Các sự cố an ninh mạng ngày càng khai thác sâu vào các điểm yếu của người dùng, bao gồm cả những tài khoản có đặc quyền. Điều này được chứng minh qua các cuộc tấn công mạng gần đây, sử dụng phiên bản PuTTY SSH client đã bị cài mã độc và phân phối qua quảng cáo độc hại (malvertising) trên công cụ tìm kiếm Bing của Microsoft.
Trung tâm Điều hành An ninh (SOC) MDR của LevelBlue gần đây đã điều tra nhiều trường hợp kẻ tấn công giả mạo các file thực thi PuTTY độc hại thành các bản tải xuống hợp pháp, khởi đầu một chiến dịch tấn công mạng tinh vi. Điều này dẫn đến việc đạt được quyền truy cập ban đầu, thiết lập sự bền vững và thực hiện các cuộc tấn công nâng cao vào môi trường Active Directory.
Chiến Dịch **Mối Đe Dọa Mạng** Bằng PuTTY Giả Mạo
Chiến dịch này đã hoạt động ít nhất từ tháng 5 năm 2024, sử dụng quảng cáo được tài trợ để bắt chước các nguồn PuTTY chính thức. Mục tiêu là phân phối các tải trọng (payload) được ký bằng chứng chỉ giả mạo, ví dụ như từ “NEW VISION MARKETING LLC“.
Việc sử dụng chứng chỉ giả mạo này giúp bỏ qua các kiểm tra tin cậy ban đầu của hệ thống. Các endpoint của SentinelOne đã phát hiện các chỉ số rủi ro cao, bao gồm tải xuống đáng ngờ của “PuTTY.exe” và lưu lượng mạng bất thường tới các IP độc hại được xác nhận qua VirusTotal.
Các hành vi bất thường khác như cố gắng tấn công Kerberoasting và thiết lập duy trì quyền truy cập qua các tác vụ đã lên lịch cũng được ghi nhận. Những phát hiện này cho thấy một mô hình xâm nhập mạng có tổ chức và tinh vi.
Cơ Chế Hoạt Động Của Mã Độc
Mã độc được xác định là các biến thể của Broomstick/Oyster. Chúng thả các file DLL như “twain_96.dll” và “green.dll” vào các thư mục người dùng như %appdata% và %temp%. Điều này thiết lập khả năng thực thi lệnh từ xa thông qua rundll32.exe.
Sau đó, kẻ tấn công có thể thực hiện các hoạt động trực tiếp (hands-on-keyboard – HOK) để trinh sát và leo thang đặc quyền. Khi PuTTY bị nhiễm độc được thực thi, nó sẽ tạo ra các tác vụ đã lên lịch.
Các tác vụ này có tên như “Security Updater” hoặc “FireFox Agent INC“, được cấu hình chạy theo các khoảng thời gian ngắn để gọi các DLL độc hại. Điều này đảm bảo duy trì quyền truy cập liên tục vào hệ thống bị ảnh hưởng bởi tấn công mạng.
Giao Tiếp Command-and-Control (C2)
Các DLL độc hại này tạo điều kiện cho các kết nối ra bên ngoài tới máy chủ C2 qua cổng 443. Điều này cho phép các tác nhân đe dọa thực hiện các lệnh khám phá thông qua cmd.exe.
Các lệnh được sử dụng bao gồm:
nltest /trusted_domains
net group 'domain admins' /domain
nltest /dclist:Đây là những chiến thuật, kỹ thuật và quy trình (TTP) điển hình. Chúng thường liên quan đến các nhà điều hành ransomware đang tìm kiếm các mục tiêu có giá trị cao, cho thấy mục đích tiềm tàng của cuộc tấn công mạng này.
Kỹ Thuật **Chiếm Quyền Điều Khiển** và Tấn Công Active Directory
Một giai đoạn quan trọng của cuộc tấn công bao gồm việc thực thi một script PowerShell chạy trong bộ nhớ để thực hiện Kerberoasting. Script này khai thác các điểm yếu trong xác thực Kerberos của Active Directory. Chi tiết về chiến dịch này có thể được tìm thấy tại đây.
