng phó Sự cố
Ngay sau khi phát hiện cuộc tấn công, đội ngũ IT của Kettering Health đã thực hiện việc tắt khẩn cấp tất cả các thiết bị kết nối mạng để khoanh vùng và ngăn chặn sự lây lan của ransomware. Một kế hoạch ứng phó sự cố đa giai đoạn đã được triển khai, tập trung vào việc loại bỏ hoàn toàn các công cụ của kẻ tấn công và cơ chế duy trì quyền truy cập (persistence mechanisms) khỏi môi trường, đồng thời khôi phục dần dần các dịch vụ thiết yếu để đảm bảo hoạt động liên tục của hệ thống y tế và giảm thiểu tác động đến việc chăm sóc bệnh nhân.
Sự cố Ransomware tại Krispy Kreme do Nhóm Play Ransomware
Vào cuối năm 2024, tập đoàn Krispy Kreme Doughnut Corporation đã trở thành nạn nhân của một cuộc tấn công ransomware. Vụ việc này dẫn đến việc lộ lọt thông tin cá nhân của hơn 160.000 cá nhân, bao gồm cả nhân viên, cựu nhân viên, thành viên gia đình của họ và khách hàng. Nhóm Play ransomware đã đứng ra nhận trách nhiệm sau khi đánh cắp khoảng 184 GB dữ liệu nhạy cảm, bao gồm thông tin cá nhân, thông tin tài chính, tài liệu khách hàng và hồ sơ lương bổng, cho thấy phạm vi ảnh hưởng rộng lớn của cuộc tấn công.
Dòng thời gian và Tác động
Hoạt động trái phép lần đầu tiên được phát hiện vào ngày 29 tháng 11 năm 2024. Các gián đoạn hoạt động chủ yếu ảnh hưởng đến hệ thống đặt hàng trực tuyến của Krispy Kreme trong mùa lễ hội, một thời điểm quan trọng đối với doanh thu. Mặc dù vậy, các cửa hàng vật lý vẫn có thể hoạt động bình thường. Sau khi ban quản lý Krispy Kreme từ chối yêu cầu trả tiền chuộc, nhóm Play đã công bố dữ liệu bị đánh cắp trên trang rò rỉ dữ liệu của chúng trên dark web vào tháng 12 năm 2024. Sự việc này một lần nữa nhấn mạnh chiến thuật tống tiền kép, nơi dữ liệu bị đánh cắp được sử dụng làm đòn bẩy bổ sung cho yêu cầu tiền chuộc, ngay cả khi nạn nhân không hợp tác.
Phá vỡ Chiến dịch Mã độc Qakbot
Trong một nỗ lực đa quốc gia nhằm chống lại tội phạm mạng mang tên Operation Endgame, một hacker người Nga có liên quan đến các hoạt động của mã độc Qakbot đã bị buộc tội. Operation Endgame là một chiến dịch thực thi pháp luật quy mô lớn, liên quan đến nhiều quốc gia, nhắm vào cơ sở hạ tầng tội phạm mạng bao gồm các trình thả (droppers) và trình tải (loaders) mã độc trên toàn cầu. Đây là một bước tiến quan trọng trong việc trấn áp các mối đe dọa dai dẳng từ tội phạm mạng.
Qakbot là một trong những loại mã độc khét tiếng, đã gây ra hàng trăm cuộc tấn công ransomware, ảnh hưởng đến nhiều công ty tư nhân, trong đó có cả các nhà cung cấp dịch vụ chăm sóc sức khỏe. Tổng thiệt hại tài chính ước tính do Qakbot gây ra đã vượt quá 58 triệu USD chỉ trong vòng mười tám tháng, cho thấy mức độ tàn phá kinh tế mà loại mã độc này gây ra. Việc phá vỡ hoạt động của Qakbot là một đòn giáng mạnh vào hệ sinh thái tội phạm mạng, làm suy yếu khả năng của các nhóm hacker trong việc triển khai các cuộc tấn công quy mô lớn và gây ra thiệt hại tài chính nghiêm trọng cho các tổ chức trên toàn thế giới.
