Storm-0249, một nhóm ban đầu được biết đến với các chiến dịch phishing hàng loạt, đã trải qua quá trình chuyển đổi đáng kể, trở thành một Initial Access Broker (IAB) tinh vi chuyên về các cuộc tấn công có độ chính xác cao. Sự tiến hóa này đánh dấu một thay đổi quan trọng trong chiến thuật của các mối đe dọa mạng, chuyển từ các chiến dịch phishing ồn ào sang các kỹ thuật hậu khai thác lén lút, được thiết kế để cung cấp quyền truy cập sẵn sàng triển khai ransomware cho các nhóm tội phạm liên kết.
Nhóm tác nhân đe dọa này hiện đang khai thác các tệp tin có chữ ký hợp lệ, đặc biệt là những tệp liên quan đến các công cụ Endpoint Detection and Response (EDR) như SentinelOne, để thiết lập chỗ đứng bền vững trong các mạng mục tiêu. Sự dịch chuyển trong hoạt động của Storm-0249 phản ánh xu hướng ngày càng tăng trong số các IAB, những kẻ đang áp dụng các phương pháp né tránh tiên tiến để tăng tỷ lệ thành công của các cuộc xâm nhập mạng.
Sự Chuyển Đổi của Storm-0249: Từ Phishing đến Initial Access Broker (IAB)
Mô hình kinh doanh của Storm-0249 tập trung vào việc bán quyền truy cập mạng đã được chuẩn bị sẵn cho các nhà điều hành ransomware-as-a-service (RaaS). Điều này giúp đẩy nhanh thời gian tấn công và giảm rào cản kỹ thuật cho các tác nhân đe dọa trong các giai đoạn tiếp theo của chuỗi tấn công. Các IAB đóng vai trò cầu nối quan trọng trong hệ sinh thái tội phạm mạng hiện đại.
Mô hình kinh doanh này đặc biệt hiệu quả vì nó cho phép nhóm này ẩn mình trong môi trường nạn nhân trong thời gian dài. Trong giai đoạn này, chúng thực hiện các hoạt động trinh sát sâu rộng và chuẩn bị cơ sở hạ tầng cần thiết cho việc triển khai ransomware cuối cùng. Mục tiêu là đảm bảo quyền truy cập có giá trị cao trước khi bán cho các đối tác.
Bằng cách chuyên môn hóa vào việc xâm nhập và thiết lập foothold, Storm-0249 tối ưu hóa nguồn lực của mình và tạo ra một luồng doanh thu ổn định. Sự chuyển đổi này cho thấy khả năng thích nghi cao của các nhóm tấn công trước các biện pháp phòng thủ ngày càng được cải thiện.
Chuỗi Tấn Công và Kỹ Thuật Khai Thác Ban Đầu
Các nhà phân tích của ReliaQuest đã xác định rằng Storm-0249 sử dụng chuỗi tấn công đa giai đoạn, bắt đầu bằng kỹ thuật social engineering thông qua một phương pháp gọi là ClickFix. Kỹ thuật này thao túng người dùng thực thi các lệnh độc hại thông qua hộp thoại Windows Run.
Cụ thể, kẻ tấn công lừa người dùng nhập và thực thi một lệnh CLI độc hại vào hộp thoại Run (Win+R) thông qua các thông báo giả mạo hoặc hướng dẫn kỹ thuật lừa đảo. Điều này thường khai thác sự thiếu cảnh giác hoặc sự tin tưởng của người dùng vào các hướng dẫn được cung cấp.
msiexec /i C:\Users\Public\malicious.msi /qn
Sau khi đạt được quyền truy cập ban đầu và thực thi lệnh trên, tác nhân đe dọa triển khai các gói MSI độc hại với quyền cấp hệ thống. Việc này thường thông qua việc tải xuống từ một máy chủ C2 hoặc được nhúng trong một liên kết ban đầu. Các gói MSI này được thiết kế để cài đặt các thành phần độc hại hoặc cấu hình lại hệ thống cho các mục đích tiếp theo.
Các gói MSI độc hại này có thể tạo ra các dịch vụ mới, sửa đổi registry hoặc cài đặt các công cụ hợp pháp bị lạm dụng. Điều này tạo điều kiện cho các giai đoạn khai thác tiếp theo trong chuỗi tấn công mạng, bao gồm việc thiết lập kênh liên lạc bền vững và thực hiện trinh sát sâu hơn.
Kỹ Thuật DLL Sideloading Nâng Cao để Vượt Qua Bảo Mật EDR
Một khía cạnh đáng lo ngại nhất trong hoạt động của Storm-0249 nằm ở việc lạm dụng các tiến trình EDR đáng tin cậy thông qua kỹ thuật DLL sideloading. Cuộc tấn công này khai thác mối quan hệ tin cậy cơ bản trong phần mềm bảo mật, vốn được thiết kế để bảo vệ hệ thống.
Kẻ tấn công thao túng các tệp thực thi hợp lệ, có chữ ký số như SentinelAgentWorker.exe, để tải thư viện liên kết động (DLL) độc hại thay vì các thư viện hợp pháp. Thư viện DLL độc hại này thường được đặt trong một đường dẫn mà tiến trình hợp pháp sẽ ưu tiên tải, ví dụ như thư mục AppData của người dùng hoặc một vị trí khác có thể ghi được.
