Tin tức bảo mật mới ghi nhận một chiến dịch gián điệp được triển khai có chủ đích, nhắm vào các cơ quan chính phủ và hạ tầng trọng yếu tại nhiều quốc gia ở châu Á. Nhóm tạm định danh SHADOW-EARTH-053 đã hoạt động từ ít nhất 12/2024, lặng lẽ xâm nhập và duy trì hiện diện trong mạng nạn nhân trong thời gian dài.
Chuỗi tấn công và lỗ hổng CVE bị khai thác
Chiến dịch này sử dụng kết hợp malware và kỹ thuật living-off-the-land để ẩn mình trong môi trường bị xâm nhập. Điểm vào ban đầu là các máy chủ Microsoft Exchange và IIS chưa được vá, tận dụng chuỗi lỗ hổng ProxyLogon.
Chuỗi lỗ hổng CVE được nhắm tới gồm:
- CVE-2021-26855
- CVE-2021-26857
- CVE-2021-26858
- CVE-2021-27065
Thông tin tham chiếu về các CVE này có thể tra cứu tại NVD. Dù bản vá đã phát hành từ lâu, nhiều hệ thống vẫn còn chạy Exchange chưa cập nhật, tạo điều kiện cho khai thác zero-day theo nghĩa vận hành thực tế ở môi trường chưa vá.
Kỹ thuật sau xâm nhập trong chiến dịch tin tức an ninh mạng này
Sau khi vào được hệ thống, kẻ tấn công triển khai web shell GODZILLA để duy trì backdoor và thực thi lệnh từ xa. Đây là một dấu hiệu phổ biến trong các cuộc tấn công mạng nhắm vào máy chủ web.
Nhóm này còn sử dụng ShadowPad, một backdoor mô-đun từng xuất hiện từ năm 2017 và sau đó được nhiều tác nhân đe dọa sử dụng lại. Ngoài ShadowPad, chiến dịch còn dùng:
- IOX proxy để tạo kênh liên lạc bí mật
- WMIC để di chuyển ngang trong mạng nội bộ
- GOST và Wstunnel để chuyển tiếp lưu lượng qua SOCKS5 và HTTPS
Cách tiếp cận này giúp giảm khả năng phát hiện xâm nhập ở tầng mạng và tầng endpoint, đồng thời kéo dài thời gian tồn tại trong hệ thống bị tấn công.
DLL sideloading và cơ chế nạp payload
Một điểm kỹ thuật đáng chú ý là kỹ thuật DLL sideloading. Kẻ tấn công đặt một DLL độc hại cạnh chương trình hợp lệ đã ký số; khi chương trình chạy, nó vô tình nạp DLL độc hại thay vì thư viện hợp lệ.
Các tệp thực thi hợp lệ từ Toshiba, Samsung và Microsoft đã bị lợi dụng, sau đó đổi tên để hòa vào hoạt động bình thường của hệ thống. Payload ShadowPad không nằm trực tiếp trong DLL mà được tải từ khóa registry theo máy tại:
HKEY_CURRENT_USER\SoftwareCơ chế này làm tăng độ khó phân tích tĩnh và che giấu chuỗi thực thi giai đoạn đầu của chiến dịch tin tức an ninh mạng này.
Duy trì hiện diện và di chuyển ngang
Persistence được duy trì bằng một scheduled task tên M1onltor, cấu hình chạy binary bị sideload mỗi 5 phút với quyền cao nhất có thể. Đây là cơ chế bền bỉ giúp backdoor liên tục tái kích hoạt trên máy nạn nhân.
WMIC tiếp tục được dùng để đẩy backdoor sang các host khác trong cùng môi trường. Trên tiến trình worker của IIS, các công cụ thu thập thông tin đăng nhập như Mimikatz và Evil-CreateDump được thực thi nhằm lấy mật khẩu và dữ liệu tài khoản.
Khối kỹ thuật này cho thấy một mô hình xâm nhập mạng nhiều giai đoạn: khai thác web server, triển khai web shell, cài backdoor, mở rộng sang máy khác, rồi trích xuất thông tin xác thực.
Phạm vi ảnh hưởng và IOC cần theo dõi
Chiến dịch được quan sát tại ít nhất 8 quốc gia, với các hệ thống bị ảnh hưởng bao gồm môi trường Exchange và IIS có kết nối Internet. Trong gần một nửa số môi trường bị nhắm tới, hai cụm hoạt động có dấu hiệu trùng lặp trên cùng tổ chức nạn nhân.
IOC rút ra từ nội dung kỹ thuật:
- Malware/Tooling: ShadowPad, IOX proxy, GODZILLA, GOST, Wstunnel, Mimikatz, Evil-CreateDump
- Tiến trình liên quan: IIS worker processes
- Scheduled task: M1onltor
- Thư mục staging: C:\Users\Public, C:\ProgramData
- Loại tệp cần giám sát: .aspx, .ashx, .jsp
IOC ở mức hành vi gồm việc IIS worker process sinh ra command shell, công cụ do thám hoặc tiến trình nén/giải nén bất thường. Đây là dấu hiệu hữu ích cho phát hiện tấn công ở lớp EDR và IIS telemetry.
Khuyến nghị vá lỗi và giám sát an toàn thông tin
Các hệ thống công khai Internet chạy Microsoft Exchange hoặc IIS cần áp dụng ngay bản vá mới nhất. Với các môi trường chưa thể vá tức thời, nên triển khai IPS hoặc WAF với luật virtual patching để giảm rủi ro bảo mật từ chuỗi lỗ hổng CVE đã biết.
Kiểm soát an toàn thông tin nên tập trung vào các điểm sau:
- Bật File Integrity Monitoring (FIM) cho thư mục web quan trọng
- Cảnh báo khi có file .aspx, .ashx, .jsp mới hoặc bị sửa đổi
- Rà soát EDR khi tiến trình IIS worker sinh ra command shell hoặc công cụ reconnaissance
- Theo dõi chặt các thư mục C:\Users\Public và C:\ProgramData
Đây là các biện pháp trọng tâm để giảm nguy cơ hệ thống bị xâm nhập và phát hiện sớm các dấu hiệu của một zero-day vulnerability trong bối cảnh máy chủ chưa được cập nhật bản vá.
