Trong những tháng gần đây, một sự leo thang đáng kể trong việc lạm dụng các trình cài đặt ConnectWise ScreenConnect đã được ghi nhận, đặc biệt nhắm mục tiêu vào các doanh nghiệp tại Hoa Kỳ. Các chiến dịch tấn công ScreenConnect này cho thấy sự tinh vi ngày càng tăng của tin tặc.
Diễn Biến Mới Trong Các Cuộc Tấn Công ScreenConnect
Kẻ tấn công đang chuyển hướng sang sử dụng các trình cài đặt ClickOnce runner nhẹ, không nhúng cấu hình. Điều này giúp chúng né tránh các phương pháp phát hiện dựa trên chữ ký tĩnh truyền thống, bằng cách tải xuống các thành phần độc hại trong thời gian chạy (runtime).
Sau khi cài đặt, kẻ tấn công tự động triển khai nhanh chóng hai loại mã độc truy cập từ xa (RAT) khác nhau. Bao gồm AsyncRAT, một công cụ có sẵn công khai, và một biến thể RAT tùy chỉnh dựa trên PowerShell.
Trong vòng vài tuần, chiến dịch tiếp tục phát triển. Tin tặc sử dụng các bộ tải dựa trên tệp batch và VBS để phân phối các assembly .NET đã được mã hóa.
Kỹ Thuật Khai Thác ClickOnce Runner
Mặc dù việc lạm dụng ConnectWise ScreenConnect không phải là mới, làn sóng tấn công hiện tại lại giới thiệu những cải tiến đáng kể. Đáng chú ý nhất là sự dịch chuyển sang các trình cài đặt ClickOnce runner.
Những trình cài đặt này có khả năng tải các payload của chúng một cách linh hoạt, từ đó lách qua các hàng rào phòng thủ dựa trên chữ ký.
Khi được thực thi, các trình cài đặt độc hại này cấp cho kẻ tấn công quyền kiểm soát từ xa không giới hạn. Điều này tạo điều kiện thuận lợi cho việc đánh cắp dữ liệu, di chuyển ngang trong mạng và duy trì sự hiện diện bền bỉ trên hệ thống bị xâm nhập.
Chuỗi Xâm Nhập và Triển Khai Mã Độc
Chuỗi tấn công bắt đầu bằng một trình cài đặt ClickOnce độc hại, thường được đặt tên giống như các tài liệu hợp pháp, ví dụ: agreement_support-pdf.Client.exe. Tệp này được phân phối chủ yếu thông qua các email lừa đảo (phishing).
Khi được thực thi, trình cài đặt runner sẽ tải tệp ScreenConnect.ClientSetup.exe từ các máy chủ do kẻ tấn công kiểm soát, ví dụ: morco.rovider[.]net. Đồng thời, nó thiết lập kết nối tới một phiên bản ScreenConnect on-premises của kẻ tấn công.
Điểm khác biệt so với các cuộc tấn công trước đây là phương pháp mới này tải cấu hình trong thời gian chạy, khiến việc kiểm tra phát hiện tĩnh trở nên không hiệu quả. Đây là một thách thức đáng kể đối với an ninh mạng truyền thống.
Triển Khai Đa RAT và Duy Trì Quyền Truy Cập
Ngay sau khi cài đặt ScreenConnect thành công, kẻ tấn công sẽ tận dụng các tính năng tự động hóa của nó để đồng thời khởi chạy hai RAT:
- AsyncRAT: Một RAT mã nguồn mở phổ biến.
- Một RAT tùy chỉnh dựa trên PowerShell.
Việc triển khai đồng thời nhiều RAT có thể là một chiến lược dự phòng, thử nghiệm công cụ, hoặc chỉ đơn giản là chia sẻ cơ sở hạ tầng giữa nhiều nhà khai thác tấn công.
Khoảng hai tuần sau khi hệ thống bị xâm nhập, kẻ tấn công chuyển sang sử dụng các bộ tải batch và VBS. Các bộ tải này có nhiệm vụ truy xuất và thực thi các assembly .NET đã được mã hóa (ví dụ: logs.ldr và logs.ldk).
Một bộ tải Obfuscator.dll sẽ giải mã các assembly này trong bộ nhớ và thiết lập khả năng duy trì quyền truy cập thông qua một tác vụ theo lịch trình có tên “Skype Updater”. AsyncRAT đã cập nhật sẽ giao tiếp trên các cổng mới (4501–4503) với một chuỗi mutex mới, trong khi địa chỉ IP máy chủ C2 chính vẫn giữ nguyên.
