Phân Tích Chi Tiết về Chiến Dịch Malware 4000+ ISP

05/03/2025
2 mins read
Nội dung
Thông Tin Tấn Công
Chi Tiết Kỹ Thuật
Máy chủ chỉ huy và kiểm soát (C2)
Phát hiện và Giảm thiểu

Thông Tin Tấn Công

  • Xuất xứ: Chiến dịch malware này được cho là có nguồn gốc từ Đông Âu.
  • Phương pháp: Kẻ tấn công sử dụng kết hợp các cuộc tấn công brute-force, payload khai thác tiền mã hóa và kỹ thuật lẩn tránh tiên tiến để xâm nhập vào hệ thống ISP.

Chi Tiết Kỹ Thuật

  • Truy cập ban đầu: Malware khai thác các thông tin xác thực yếu để giành quyền truy cập ban đầu vào hệ thống ISP bằng cách sử dụng phương pháp brute-force.
  • Payload: Khi đã xâm nhập, kẻ tấn công triển khai các file độc hại như mig.rdp.exe, x64.exemigrate.exe để thực hiện các hoạt động khai thác tiền mã hóa và đánh cắp thông tin nhạy cảm.
  • Sự tồn tại: Malware sử dụng các tập lệnh PowerShell mã hóa để vô hiệu hóa bảo vệ antivirus, chấm dứt các công cụ khai thác tiền mã hóa cạnh tranh, và thiết lập sự tồn tại trên các hệ thống bị nhiễm.
  • Kỹ thuật lẩn tránh: Malware thay đổi quyền truy cập thư mục để hạn chế quyền truy cập của người dùng và đảm bảo các file của nó không bị phát hiện. Nó cũng sử dụng các tệp RAR tự giải nén (SFX) để triển khai dễ dàng hơn.
  • Các thành phần:
    • mig.rdp.exe: Thả xuống nhiều file bao gồm các tập lệnh batch (ru.bat, st.bat) và các file thực thi (migrate.exe) nhằm vô hiệu hóa giám sát thời gian thực của Windows Defender và thêm các ngoại lệ độc hại để tránh phát hiện.
    • MicrosoftPrt.exe: Hoạt động như một trình cướp clipboard nhắm vào các địa chỉ ví tiền mã hóa cho Bitcoin (BTC), Ethereum (ETH), Litecoin (LTC) và các loại khác.
    • masscan.exe: Một công cụ quét hàng loạt được sử dụng để xác định các dải IP dễ bị tổn thương trong cơ sở hạ tầng ISP.
    • Các file thực thi biên dịch bằng Python: Được sử dụng cho tự động hóa, giảm thiểu dấu chân hoạt động trong khi duy trì hiệu quả cao tại các môi trường hạn chế.

Máy chủ chỉ huy và kiểm soát (C2)

  • Kẻ tấn công sử dụng bots Telegram làm máy chủ C2, làm phức tạp các nỗ lực giám sát mạng truyền thống.

Phát hiện và Giảm thiểu

  • Splunk đã phát hành một bộ quy tắc phát hiện để giúp các tổ chức xác định các hoạt động nghi ngờ liên quan đến chiến dịch này. Điều này bao gồm các cảnh báo cho các đường dẫn file không bình thường, các thực thi PowerShell dựa trên WINRM, và các truy vấn DNS liên quan đến API của Telegram.
  • Các tổ chức được khuyên nên thực thi các chính sách mật khẩu mạnh, theo dõi hoạt động điểm cuối chặt chẽ, và triển khai các công cụ phát hiện mối đe dọa tiên tiến để giảm thiểu các rủi ro liên quan đến các chiến dịch tinh vi như vậy.

Chiến dịch malware này nhấn mạnh sự tinh vi ngày càng tăng của các mối đe dọa nhắm vào các nhà cung cấp cơ sở hạ tầng quan trọng, nhấn mạnh sự cần thiết phải có các biện pháp an ninh mạng mạnh mẽ để ngăn ngừa và phát hiện các cuộc tấn công như vậy.