Tin bảo mật mới nhất cho thấy một mối đe dọa mạng đang nhắm vào các hãng luật tại Mỹ bằng chiến dịch giả mạo bộ phận hỗ trợ IT để xâm nhập trái phép, đánh cắp dữ liệu và tống tiền. Thay vì triển khai mã độc ransomware theo cách truyền thống, nhóm này tập trung trực tiếp vào dữ liệu, biến dữ liệu bị lộ thành công cụ gây áp lực lên nạn nhân.
Chiến thuật tấn công và mục tiêu
Nhóm này được theo dõi với nhiều tên gọi khác nhau và đã hoạt động ít nhất từ năm 2022. Hoạt động của chúng trải rộng trên nhiều lĩnh vực, gồm bảo hiểm, tài chính và y tế, nhưng hãng luật là mục tiêu nhất quán từ mùa xuân 2023.
Cách tiếp cận chủ yếu dựa trên social engineering. Kẻ tấn công gọi điện hoặc gửi email giả mạo nhân viên IT nội bộ, sau đó yêu cầu nạn nhân cho phép truy cập máy tính từ xa. Khi có foothold, chúng nhanh chóng chuyển sang thu thập và rút dữ liệu ra ngoài.
Chuỗi tấn công điển hình
- Giả mạo bộ phận hỗ trợ IT để tạo độ tin cậy.
- Lừa nhân viên mở phiên remote desktop access.
- Sao chép dữ liệu nhạy cảm từ hệ thống nội bộ.
- Đe dọa công khai hoặc bán dữ liệu nếu không trả tiền.
Không mã hóa, chỉ tập trung vào đánh cắp dữ liệu
Điểm khác biệt của chiến dịch này là không có bước mã hóa hệ thống. Không xuất hiện màn hình khóa, không có ransom note trên desktop và cũng không có tình trạng tắt hệ thống đột ngột.
Thay vào đó, kẻ tấn công lặng lẽ sao chép các tệp có giá trị rồi đe dọa công bố dữ liệu. Với môi trường lưu trữ hồ sơ pháp lý và thông tin khách hàng mật, áp lực từ nguy cơ rò rỉ dữ liệu nhạy cảm thường đủ để ép nạn nhân phải thương lượng.
Khi nạn nhân không trả tiền, dữ liệu sẽ bị đưa lên site rò rỉ công khai của nhóm tại cisa.gov và các nguồn theo dõi mối đe dọa tương tự chỉ nên được kiểm tra trong môi trường tình báo an toàn.
Kỹ thuật xâm nhập và rút dữ liệu
Trong giai đoạn sau khi chiếm được quyền truy cập, nhóm này sử dụng các công cụ hợp pháp để hòa lẫn vào hoạt động IT bình thường. Đây là lý do khiến phát hiện tấn công trở nên khó hơn, đặc biệt khi các công cụ đó vốn được dùng trong quản trị hệ thống hợp lệ.
Hai công cụ được nhắc đến gồm WinSCP và một phiên bản ẩn của Rclone. Chúng được dùng để kéo dữ liệu ra khỏi mạng nội bộ và đẩy lên lưu trữ đám mây hoặc sao chép ra ổ cứng vật lý.
Các dấu hiệu cần theo dõi
- Phiên truy cập từ xa xuất hiện ngoài quy trình hỗ trợ chuẩn.
- Lưu lượng chuyển file bất thường qua công cụ quản trị hợp pháp.
- Yêu cầu kết nối USB hoặc ổ đĩa ngoài không được phê duyệt.
- Cuộc gọi trực tiếp từ người tự xưng là IT support.
Tin tức bảo mật về phương thức giả mạo IT support
Gần đây, chiến dịch có xu hướng mạo danh nhân viên IT để tạo chỗ đứng ban đầu trong tổ chức mục tiêu. Nạn nhân có thể nhận cuộc gọi trực tiếp hoặc email lừa đảo, yêu cầu liên hệ với “bộ phận hỗ trợ” nội bộ. Khi nạn nhân nhấc máy, kẻ tấn công cố thuyết phục họ cho phép truy cập máy tính từ xa ngay lập tức.
Nếu phương thức này thất bại, kẻ tấn công còn có thể cử người đến trực tiếp địa điểm của nạn nhân, giả dạng kỹ thuật viên IT. Người này đưa ra lý do như cần tạo ảnh đĩa hoặc sao lưu vì mối đe dọa lừa đảo gần đây, từ đó yêu cầu cắm USB hoặc ổ cứng ngoài vào máy tính.
