Secret Blizzard: Mối Đe Dọa Mạng Nghiêm Trọng Từ AiTM

Microsoft Threat Intelligence đã công bố chi tiết về một chiến dịch gián điệp mạng tinh vi do nhóm đối tượng do nhà nước Nga bảo trợ, được theo dõi là Secret Blizzard, thực hiện. Chiến dịch này liên tục xâm phạm các đại sứ quán nước ngoài tại Moscow thông qua kỹ thuật Adversary-in-the-Middle (AiTM) để triển khai mã độc tùy chỉnh ApolloShadow, đặt ra một mối đe dọa mạng nghiêm trọng.

Tổng quan Chiến dịch Xâm nhập Mạng và Mối Đe Dọa Mạng của Secret Blizzard

Chiến dịch tấn công mạng này đã diễn ra ít nhất từ năm 2024, thể hiện sự tinh vi trong các kỹ thuật được triển khai. Secret Blizzard khai thác vị trí AiTM ở cấp nhà cung cấp dịch vụ Internet (ISP). Kỹ thuật này cho phép kẻ tấn công chặn và thao túng lưu lượng mạng của nạn nhân.

Mục tiêu là cài đặt các chứng chỉ gốc tin cậy trên thiết bị của nạn nhân. Điều này lừa các thiết bị xác thực với các miền do kẻ tấn công kiểm soát, thiết lập một kênh liên lạc độc hại.

Khả năng này cung cấp quyền truy cập liên tục cho hoạt động thu thập thông tin tình báo. Nó tạo ra mối đe dọa nghiêm trọng đối với các cơ quan ngoại giao và các tổ chức nhạy cảm, đặc biệt là những đơn vị phụ thuộc vào hạ tầng viễn thông địa phương của Nga.

Trước đây, khả năng cấp ISP của Secret Blizzard được đánh giá với độ tin cậy thấp cho mục đích gián điệp trong nước. Tuy nhiên, phân tích gần đây đã cung cấp xác nhận độ tin cậy cao về khả năng này. Hoạt động có thể được tạo điều kiện bởi Hệ thống Hoạt động Điều tra Tác chiến (SORM) của Nga. SORM là một hệ thống cho phép chặn và thao tác lưu lượng mạng trên quy mô lớn, cung cấp cho các cơ quan nhà nước khả năng giám sát sâu rộng.

Kỹ thuật Khai thác Kết nối và Triển khai Mã độc

Quyền truy cập ban đầu trong chiến dịch này khai thác các cổng thông tin xác thực (captive portals). Các cổng này thường được sử dụng trong các mạng công cộng hoặc doanh nghiệp để yêu cầu người dùng đăng nhập trước khi truy cập Internet. Secret Blizzard thao túng các cổng này, chuyển hướng thiết bị của nạn nhân đến các miền do kẻ tấn công kiểm soát thông qua thao tác DNS.

Cụ thể, khi một thiết bị Windows khởi tạo Test Connectivity Status Indicator (NCSI) bằng cách truy vấn http://www.msftconnecttest.com/redirect, một chức năng tích hợp để kiểm tra kết nối internet. Secret Blizzard sẽ chặn yêu cầu này.

Kẻ tấn công sau đó hiển thị một lỗi xác thực chứng chỉ giả mạo. Lỗi này được thiết kế để gây hoang mang cho người dùng và thúc đẩy họ tải xuống cũng như thực thi ApolloShadow, được ngụy trang cẩn thận dưới dạng một trình cài đặt hợp pháp hoặc một thành phần hệ thống cần thiết.

Phân tích Chi tiết về Mã độc ApolloShadow

Khi được thực thi trên hệ thống nạn nhân, ApolloShadow malware sẽ thực hiện kiểm tra ban đầu để xác định môi trường đặc quyền của nó. Mã độc đánh giá loại quyền nâng cao của process token hiện tại. Nó sử dụng các API hệ thống như GetTokenInformation để kiểm tra xem nó có đang chạy với quyền Administrator đầy đủ hay không.

