Cơ quan tình báo Hà Lan AIVD và MIVD, cùng với Microsoft Threat Intelligence, đã xác định Laundry Bear, còn được gọi là Void Blizzard, là một nhóm tác nhân đe dọa dai dẳng cấp cao (APT) do nhà nước Nga tài trợ, hoạt động từ ít nhất tháng 4 năm 2024. Sự tinh vi của nhóm này thể hiện rõ qua các chiến dịch gián điệp nhắm vào nhiều mục tiêu, làm nổi bật những mối đe dọa mạng phức tạp mà các tổ chức phải đối mặt.
Tổng Quan về Laundry Bear (Void Blizzard)
Laundry Bear là một nhóm APT có khả năng cao, chuyên thực hiện các hoạt động gián điệp. Nhóm này đã tập trung vào các quốc gia thành viên NATO, Ukraine, và nhiều tổ chức khác, bao gồm cảnh sát Hà Lan, một thực thể hàng không Ukraine, cùng các tổ chức phi chính phủ (NGO) tại châu Âu và Mỹ. Mục tiêu chính của chúng là thu thập thông tin tình báo thông qua các phương pháp truy cập ban đầu tinh vi.
Kỹ Thuật Truy Cập Ban Đầu và Lừa Đảo
Laundry Bear sử dụng nhiều vector truy cập ban đầu để xâm nhập vào các mục tiêu. Các phương pháp này bao gồm khai thác thông tin đăng nhập bị đánh cắp, sử dụng cookie phiên đã thu thập được, và thực hiện các chiến dịch lừa đảo spear-phishing. Để tăng tính hợp pháp và lừa dối người dùng, nhóm này thường sử dụng các tên miền giả mạo (typosquatted domains) mô phỏng dịch vụ hợp pháp, ví dụ như micsrosoftonline[.]com. Việc sử dụng các kỹ thuật như Evilginx để xây dựng các trang lừa đảo cao cấp giúp chúng thu thập thông tin nhạy cảm một cách hiệu quả.
Phân Tích Hạ Tầng và Kỹ Thuật Pivoting Nâng Cao
Các báo cáo ban đầu chỉ nêu bật một số ít chỉ số thỏa hiệp (IOCs), bao gồm micsrosoftonline[.]com (sử dụng cho lừa đảo Evilginx), ebsumrnit[.]eu (tên miền gửi độc hại giả mạo ebsummit[.]eu), và outlook-office[.]micsrosoftonline[.]com. Tuy nhiên, việc áp dụng các kỹ thuật pivoting nâng cao đã giúp khám phá một hạ tầng rộng lớn hơn. Các công cụ phân tích như Validin, kết hợp với lịch sử DNS, phân tích phản hồi máy chủ, và tìm kiếm bằng biểu thức chính quy (regex), đã tiết lộ các mô hình đăng ký tên miền, chiến thuật chuyển hướng, và chia sẻ máy chủ, qua đó mở rộng dấu vết của mối đe dọa mạng này.
Thao Túng Tên Miền và Cơ Chế Đăng Ký
Các hoạt động của Laundry Bear cho thấy sự tỉ mỉ trong việc thao túng tên miền. Chúng đăng ký các tên miền giống hệt (lookalike registrations) thông qua PDR Ltd. và sử dụng các địa chỉ email bảo vệ quyền riêng tư từ onionmail[.]org và aficors[.]com. Các tên miền này thường được cấu hình với Mailgun cho việc gửi email và Cloudflare cho máy chủ định danh (name servers).
- Ví dụ, các cuộc săn lùng dựa trên regex đã xác định thêm các biến thể của ebsummit[.]eu như ebsurnmit[.]eu và ebsummlt[.]eu.
- Các tên miền này được đăng ký vào tháng 4-5 năm 2025, một số trong đó chuyển hướng đến các trang web lành tính trước khi bị gắn cờ là lừa đảo.
Pivoting Dựa Trên Hash Phản Hồi Máy Chủ
Kỹ thuật pivoting từ các hash phản hồi máy chủ (host response hashes) là một phương pháp hiệu quả để mở rộng tầm nhìn về hạ tầng của kẻ tấn công. Ví dụ, hash SHA1 38c47d338a9c5ab7ccef7413edb7b2112bdfc56f, đại diện cho một mã JavaScript chuyển hướng đến outlook[.]live[.]com, đã liên kết đến tám tên miền gốc (apex domains).
- Các tên miền này bao gồm micator-secure[.]com và maidservant[.]shop, qua đó phơi bày các tên miền con (subdomains) được thiết kế theo chủ đề đăng nhập và xác thực.
Phân Tích Trùng Lặp IP và Kết Nối Hạ Tầng
Phân tích sự trùng lặp địa chỉ IP cũng cung cấp những thông tin quan trọng. Ví dụ, địa chỉ IP 104.36.83[.]170 được kết nối với các trang lừa đảo theo chủ đề logistics và các tên miền giả mạo như walshhgroup[.]com. Tên miền này đã chuyển hướng đến các tệp PDF độc hại tiềm ẩn trên các cổng không chuẩn, phù hợp với các chiến thuật đã được báo cáo của nhóm APT này.