Hành vi sau khi truy cập được thiết lập
Ngay khi có quyền truy cập, dữ liệu được sao chép ra ngoài bằng các công cụ phù hợp để giảm khả năng bị chú ý. Chuỗi hoạt động này cho thấy trọng tâm là đánh cắp dữ liệu, không phải phá hoại hệ thống.
Việc không triển khai mã hóa làm cho mô hình tấn công này khó phát hiện hơn trong môi trường chỉ dựa vào dấu hiệu ransomware cổ điển. Vì vậy, phát hiện xâm nhập cần dựa nhiều hơn vào hành vi, phiên truy cập và luồng dữ liệu bất thường.
IOC và dấu hiệu hạ tầng
Phần tài liệu gốc chỉ nêu một số chỉ dấu hạ tầng liên quan ở dạng đã làm mờ. Các IOC dưới đây nên được xử lý trong nền tảng tình báo nội bộ như SIEM, MISP hoặc VirusTotal ở trạng thái kiểm soát chặt chẽ.
- Leak site: business-data-leaks[.]com
- Công cụ liên quan: WinSCP
- Công cụ liên quan: Rclone
- Kỹ thuật truy cập: remote desktop access
- Kỹ thuật ban đầu: email phishing, cuộc gọi mạo danh IT support
Khuyến nghị giảm rủi ro bảo mật
Các biện pháp phòng thủ cần tập trung vào xác thực danh tính và hạn chế đường vào từ xa. Theo khuyến nghị nêu trong tài liệu, bước đầu tiên là xác minh nghiêm ngặt danh tính bất kỳ ai tự xưng là nhân viên hỗ trợ IT, bao gồm kiểm tra ID trước khi cho phép truy cập hệ thống.
Tổ chức cũng cần quy định rõ cách nhân sự IT hợp lệ liên lạc với người dùng, để nhân viên nhận biết khi có dấu hiệu bất thường. Ở lớp kỹ thuật, có thể vô hiệu hóa truy cập từ xa trên các máy xử lý dữ liệu nhạy cảm và chặn cổng 22 nếu không cần thiết.
Các kiểm soát phòng thủ được nêu
- Xác minh danh tính kỹ thuật viên trước khi cấp quyền truy cập.
- Áp dụng chính sách giao tiếp nội bộ chuẩn cho bộ phận IT.
- Chặn port 22 nếu không phục vụ nhu cầu nghiệp vụ.
- Vô hiệu hóa quyền truy cập từ xa trên máy chứa dữ liệu nhạy cảm.
- Triển khai phishing-resistant multi-factor authentication trên các dịch vụ quan trọng.
- Đào tạo nhân viên nhận diện social engineering.
- Duy trì sao lưu định kỳ để giảm tác động khi dữ liệu bị rút ra ngoài.
Cảnh báo CVE và phát hiện tấn công theo hành vi
Nội dung này không gắn với một lỗ hổng CVE cụ thể, không có CVSS, và cũng không nêu mã khai thác. Vì vậy, trọng tâm vận hành phòng thủ nên đặt vào phát hiện tấn công dựa trên hành vi thay vì tìm kiếm IOC kiểu khai thác phần mềm.
Các đội an ninh mạng có thể theo dõi chuỗi sự kiện gồm cuộc gọi mạo danh IT, cấp quyền điều khiển từ xa, truyền file bất thường qua công cụ hợp pháp và kết nối ổ lưu trữ ngoài không được phê duyệt. Đây là các tín hiệu phù hợp cho phát hiện xâm nhập trong bối cảnh chiến dịch này.
Lệnh CLI tham chiếu để rà soát giao diện mạng
ss -tulpn
lsof -i -P -n | grep LISTEN
Ví dụ kiểm tra tiến trình chuyển file
ps aux | egrep 'winscp|rclone'
Đối với môi trường cần kiểm soát nghiêm ngặt, các log từ EDR, VPN, RDP, DLP và proxy nên được đối chiếu theo thời gian để phát hiện các phiên truy cập kéo dài bất thường, đặc biệt khi đi kèm truyền dữ liệu ra ngoài bằng công cụ quản trị hợp pháp.