Đường dẫn Thực thi Quyền Thấp

Nếu mã độc thiếu quyền nâng cao hoàn toàn (TokenElevationTypeFull), nó sẽ đi theo một đường dẫn thực thi quyền thấp để thu thập thông tin ban đầu mà không cần đặc quyền cao. Các bước trong đường dẫn này bao gồm:

• Thu thập chi tiết IP host của thiết bị nạn nhân thông qua hàm GetIpAddrTable. Đây là một cách để thu thập thông tin mạng cơ bản của hệ thống.
• Mã hóa dữ liệu IP thu thập được bằng Base64 hai lần. Việc mã hóa kép nhằm mục đích gây khó khăn cho việc phân tích và phát hiện.
• Thực hiện exfiltration dữ liệu qua một yêu cầu HTTP GET đến một endpoint giả mạo: timestamp.digicert.com/registered. Endpoint này được chọn để ngụy trang lưu lượng độc hại thành lưu lượng liên quan đến chứng chỉ hợp pháp. Các tham số như ‘code’ và ‘t’ được sử dụng để truyền dữ liệu mã hóa.

Trong môi trường AiTM, thiết lập này sẽ chuyển hướng yêu cầu GET giả mạo này. Điều này nhằm để cung cấp một payload VBScript đã được mã hóa. Payload này sau đó được giải mã và thực thi dưới dạng tệp edgB4ACD.vbs trong thư mục tạm thời của hệ thống (%TEMP%) sử dụng hàm CreateProcessW.

Ngay sau đó, một lệnh gọi ShellExecuteA sẽ được kích hoạt để hiển thị cửa sổ nhắc User Access Control (UAC), yêu cầu người dùng cấp quyền nâng cao cho mã độc. Đây là một kỹ thuật xã hội để vượt qua rào cản bảo mật của hệ điều hành, cho phép cuộc tấn công mạng tiếp tục.

Đường dẫn Thực thi Quyền Cao và Thiết lập Duy trì

Một khi ApolloShadow đạt được quyền cao, nó thực hiện một loạt các thay đổi hệ thống để thiết lập sự duy trì và tạo điều kiện cho các hoạt động tiếp theo. Các hành động chính bao gồm:

• Sửa đổi Cấu hình Mạng: Mã độc sửa đổi các cấu hình mạng thành trạng thái ‘Private’. Mục tiêu là tạo điều kiện di chuyển ngang (lateral movement) dễ dàng hơn trong mạng nội bộ. Điều này được thực hiện thông qua các chỉnh sửa registry dưới đường dẫn SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles bằng cách đặt giá trị Category thành 0. Thay đổi này yêu cầu khởi động lại hệ thống để có hiệu lực hoàn toàn.
• Kích hoạt Quy tắc Tường lửa: Đồng thời, mã độc sử dụng các đối tượng Component Object Model (COM) để bật các quy tắc tường lửa cụ thể. Các quy tắc này bao gồm Network Discovery (sử dụng FirewallAPI.dll,-32752) và File and Printer Sharing (sử dụng FirewallAPI.dll,-28502). Việc này mở các cổng cần thiết ngay lập tức mà không cần khởi động lại, tạo điều kiện thuận lợi cho việc truy cập và di chuyển trong mạng.
• Cài đặt Chứng chỉ Gốc Độc hại: Mã độc sau đó hiển thị một cửa sổ cài đặt giả mạo để đánh lạc hướng người dùng. Trong khi đó, nó cài đặt hai chứng chỉ gốc thông qua các lệnh certutil.exe. Các chứng chỉ này được thêm vào các kho Enterprise root và CA stores từ các tệp .crt tạm thời trong %TEMP%. Việc này cho phép kẻ tấn công tạo ra các chứng chỉ giả mạo cho các trang web mà không gây cảnh báo bảo mật, là một phần quan trọng của cuộc tấn công mạng AiTM.
• Tương thích với Firefox: Để đảm bảo mã độc hoạt động với Firefox, trình duyệt này duy trì các kho chứng chỉ độc lập thay vì dựa vào kho của hệ điều hành, ApolloShadow ghi một tệp ưu tiên wincert.js vào thư mục cấu hình của trình duyệt. Tệp này bật cài đặt security.enterprise_roots.enabled, buộc Firefox tin cậy các chứng chỉ cấp hệ điều hành đã được cài đặt, mở rộng phạm vi ảnh hưởng của mã độc.
• Tạo Tài khoản Quản trị viên Liên tục: Kết thúc quá trình triển khai, ApolloShadow tạo một tài khoản quản trị viên cục bộ liên tục (persistent local administrator account) có tên UpdatusUser. Tài khoản này được gán một mật khẩu được mã hóa cứng và không hết hạn. Việc này sử dụng lệnh NetUserAdd. Mã độc còn ngụy trang các thành phần của nó dưới dạng các thành phần hợp pháp của Kaspersky Anti-Virus để tránh bị phát hiện bởi các giải pháp an ninh.