Khám Phá Qua Lịch Sử DNS và Chứng Chỉ SSL
Các bản ghi DNS lịch sử cho thấy các trường hợp tên miền bị tạm ngừng hoặc chuyển hướng kiểu rickrolling, có thể là dấu hiệu của việc sinkholing (chuyển hướng lưu lượng độc hại đến máy chủ kiểm soát của nhà nghiên cứu) hoặc các nỗ lực né tránh của kẻ tấn công. Bên cạnh đó, các kỹ thuật pivoting dựa trên chứng chỉ SSL, chẳng hạn như SHA1 ade08cd340765e68f65174820b46c0e3d9b52ab4, đã giúp liên kết các tên miền trên các hệ thống số tự trị (ASN) của AWS và DigitalOcean, cho thấy sự đa dạng trong hạ tầng mà nhóm sử dụng.
Mở Rộng Điều Tra Qua Hash Nội Dung
Mở rộng điều tra vượt ra ngoài các chỉ số ban đầu, việc phân tích các hash nội dung HTTP (body hashes) đã khám phá thêm nhiều tên miền. Ví dụ, hash 2c0fa608bd243fce6f69ece34addf32571e8368f đã hé lộ 14 tên miền mới kể từ tháng 11 năm 2024, trong đó có it-sharepoint[.]com. Các tên miền con của nó phân giải đến các địa chỉ IP như 34.204.123[.]157, được chia sẻ giữa các tên miền giả mạo của chính phủ và các tập đoàn như spidergov[.]org và deloittesharepoint[.]com.
Sự Linh Hoạt và Kỹ Thuật Che Dấu của Laundry Bear
Việc xem xét theo dòng thời gian cho thấy sự dịch chuyển hạ tầng của Laundry Bear trên các ASN khác nhau, bao gồm 14061 (DigitalOcean) và 14618 (AWS). Điều này nhấn mạnh khả năng thích ứng của nhóm trong việc triển khai các bộ chuyển hướng (redirectors) và chứng chỉ tự ký để duy trì sự bền bỉ trong các chiến dịch.
Những phát hiện này cho thấy nhóm thường xuyên sử dụng kỹ thuật chuỗi CNAME (CNAME chaining), các dịch vụ SMTP như SMTP2GO, và các tên miền con theo chủ đề (ví dụ: login, okta, microsoftonline). Mục đích là để hòa lẫn vào lưu lượng truy cập hợp pháp, tạo điều kiện thuận lợi cho việc đánh cắp thông tin đăng nhập và di chuyển ngang (lateral movement) trong mạng lưới mục tiêu. Sự linh hoạt trong việc tạo và điều phối hạ tầng giúp Laundry Bear duy trì khả năng xâm nhập mạng và thu thập dữ liệu nhạy cảm.
Độ sâu của các kỹ thuật pivoting này, bao gồm phân tích phản hồi HTTP, sự tương đồng trong đăng ký, và các mô hình tên miền giả mạo, cho thấy một chiến dịch đang phát triển, có thể bị gián đoạn do các tiết lộ công khai, nhưng luôn tiềm ẩn khả năng tái xuất hiện. Điều này đòi hỏi nỗ lực không ngừng trong việc phát hiện xâm nhập và phòng thủ chủ động.
Các Chỉ Số Thỏa Hiệp (IOCs)
Để hỗ trợ các nhóm an ninh mạng trong việc phòng thủ chủ động chống lại mối đe dọa mạng gián điệp liên quan đến Nga này, dưới đây là các chỉ số thỏa hiệp (IOCs) quan trọng cần theo dõi:
Tên miền (Domains)
- micsrosoftonline[.]com
- ebsumrnit[.]eu
- outlook-office[.]micsrosoftonline[.]com
- ebsurnmit[.]eu
- ebsummlt[.]eu
- micator-secure[.]com
- maidservant[.]shop
- walshhgroup[.]com
- it-sharepoint[.]com
- spidergov[.]org
- deloittesharepoint[.]com
Địa chỉ IP (IP Addresses)
- 104.36.83[.]170
- 34.204.123[.]157
Hash (Hashes)
- Host Response SHA1: 38c47d338a9c5ab7ccef7413edb7b2112bdfc56f
- Certificate SHA1: ade08cd340765e68f65174820b46c0e3d9b52ab4
- HTTP Body Hash: 2c0fa608bd243fce6f69ece34addf32571e8368f
Khuyến Nghị Phòng Thủ
Các nhóm an ninh mạng cần liên tục giám sát các chỉ số thỏa hiệp này và tích hợp chúng vào hệ thống phòng thủ của mình. Việc cập nhật các quy tắc phát hiện trên IDS/IPS, SIEM và các giải pháp EDR là cần thiết để xác định và ngăn chặn các hoạt động liên quan đến Laundry Bear. Hơn nữa, việc nâng cao nhận thức người dùng về các chiến thuật lừa đảo và spear-phishing cũng là một biện pháp phòng ngừa quan trọng.
Để hiểu rõ hơn về hoạt động của nhóm Void Blizzard (APT29 / Cozy Bear), bạn có thể tham khảo báo cáo chính thức từ Cơ quan Tình báo Hà Lan: Report by AIVD, MIVD and Microsoft Threat Intelligence on Void Blizzard.