Vài ngày sau, một RAT thứ ba, PureHVNC, được phân phối thông qua các lệnh PowerShell được điều khiển bởi WMI. Một trình bao VBS trong thư mục khởi động sẽ gọi một bộ tải thực hiện kỹ thuật process hollowing trên RegAsm.exe, tiêm payload PureHVNC. Payload này sau đó kết nối đến một điểm cuối C2 riêng biệt tại 169.156.208.185:8020.
Kênh Phân Phối và Cơ Sở Hạ Tầng Tấn Công
Các tệp thực thi độc hại thường được ngụy trang thành các tài liệu quan trọng như bảng sao kê An sinh xã hội hoặc các tài liệu kinh doanh. Ví dụ điển hình là tệp Social_Security_Statement_Documents_386267.exe, cho thấy sự phụ thuộc nặng nề vào các chiến dịch lừa đảo qua email để thực hiện tấn công ScreenConnect.
Kẻ tấn công sử dụng các máy ảo Windows Server 2022 được cấu hình sẵn, có thể nhận dạng qua các tên máy chủ như WIN-BUNS25TD77J và COPY-OF-VM-2022. Việc này cho phép tái triển khai nhanh chóng cơ sở hạ tầng trong nhiều chiến dịch khác nhau, tăng cường khả năng hoạt động liên tục của mối đe dọa mạng.
Để biết thêm chi tiết về các chiến dịch này, bạn có thể tham khảo báo cáo từ Acronis TRU: Trojanized ScreenConnect Installers Evolve, Dropping Multiple RATs on a Single Machine.
Chỉ Số Thỏa Hiệp (IOCs)
Các chỉ số thỏa hiệp sau đây có thể giúp tổ chức phát hiện xâm nhập và ngăn chặn các cuộc tấn công ScreenConnect:
- Tên miền độc hại:
morco.rovider[.]net
- Địa chỉ IP/Cổng C2:
169.156.208.185:8020- Cổng AsyncRAT:
4501,4502,4503
- Tên tệp độc hại:
agreement_support-pdf.Client.exeScreenConnect.ClientSetup.exeSocial_Security_Statement_Documents_386267.exelogs.ldrlogs.ldkObfuscator.dll
- Tên máy chủ VM:
WIN-BUNS25TD77JCOPY-OF-VM-2022
- Tác vụ theo lịch trình:
- “Skype Updater”
Phòng Ngừa và Biện Pháp Đối Phó
Các tổ chức cần coi phần mềm quản lý và giám sát từ xa (RMM) là một yếu tố rủi ro cao trong các cuộc tấn công. Việc triển khai các biện pháp kiểm soát sau đây là cần thiết để bảo vệ hệ thống của bạn trước các mối đe dọa mạng liên quan đến ScreenConnect:
- Triển khai Xác thực Đa yếu tố (MFA): Bắt buộc MFA trên tất cả các điểm truy cập RMM để tăng cường bảo mật.
- Áp dụng Nguyên tắc Quyền truy cập Ít nhất (Principle of Least Privilege): Đảm bảo rằng người dùng và ứng dụng chỉ có các quyền truy cập cần thiết để thực hiện công việc của họ.
- Phân đoạn Mạng Nghiêm ngặt: Cách ly các hệ thống quan trọng và các công cụ RMM trong các phân đoạn mạng riêng biệt để hạn chế sự di chuyển ngang của kẻ tấn công.
- Triển khai Giải pháp EDR toàn diện: Sử dụng các giải pháp phát hiện và phản hồi điểm cuối (EDR) để chủ động theo dõi, phát hiện và phản ứng với các hoạt động đáng ngờ.
- Duy trì Kho kiểm kê RMM: Lập danh sách tất cả các triển khai RMM trong môi trường của bạn và thực hiện kiểm toán thường xuyên để đảm bảo chúng được cấu hình an toàn và cập nhật.
- Chặn các Miền độc hại đã biết: Áp dụng chính sách chặn truy cập tới các tên miền và địa chỉ IP C2 độc hại đã được xác định.
Bằng cách tích hợp các biện pháp kiểm soát này, các đội ngũ bảo mật có thể phát hiện xâm nhập liên quan đến hoạt động RMM độc hại sớm hơn. Điều này giúp phá vỡ khả năng của kẻ tấn công trong việc lợi dụng ScreenConnect cho mục đích truy cập ban đầu và bảo vệ hệ thống của bạn khỏi các tấn công ScreenConnect nguy hiểm.