Tác động, Chỉ số Thỏa hiệp (IOCs) và Biện pháp Phòng thủ

Thiết lập AiTM này tạo điều kiện cho việc tước bỏ TLS/SSL (TLS/SSL stripping), làm lộ toàn bộ lưu lượng truy cập ở dạng văn bản rõ (clear text). Điều này cho phép kẻ tấn công thu thập thông tin đăng nhập và chặn token. Kỹ thuật này tương tự như các chiến dịch trước đây của Secret Blizzard liên quan đến các trình cài đặt Flash bị trojan hóa nhắm vào các mục tiêu ở Đông Âu. Các mối đe dọa mạng như vậy cần được giám sát chặt chẽ và đối phó kịp thời.

Microsoft đã cung cấp phân tích chi tiết về chiến dịch này, nhấn mạnh các kỹ thuật được sử dụng và các biện pháp đối phó hiệu quả để giảm thiểu rủi ro an ninh mạng.

Các chỉ số thỏa hiệp (IOCs)

Để hỗ trợ các tổ chức trong việc phát hiện và ứng phó với chiến dịch này, dưới đây là các chỉ số thỏa hiệp chính:

• Nhóm đối tượng: Secret Blizzard (Microsoft), Federal Security Service (Center 16) (theo CISA), VENOMOUS BEAR, Turla, Snake.
• Mã độc: ApolloShadow.
• Endpoint giả mạo (bị chuyển hướng qua AiTM): timestamp.digicert.com/registered.
• Tệp VBScript liên quan: edgB4ACD.vbs (thường nằm trong thư mục %TEMP%).
• Tài khoản người dùng độc hại: UpdatusUser (tài khoản quản trị viên cục bộ với mật khẩu cứng, không hết hạn).
• Thay đổi Registry để sửa đổi cấu hình mạng:
  SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles (đặt Category thành 0).
• Quy tắc tường lửa được bật (thông qua COM objects):
  • Network Discovery (sử dụng FirewallAPI.dll,-32752)
  • File and Printer Sharing (sử dụng FirewallAPI.dll,-28502)
• Tệp cấu hình Firefox độc hại: wincert.js (trong thư mục cấu hình trình duyệt).

Khuyến nghị và Biện pháp Bảo mật

Hoạt động của nhóm này được CISA quy cho Cơ quan An ninh Liên bang Nga (Center 16) và trùng lặp với các biệt danh như VENOMOUS BEAR, Turla, và Snake. Các chiến thuật của kẻ tấn công này nhấn mạnh sự cần thiết của các biện pháp phòng thủ mạnh mẽ để chống lại các mối đe dọa mạng ngày càng phức tạp.

Microsoft khuyến nghị các biện pháp sau để tăng cường khả năng phục hồi chống lại các mối đe dọa AiTM trên toàn cầu, vì các kỹ thuật tương tự cũng xuất hiện trong các hoạt động được theo dõi bởi các nhà cung cấp khác:

• Định tuyến toàn bộ lưu lượng truy cập Internet qua các đường hầm VPN được mã hóa đến các mạng bên ngoài đáng tin cậy. Điều này giúp ngăn chặn các cuộc tấn công mạng AiTM bằng cách mã hóa lưu lượng trước khi nó đi qua các điểm kiểm soát của ISP độc hại.
• Áp dụng các nhà cung cấp dịch vụ Internet dựa trên vệ tinh nằm ngoài phạm vi ảnh hưởng của Nga. Điều này cung cấp một kênh liên lạc thay thế ít bị giám sát hoặc thao túng hơn.
• Thiết lập hệ thống giám sát chặt chẽ để phát hiện các chỉ số thỏa hiệp. Đặc biệt chú ý đến các dấu hiệu như cài đặt chứng chỉ bất thường trên các thiết bị, bất kỳ cửa sổ nhắc UAC nào xuất hiện một cách không mong muốn, hoặc các thay đổi cấu hình hệ thống không được ủy quyền.

Các biện pháp này được chi tiết trong hướng dẫn của Microsoft. Các tổ chức được khuyến nghị tham khảo nguồn chính thức để có thông tin đầy đủ và cập nhật nhất. Xem thêm tại blog bảo mật của Microsoft để hiểu rõ hơn về các khuyến nghị này và cách triển khai chúng một cách hiệu quả để bảo vệ hệ thống khỏi các mối đe dọa mạng tương tự.