Trong bối cảnh mối đe dọa dai dẳng nâng cao (APT) ngày càng phức tạp, việc phân tích chi tiết các nhóm tấn công và kỹ thuật của chúng là yếu tố then chốt để xây dựng hệ thống phòng thủ mạnh mẽ. Bài viết này đi sâu vào hoạt động của nhóm TAG-140, một tác nhân đe dọa chuyên nghiệp, khám phá kho vũ khí mã độc, các chiến thuật khai thác, cơ chế duy trì quyền truy cập và chi tiết hạ tầng điều khiển và kiểm soát (C2) của chúng.
Phân tích nhóm APT TAG-140 và kho mã độc
TAG-140 nổi bật là một nhóm APT sử dụng một bộ công cụ mã độc đa dạng, cho thấy khả năng thích nghi và tính linh hoạt trong các chiến dịch tấn công của chúng. Các công cụ này cho phép nhóm thực hiện nhiều hành vi độc hại khác nhau, từ thu thập thông tin đến duy trì quyền truy cập dai dẳng trên các hệ thống mục tiêu. Các họ mã độc được liên kết với TAG-140 bao gồm:
- DRAT V2: Một biến thể của phần mềm truy cập từ xa (RAT) có khả năng thực hiện nhiều lệnh từ xa.
- CurlBack: Có khả năng phục vụ như một công cụ tải xuống hoặc một backdoor đơn giản, thường được sử dụng để thiết lập giai đoạn đầu của cuộc tấn công.
- SparkRAT: Một RAT đa năng khác, có thể cung cấp cho kẻ tấn công quyền kiểm soát toàn diện đối với hệ thống bị xâm nhập.
- AllaKore: Thường được sử dụng để thu thập thông tin hoặc làm cầu nối cho các hoạt động tiếp theo.
Việc sử dụng nhiều họ mã độc cho thấy TAG-140 có một chuỗi cung ứng công cụ mạnh mẽ hoặc phát triển nội bộ nhiều biến thể để tối ưu hóa khả năng lẩn tránh và hiệu quả tấn công.
Chiến thuật và Kỹ thuật Tấn công (TTPs)
Các chiến thuật, kỹ thuật và quy trình (TTPs) của TAG-140 đặc trưng bởi sự kết hợp giữa kỹ thuật xã hội tinh vi và các phương pháp duy trì quyền truy cập dai dẳng. Nhóm này chủ yếu tập trung vào nền tảng Windows, sử dụng các kỹ thuật được biết đến để thiết lập quyền kiểm soát lâu dài.
Chuỗi lây nhiễm ban đầu và Kỹ thuật xã hội
Chuỗi lây nhiễm ban đầu thường được khởi xướng thông qua các mồi nhử kỹ thuật xã hội kiểu ClickFix. Các mồi nhử này được thiết kế để dụ dỗ người dùng thực hiện một hành động nào đó, chẳng hạn như nhấp vào một liên kết độc hại hoặc mở một tệp đính kèm chứa mã độc. Đặc biệt, TAG-140 đã được quan sát thấy sử dụng các chiến dịch giả mạo (spoofing) Bộ Quốc phòng Ấn Độ. Việc mạo danh một tổ chức có uy tín cao như vậy làm tăng đáng kể khả năng nạn nhân sẽ tin tưởng vào nội dung và vô tình thực hiện các hành động làm tổn hại đến bảo mật của họ.
Duy trì quyền truy cập (Persistence)
Sau khi xâm nhập thành công, việc duy trì quyền truy cập là ưu tiên hàng đầu của TAG-140. Nhóm này thực hiện điều này thông qua hai phương pháp chính trên hệ thống Windows:
- BroaderAspect .NET loader: Một công cụ tải (loader) được tùy chỉnh, viết bằng .NET, được sử dụng để thực thi mã độc và thiết lập sự hiện diện liên tục trên hệ thống.
- Registry run keys: Kẻ tấn công sửa đổi các khóa đăng ký chạy tự động, cụ thể là
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Bằng cách thêm một mục vào khóa này, mã độc sẽ tự động khởi chạy mỗi khi người dùng đăng nhập vào hệ thống, đảm bảo sự dai dẳng mà không cần tương tác thêm từ kẻ tấn công.
Khai thác sau khi xâm nhập và Thực thi lệnh
Một khi đã thiết lập được quyền truy cập, TAG-140 có khả năng thực thi các lệnh shell tùy ý trên hệ thống bị xâm nhập. Điều này được thực hiện thông qua một lệnh mới được phát hiện: exec_this_comm. Lệnh này là một phần của giao thức C2 tùy chỉnh của nhóm, cho phép chúng điều khiển từ xa và thực hiện các hoạt động sau khai thác, bao gồm thu thập dữ liệu, cài đặt thêm công cụ hoặc di chuyển ngang trong mạng.
Giao thức Điều khiển và Kiểm soát (C2) Tùy chỉnh
Một trong những đặc điểm kỹ thuật nổi bật của TAG-140 là việc sử dụng giao thức TCP tùy chỉnh, được khởi tạo bởi máy chủ C2. Giao thức này hỗ trợ cả lệnh ASCII và Unicode, nhưng chỉ phản hồi bằng ASCII. Việc triển khai giao thức C2 độc quyền, không phổ biến cho thấy nỗ lực của nhóm nhằm tránh các giải pháp phát hiện dựa trên chữ ký và gây khó khăn cho việc phân tích lưu lượng mạng.
