Các nhóm tấn công mạng tiên tiến (APT) và tội phạm mạng đang liên tục phát triển các kỹ thuật tinh vi để vượt qua hàng rào phòng thủ. Một trong những nhóm đáng chú ý là UAC-0001, thường được biết đến với tên gọi APT28, đã triển khai một chiến dịch tấn công diện rộng nhắm vào các hệ thống quan trọng. Chiến dịch này đặc biệt nhắm mục tiêu vào các thiết bị Hệ thống Điều khiển Công nghiệp (ICS) chạy trên nền tảng Windows, đặc biệt là các máy chủ của chính phủ Ukraine trong giai đoạn tháng 3-4 năm 2024.
Hoạt Động Tấn Công Của Nhóm UAC-0001 (APT28)
UAC-0001 (hay APT28) là một nhóm tấn công mạng có liên kết với chính phủ, nổi tiếng với các hoạt động gián điệp mạng và phá hoại. Nhóm này thường sử dụng các kỹ thuật tấn công tinh vi, tập trung vào việc thu thập thông tin tình báo và gây gián đoạn hệ thống. Trong chiến dịch gần đây, mục tiêu chính là các hệ thống ICS, vốn đóng vai trò cốt lõi trong vận hành hạ tầng quan trọng, cho thấy mức độ nghiêm trọng và tiềm năng gây thiệt hại lớn từ các cuộc tấn công này.
Chiến dịch được ghi nhận trong khoảng thời gian từ tháng 3 đến tháng 4 năm 2024, nhắm vào các máy chủ của chính phủ Ukraine, làm nổi bật nguy cơ ngày càng tăng đối với các hệ thống kiểm soát công nghiệp trên toàn cầu. Các cuộc tấn công như vậy có thể dẫn đến việc kiểm soát, phá hoại hoặc gián đoạn hoạt động của các hệ thống vật lý, gây ra những hậu quả nghiêm trọng.
Chuỗi Tấn Công Và Các Công Cụ Khai Thác
Phương Thức Xâm Nhập Ban Đầu và Phân Phối
Giai đoạn đầu của cuộc tấn công thường bắt đầu bằng việc phân phối mã độc thông qua các nền tảng liên lạc. Trong trường hợp này, nền tảng nhắn tin Signal đã được sử dụng để chuyển phát một tài liệu độc hại có tên “Act.doc”. Tài liệu này chứa các macro độc hại được thiết kế để thực thi khi người dùng mở và cho phép nội dung macro. Kỹ thuật này vẫn là một trong những phương pháp phổ biến nhất để đạt được quyền truy cập ban đầu vào hệ thống mục tiêu, lợi dụng kỹ thuật xã hội để đánh lừa người dùng.
Các Thành Phần Mã Độc Chính
Sau khi macro được thực thi, một chuỗi các thành phần mã độc được triển khai, mỗi thành phần đóng một vai trò cụ thể trong cuộc tấn công:
- COVENANT framework: Đây là một framework hậu khai thác dựa trên .NET, cung cấp cho kẻ tấn công khả năng thực hiện nhiều tác vụ trên hệ thống đã bị xâm nhập, từ thu thập thông tin đến thực thi mã tùy ý. Một thành phần của nó, ksmqsyck.dx4.exe, được biết là đã khởi chạy trong bộ nhớ, cho thấy nỗ lực tránh bị phát hiện bằng cách hạn chế ghi vào đĩa.
- BEARDSHELL backdoor: Đây là một backdoor mạnh mẽ, cho phép kẻ tấn công duy trì quyền truy cập từ xa vào hệ thống. Nó được triển khai và duy trì thông qua các tác vụ đã lên lịch (Scheduled tasks), đảm bảo quyền truy cập liên tục ngay cả sau khi khởi động lại hệ thống.
- SLIMAGENT malware: Một loại mã độc khác được sử dụng trong chiến dịch này, thường được triển khai để do thám hệ thống, thu thập thông tin ban đầu hoặc làm bàn đạp cho các giai đoạn tấn công tiếp theo.
