Nhóm Advanced Persistent Threat (APT) Lotus Blossom, còn được gọi là Lotus Panda, Billbug và Spring Dragon, đã tăng cường nỗ lực gián điệp mạng với các biến thể mới của backdoor Sagerunex. Nhóm này đặc biệt hoạt động tích cực ở khu vực Châu Á – Thái Bình Dương, nhắm vào các tổ chức chính phủ và sử dụng các chiến thuật tinh vi để né tránh phát hiện.
Các chiến thuật và kỹ thuật chính
-
Truy cập ban đầu:
- Nhóm đạt được quyền truy cập ban đầu thông qua các cuộc tấn công phishing có chọn lọc, tấn công watering hole hoặc khai thác lỗ hổng trong các ứng dụng tiếp xúc công cộng.
-
Di chuyển bên trong mạng:
- Khi đã vào được mạng, Lotus Blossom sử dụng Windows Management Instrumentation (WMI) để thực hiện di chuyển bên trong. Kỹ thuật này cho phép kẻ tấn công thực hiện lệnh trên các hệ thống từ xa mà không cần triển khai phần mềm độc hại bổ sung, làm cho việc phát hiện trở nên khó khăn hơn.
-
Các hoạt động sau khai thác:
- Kẻ tấn công triển khai một bộ công cụ, bao gồm các công cụ nén dữ liệu như RAR, các tiện ích proxy tùy chỉnh như Venom cho việc chuyển tiếp lưu lượng và các công cụ lấy cắp cookie của Chrome để thu thập thông tin xác thực.
- Các lệnh trinh sát như
tasklist,ipconfigvànetstatđược thực hiện để thu thập thông tin về hệ thống và mạng.
-
Duy trì sự tồn tại:
- Sự tồn tại của kẻ tấn công được đảm bảo bằng cách cài đặt các biến thể backdoor Sagerunex vào trong Windows Registry. Các biến thể này giả mạo là các dịch vụ hệ thống hợp pháp bằng cách chiếm đoạt các tên dịch vụ đáng tin cậy như “tapisrv” và “swprv.” Backdoor được cấu hình để chạy tự động khi hệ thống khởi động, đảm bảo quyền truy cập lâu dài.
-
Command-and-Control qua các nền tảng hợp pháp:
- Backdoor Sagerunex thể hiện các kỹ thuật né tránh tiên tiến bằng cách sử dụng các nền tảng hợp pháp như Dropbox, Twitter (X) và Zimbra cho các giao tiếp C2. Dữ liệu đánh cắp được mã hóa và tải lên dưới dạng tệp
.rar, trong khi dữ liệu bị lộ được ẩn trong các email nháp hoặc nội dung hộp thư đến.
- Backdoor Sagerunex thể hiện các kỹ thuật né tránh tiên tiến bằng cách sử dụng các nền tảng hợp pháp như Dropbox, Twitter (X) và Zimbra cho các giao tiếp C2. Dữ liệu đánh cắp được mã hóa và tải lên dưới dạng tệp
Chiến lược giảm thiểu
Để giảm thiểu rủi ro do Lotus Blossom gây ra, các tổ chức nên áp dụng một phương pháp phòng thủ đa lớp:
-
Phát hiện và phản hồi điểm cuối (EDR):
-
Phân đoạn mạng:
- Giới hạn di chuyển bên trong mạng bằng cách phân đoạn mạng và triển khai mô hình không tin cậy.
-
Kiểm tra an ninh:
- Sử dụng các nền tảng Mô phỏng Xâm nhập và Tấn công (BAS) để kiểm tra khả năng phòng thủ chống lại các chiến thuật của Lotus Blossom.
-
Chuẩn bị phản ứng sự cố:
- Phát triển và kiểm tra thường xuyên các kế hoạch phản ứng sự cố để phát hiện và xử lý nhanh các mối đe dọa tiên tiến.
Bối cảnh bổ sung
- Các nhóm APT khác như VANGUARD PANDA (Volt Typhoon) và UAT-5918 cũng thực hiện các chiến thuật tương tự, bao gồm các kỹ thuật sống off-the-land và sử dụng web shells để có quyền truy cập lâu dài.
- VANGUARD PANDA sử dụng khai thác ManageEngine Self-service Plus và các web shell tùy chỉnh cho quyền truy cập ban đầu và quyền truy cập lâu dài, tương ứng.
- UAT-5918 sử dụng web shell, các công cụ mã nguồn mở và các đường hầm proxy đảo ngược cho khảo sát mạng và duy trì quyền truy cập lâu dài.
Các chiến thuật đang phát triển của các nhóm APT như Lotus Blossom nhấn mạnh nhu cầu cần có các biện pháp an ninh mạng mạnh mẽ được thiết kế để đối phó với các tác nhân đe dọa tiên tiến. Các tổ chức phải duy trì sự tỉnh táo và triển khai các chiến lược phòng thủ toàn diện để giảm thiểu các cuộc tấn công tinh vi này.