Chi tiết Hạ tầng và Cơ chế làm tối
Hạ tầng của TAG-140 được thiết kế để làm tối các hoạt động và gây khó khăn cho việc phát hiện. Điều này bao gồm các kỹ thuật che giấu địa chỉ IP C2 và sử dụng các cổng TCP không phổ biến.
Làm tối địa chỉ IP C2
Các địa chỉ IP C2 được làm tối bằng cách sử dụng mã hóa Base64, nhưng với một lớp bảo vệ bổ sung: các chuỗi rác (junk strings) duy nhất được thêm vào phía trước. Điều này làm cho việc giải mã trở nên phức tạp hơn, vì các công cụ hoặc phương pháp giải mã thông thường sẽ không hoạt động nếu không biết cách xử lý các chuỗi rác này. Kỹ thuật này giúp TAG-140 ẩn giấu các máy chủ C2 của mình khỏi việc phát hiện và chặn dễ dàng.
Cổng TCP không phổ biến
Thay vì sử dụng các cổng dịch vụ TCP quen thuộc như 80, 443 hoặc 22, TAG-140 sử dụng các cổng không phổ biến cho liên lạc C2. Các cổng này bao gồm 3232, 6372 và 7771. Việc sử dụng các cổng ít được giám sát hoặc không liên quan đến các dịch vụ hợp pháp giúp lưu lượng C2 của nhóm hòa lẫn với lưu lượng mạng thông thường, tránh bị phát hiện bởi các hệ thống giám sát dựa trên quy tắc đơn giản.
Phát hiện và Phòng ngừa
Mặc dù TAG-140 sử dụng các kỹ thuật làm tối và giao thức tùy chỉnh, chúng lại thiếu các kỹ thuật chống phân tích nâng cao, điều này mang lại cơ hội cho các chuyên gia bảo mật. Việc phát hiện có thể đạt được thông qua phân tích tĩnh và phân tích hành vi, đặc biệt tập trung vào các mẫu lưu lượng được mã hóa và việc sử dụng các cổng TCP không phổ biến.
Chỉ số thỏa hiệp (IOCs)
Để hỗ trợ việc phát hiện và phản ứng sự cố, dưới đây là các chỉ số thỏa hiệp liên quan đến hoạt động của TAG-140:
- Các họ mã độc:
- DRAT V2
- CurlBack
- SparkRAT
- AllaKore
- Cơ chế duy trì quyền truy cập:
- Sự hiện diện của BroaderAspect .NET loader.
- Các mục đáng ngờ trong khóa đăng ký chạy tự động của người dùng:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
- Các cổng TCP C2 không phổ biến:
- 3232
- 6372
- 7771
- Mẫu lưu lượng C2:
- Lưu lượng TCP tùy chỉnh được khởi tạo bởi máy chủ.
- Dữ liệu được mã hóa Base64 với các chuỗi rác được thêm vào phía trước.
- Lệnh thực thi từ xa như
exec_this_comm.
Chiến lược phát hiện
Các tổ chức nên triển khai các biện pháp sau để phát hiện và giảm thiểu rủi ro từ TAG-140:
- Giám sát mạng nâng cao: Triển khai các hệ thống phát hiện xâm nhập (IDS) và ngăn chặn xâm nhập (IPS) có khả năng phân tích sâu gói tin để xác định các giao thức TCP tùy chỉnh và lưu lượng được mã hóa. Đặc biệt chú ý đến lưu lượng truy cập trên các cổng 3232, 6372 và 7771.
- Phân tích hành vi Endpoint: Sử dụng các giải pháp phát hiện và phản hồi điểm cuối (EDR) để giám sát các thay đổi đáng ngờ trong khóa đăng ký chạy tự động, đặc biệt là
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, và phát hiện các tiến trình thực thi lệnh shell bất thường. - Phân tích lưu lượng mã hóa: Mặc dù Base64 không phải là một phương pháp mã hóa mạnh mẽ, việc kết hợp với chuỗi rác có thể làm phức tạp quá trình giải mã tự động. Các công cụ phân tích lưu lượng nên được cấu hình để cảnh báo về các mẫu Base64 bất thường, đặc biệt khi được truyền qua các cổng không phổ biến.
- Nâng cao nhận thức về kỹ thuật xã hội: Thường xuyên đào tạo người dùng về các mối đe dọa kỹ thuật xã hội, đặc biệt là các cuộc tấn công giả mạo (phishing) và lừa đảo qua email có nội dung liên quan đến các tổ chức chính phủ hoặc các chủ đề nhạy cảm.
- Kiểm tra định kỳ các khóa Registry: Các quản trị viên hệ thống nên kiểm tra định kỳ các khóa đăng ký duy trì quyền truy cập để tìm các mục không mong muốn hoặc độc hại.
Bằng cách kết hợp các biện pháp phòng thủ này và liên tục theo dõi các IOCs, các tổ chức có thể cải thiện đáng kể khả năng phát hiện và ứng phó với các mối đe dọa từ các nhóm APT như TAG-140.