Script tải assembly System.IdentityModel và truy vấn LDAP để tìm các đối tượng người dùng có Tên Chính Dịch Vụ (SPN). Sau đó, nó yêu cầu các ticket được mã hóa RC4-HMAC bằng cách sử dụng KerberosRequestorSecurityToken.
Các ticket này sau đó được trích xuất thành các hash $krb5tgs$ tương thích với Hashcat để bẻ khóa offline. Các môi trường dễ bị tấn công RC4-HMAC, đặc biệt là những nơi thiếu thực thi AES, có nguy cơ cao xảy ra tấn công mạng.
Các tài khoản dịch vụ bị xâm phạm thường cung cấp quyền truy cập đặc quyền. Điều này tạo điều kiện cho việc di chuyển ngang (lateral movement) trong mạng. Nền tảng USM Anywhere của LevelBlue đã ghi lại các nhật ký Event ID 4769 liên quan.
Việc này cho phép nhanh chóng xác định các SPN bị ảnh hưởng và đưa ra khuyến nghị đặt lại thông tin xác thực. Thiết kế của script, lấy cảm hứng từ Invoke-Kerberoast của PowerSploit nhưng được tối ưu hóa để chạy chỉ trong bộ nhớ, minh họa sự thích nghi của kẻ tấn công.
Chúng sử dụng các binary sẵn có (Living-Off-The-Land Binaries – LOLBINs) để trốn tránh việc phát hiện. Điều này làm cho việc phòng thủ chống lại các chiến dịch tấn công mạng này trở nên thách thức hơn.
Phản Ứng và Biện Pháp Giảm Thiểu
Để đối phó, LevelBlue MDR đã cách ly các tài sản bị ảnh hưởng thông qua SentinelOne và vô hiệu hóa các tài khoản bị xâm phạm. Họ cũng tiến hành săn lùng mối đe dọa trên toàn bộ hệ thống bằng cách sử dụng các Chỉ số Thỏa hiệp (IOC) đã được quan sát, ngăn chặn các cuộc thực thi trong các môi trường khác, nhằm hạn chế tối đa thiệt hại từ tấn công mạng.
Các quy tắc phát hiện tùy chỉnh đã được triển khai để tăng cường khả năng của SentinelOne chống lại các TTP này. Phân tích sâu hơn cho thấy cơ sở hạ tầng malvertising, bao gồm các tên miền typosquatting như puttyy[.]org và puttysystems[.]com.
Các tên miền này chuyển hướng đến các trang WordPress bị xâm nhập đang lưu trữ các payload độc hại. Kẻ tấn công đã thay đổi các hash tệp, chứng chỉ ký mã (ví dụ: từ “THE COMB REIVERS LIMITED” hoặc “LLC Fortuna“) và tên tác vụ để lẩn tránh các biện pháp phòng thủ dựa trên hash.
Mặc dù đã báo cáo cho Microsoft Advertising, các biến thể mới vẫn tiếp tục xuất hiện, làm nổi bật những thiếu sót trong quy trình xác minh quảng cáo. Điều này nhấn mạnh tầm quan trọng của việc cảnh giác cao độ trước các mối đe dọa mạng.
Các tổ chức nên tăng cường đào tạo người dùng, duy trì các kho công cụ đã được kiểm duyệt và chặn các tên miền nằm trong danh sách đen để giảm thiểu các mối đe dọa như vậy. Không có vai trò nào là miễn nhiễm với tấn công phi kỹ thuật (social engineering), khiến các cuộc tấn công mạng này trở nên nguy hiểm.
Các Chỉ Số Thỏa Hiệp (IOCs)
- Tên miền typosquatting:
puttyy[.]orgputtysystems[.]com
- Tên chứng chỉ giả mạo:
NEW VISION MARKETING LLCTHE COMB REIVERS LIMITEDLLC Fortuna
- Tên file DLL độc hại:
twain_96.dllgreen.dll
- Tên tác vụ đã lên lịch độc hại:
Security UpdaterFireFox Agent INC
- Tên file thực thi độc hại:
PuTTY.exe(phiên bản bị cài mã độc)
- TTPs liên quan đến ransomware:
- Thực thi lệnh khám phá mạng và thư mục Active Directory
- Tấn công Kerberoasting để bẻ khóa hash RC4-HMAC