Kỹ thuật DLL sideloading này rất hiệu quả vì các công cụ giám sát bảo mật thường loại trừ các tiến trình EDR đáng tin cậy khỏi việc kiểm tra kỹ lưỡng. Điều này tạo ra các điểm mù đáng kể cho các nhà phòng thủ, bởi vì hành vi độc hại được ẩn dưới vỏ bọc của một tiến trình được tin cậy và “trong danh sách trắng”.
Khi nhị phân của SentinelOne khởi chạy, nó sẽ tự động tải thư viện DLL độc hại được đặt một cách chiến lược trong thư mục AppData cùng với tệp thực thi hợp pháp. Để hiểu rõ hơn về cơ chế và các biến thể của kỹ thuật này, bạn có thể tham khảo chi tiết tại MITRE ATT&CK T1574.001 – DLL Sideloading.
Tiến trình bị xâm nhập sau đó thực thi mã của kẻ tấn công trong khi vẫn xuất hiện như một hoạt động phần mềm bảo mật thông thường đối với các hệ thống phát hiện. Điều này làm cho việc phát hiện xâm nhập trở nên cực kỳ khó khăn, vì các dấu hiệu hành vi bất thường thường bị bỏ qua.
Tác Động và Mục Tiêu của Kỹ Thuật Sideloading
Kỹ thuật sideloading này cho phép Storm-0249 thiết lập giao tiếp Command-and-Control (C2) với máy chủ điều khiển của kẻ tấn công. Qua kênh C2 này, nhóm có thể gửi lệnh, nhận dữ liệu và quản lý các hoạt động tiếp theo trên hệ thống bị xâm nhập.
Ngoài ra, nhóm còn thực hiện các hoạt động trinh sát sâu rộng trong môi trường mạng của nạn nhân. Điều này bao gồm việc thu thập thông tin về cấu hình hệ thống, danh sách người dùng, quyền truy cập và đặc biệt là trích xuất các định danh máy cần thiết cho việc ràng buộc mã hóa. Thông tin này rất quan trọng để chuẩn bị cho việc triển khai ransomware.
Hơn nữa, kỹ thuật này còn giúp Storm-0249 duy trì persistence (sự bền bỉ), nghĩa là chúng có thể tái thiết lập quyền truy cập ngay cả sau khi hệ thống khởi động lại hoặc sau các nỗ lực khắc phục tiêu chuẩn. Việc ẩn mình trong các tiến trình hợp pháp giúp chúng tránh bị phát hiện và gỡ bỏ.
Thách thức cơ bản mà kỹ thuật này đặt ra là các cơ chế phát hiện dựa trên tiến trình truyền thống, được xây dựng xung quanh việc giám sát các công cụ dòng lệnh hoặc các tệp thực thi lạ, không thể bắt được hoạt động này. Tất cả việc thực thi mã độc đều xảy ra dưới một tiến trình bảo mật có chữ ký số, nằm trong danh sách trắng của EDR.
Đây là một nguy cơ bảo mật nghiêm trọng mà các đội an ninh mạng cần đặc biệt chú ý, đòi hỏi một cách tiếp cận phát hiện linh hoạt và thông minh hơn.
Biện Pháp Đối Phó và Nâng Cao Khả Năng Phát Hiện
Để chống lại hiệu quả các chiến thuật tấn công nâng cao của Storm-0249, các tổ chức phải triển khai phân tích hành vi (behavioral analytics) và giám sát các bất thường một cách chủ động. Điều này bao gồm việc tìm kiếm các tệp thực thi hợp lệ tải các tệp không có chữ ký hoặc từ các vị trí không mong muốn trên hệ thống. Cách tiếp cận này vượt qua giới hạn của phát hiện dựa trên chữ ký.
Các giải pháp EDR cần được cấu hình nâng cao để cảnh báo về các sự kiện sau, ngay cả khi chúng liên quan đến các tiến trình được tin cậy:
- Một tiến trình EDR hợp pháp (ví dụ: SentinelAgentWorker.exe) cố gắng tải một DLL không nằm trong danh sách trắng (unsigned DLL) hoặc từ một đường dẫn không chuẩn (ví dụ: thư mục AppData của người dùng, thư mục Temp).
- Phát hiện các hành vi bất thường từ các tiến trình EDR được tin cậy, chẳng hạn như thực thi các lệnh hệ thống không liên quan đến chức năng của EDR, tạo các tiến trình con lạ, hoặc thực hiện kết nối mạng đến các địa chỉ không xác định.
- Giám sát việc tạo hoặc sửa đổi các tệp trong các thư mục hệ thống quan trọng hoặc thư mục người dùng bởi các tiến trình EDR không phải là một phần của luồng hoạt động thông thường của chúng.
- Triển khai các chính sách kiểm soát ứng dụng (Application Whitelisting) chặt chẽ, chỉ cho phép các ứng dụng và thư viện đã được phê duyệt chạy, đặc biệt là trong các đường dẫn có thể bị lạm dụng.
Việc tăng cường khả năng phát hiện xâm nhập bằng cách kết hợp giám sát dựa trên chữ ký với phân tích hành vi là điều cần thiết. Điều này giúp nhận diện các hoạt động độc hại lẩn tránh dưới vỏ bọc các tiến trình hợp pháp. Một chiến lược phòng thủ theo chiều sâu bao gồm việc cập nhật bản vá thường xuyên, đào tạo nhận thức về bảo mật cho người dùng và kiểm soát truy cập nghiêm ngặt cũng là yếu tố then chốt để củng cố an ninh mạng tổng thể.