Cơ Chế Khai Thác Payload
Để triển khai các payload phức tạp, nhóm tấn công đã sử dụng một kỹ thuật đặc biệt liên quan đến việc mã hóa và giải mã. Cụ thể, file windows.png không phải là một hình ảnh thông thường mà là một payload shellcode được mã hóa. File ctec.dll đóng vai trò là thành phần giải mã, chịu trách nhiệm giải mã shellcode chứa trong windows.png để thực thi. Việc giấu shellcode trong một file hình ảnh là một kỹ thuật tẩu tán nhằm lẩn tránh các giải pháp bảo mật dựa trên chữ ký hoặc heuristic thông thường. Các file như PlaySndSrv.dll và sample-03.wav cũng được tìm thấy trong chuỗi tấn công, cho thấy khả năng chúng là các thành phần bổ trợ, thư viện được tải hoặc các file chứa dữ liệu độc hại khác, mặc dù vai trò chính xác của chúng có thể cần phân tích sâu hơn.
Duy Trì Quyền Truy Cập và Kiểm Soát (Persistence & C2)
Kỹ Thuật Duy Trì Quyền Truy Cập (Persistence)
Để đảm bảo sự hiện diện liên tục trên hệ thống bị xâm nhập, các tác nhân đe dọa đã sử dụng một số kỹ thuật duy trì quyền truy cập mạnh mẽ:
- COM-hijacking techniques: Kỹ thuật này liên quan đến việc sửa đổi các khóa registry của Windows để thay thế các đối tượng COM hợp pháp bằng các đối tượng độc hại. Khi một ứng dụng hợp pháp cố gắng gọi đối tượng COM bị chiếm quyền điều khiển, mã độc sẽ được thực thi. Điều này cho phép kẻ tấn công duy trì quyền truy cập ngay cả khi các file ban đầu bị xóa, và mã độc sẽ được kích hoạt mỗi khi ứng dụng hợp pháp tương ứng được chạy.
- Scheduled tasks for persistence and backdoor deployment: Các tác vụ đã lên lịch được sử dụng để tự động khởi chạy mã độc hoặc triển khai lại backdoor như BEARDSHELL. Kỹ thuật này giúp đảm bảo rằng mã độc sẽ tồn tại qua các lần khởi động lại hệ thống và có thể được kích hoạt định kỳ để duy trì kết nối với máy chủ C2. Các chỉnh sửa registry cũng được thực hiện để hỗ trợ các tác vụ này.
Kênh Chỉ Huy và Kiểm Soát (Command and Control – C2)
Một trong những đặc điểm nổi bật của chiến dịch này là việc sử dụng các dịch vụ hợp pháp làm kênh C2. Cụ thể, Koofr service API đã được sử dụng như một kênh điều khiển. Việc này giúp các tác nhân đe dọa che giấu lưu lượng C2 của mình trong luồng truy cập mạng hợp pháp, gây khó khăn cho việc phát hiện và chặn bởi các hệ thống bảo mật truyền thống. Sử dụng các dịch vụ đám mây công cộng hoặc API của các ứng dụng phổ biến cho C2 đang trở thành một xu hướng, vì chúng tận dụng cơ sở hạ tầng đáng tin cậy và thường được cho phép qua tường lửa, giúp luồng thông tin C2 hòa lẫn vào lưu lượng mạng thông thường.
Các Chỉ Số Thỏa Hiệp (Indicators of Compromise – IOCs)
Để hỗ trợ các nhóm bảo mật trong việc phát hiện và phản ứng với cuộc tấn công này, dưới đây là danh sách các IOCs chính được xác định:
Các Tệp Liên Quan Đến Chuỗi Tấn Công
- Act.doc (tài liệu độc hại)
- ctec.dll (file DLL dùng để giải mã shellcode)
- windows.png (payload shellcode được mã hóa)
- ksmqsyck.dx4.exe (thành phần của COVENANT framework khởi chạy trong bộ nhớ)
- PlaySndSrv.dll
- sample-03.wav
Kênh Chỉ Huy và Kiểm Soát
- Koofr service API (được sử dụng làm kênh kiểm soát)
Việc giám sát và chặn các IOCs này trong môi trường mạng là bước cần thiết để ngăn chặn và giảm thiểu tác động của các cuộc tấn công tương tự. Các tổ chức cần triển khai các biện pháp phát hiện dựa trên IOCs cũng như các chiến lược phòng thủ sâu rộng để bảo vệ hệ thống ICS và cơ sở hạ tầng quan trọng khỏi các mối đe dọa tiên tiến như từ UAC-0001 (APT28).
