Hé lộ thủ đoạn mới của GodDamn: Mã độc tống tiền tưởng lạ nhưng thực chất là "bình mới rượu cũ"

Duy Linh
Duy Linh
Phản hồi: 0

Duy Linh

Writer
Một chiến dịch tấn công bằng mã độc tống tiền GodDamn vừa được ghi nhận cho thấy đây không phải là một họ ransomware hoàn toàn mới. Phân tích cho thấy GodDamn có mức độ trùng lặp mã nguồn đáng kể với Beast (phiên bản đổi tên của Monster từ năm 2024) và sử dụng chiến lược vận hành tương tự các chiến dịch trước đây của nhóm Hyadina.
1783658631556.png

Quá trình tấn công được thực hiện theo cách kín đáo, bắt đầu bằng việc xâm nhập hệ thống, thu thập thông tin đăng nhập bằng các công cụ của NirSoft, vô hiệu hóa các cơ chế phòng thủ ở cấp nhân hệ điều hành, sử dụng phần mềm truy cập từ xa và di chuyển ngang bằng PsExec trước khi triển khai mã hóa dữ liệu.

Chuỗi xâm nhập và thu thập thông tin đăng nhập

Theo điều tra, vụ xâm nhập diễn ra vào cuối tháng 5 và đầu tháng 6/2026. Dấu hiệu đầu tiên là ứng dụng AnyDesk được chạy từ một vị trí bất thường trong thư mục Nhạc của người dùng, cho thấy phần mềm đã được triển khai thủ công sau khi kẻ tấn công có quyền truy cập vào hệ thống.

AnyDesk được cấu hình kết nối tới nhiều địa chỉ IP chuyển tiếp, bật chế độ truy cập tự động, vô hiệu hóa các thông báo xin cấp quyền và đăng ký các dịch vụ hoạt động liên tục để duy trì khả năng truy cập sau khi hệ thống khởi động lại. Cách thức này giúp kẻ tấn công điều khiển thiết bị từ xa trong thời gian dài mà hạn chế tạo ra các hành vi dễ bị phát hiện.

Quá trình đánh cắp thông tin đăng nhập được thực hiện có hệ thống. Các nhà điều tra phát hiện trong hồ sơ người dùng có sẵn một bộ công cụ gồm Mimikatz cùng 14 tiện ích của NirSoft như WebBrowserPassView, ChromePass, PasswordFox, MailPassView, VNCPassView, WirelessKeyView và nhiều công cụ khác, kết hợp với Netscan để dò tìm các máy chủ trong mạng.

Bộ công cụ này có khả năng thu thập thông tin từ trình duyệt, Windows Credential Manager, thông tin xác thực miền được lưu trong bộ nhớ, tài khoản VNC, ứng dụng email, cấu hình Wi-Fi và cả lưu lượng mạng trực tiếp. Điều này cho phép kẻ tấn công nhanh chóng thu thập thông tin đăng nhập rồi sử dụng các tài khoản bị đánh cắp để mở rộng phạm vi xâm nhập.

Nhóm Symantec Threat Hunter theo dõi nhà phát triển đứng sau các dòng ransomware này dưới tên Hyadina. Monster được ghi nhận lần đầu vào năm 2022 và nhiều dấu hiệu kỹ thuật từ thời điểm đó tiếp tục liên kết hoạt động hiện nay với cùng một nhóm phát triển.

Việc lây lan trong mạng nội bộ được thực hiện bằng PsExec. Toàn bộ các lệnh phục vụ quá trình phát tán đều được truy vết thông qua psexesvc.exe, services.exe và wininit.exe, xác nhận phương thức phân phối dựa trên PsExec.

Vô hiệu hóa phòng thủ trước khi mã hóa dữ liệu

Trước khi triển khai ransomware, kẻ tấn công tiến hành trinh sát bằng các lệnh ipconfig và tasklist, sử dụng thông tin đăng nhập thu thập được để gắn kết các thư mục chia sẻ quản trị, đồng thời cài đặt AnyDesk trên các máy chủ đã xâm nhập nhằm xây dựng hạ tầng truy cập từ xa ổn định.
1783658869939.png

Cấu trúc của một cuộc tấn công ransomware chết tiệt (Nguồn: Symantec).
Các tập lệnh PowerShell và trình cài đặt có thể tái sử dụng giúp quá trình triển khai được đẩy nhanh trên ít nhất 10 máy chủ trong môi trường bị xâm nhập.

Một điểm đáng chú ý của chiến dịch là khả năng né tránh các giải pháp bảo mật ở cấp nhân hệ điều hành. Kẻ tấn công triển khai một tệp giả mạo nhị phân của Symantec nhằm đưa trình điều khiển PoisonX đã được ký số vào kho trình điều khiển của hệ thống.

PoisonX mang chữ ký có vẻ hợp pháp của "Microsoft Windows Hardware Compatibility Publisher", cho phép chấm dứt các tiến trình bảo mật và loại bỏ các hook ở chế độ người dùng.

Khác với các cuộc tấn công BYOVD (Bring Your Own Vulnerable Driver) vốn khai thác các trình điều khiển hợp pháp nhưng tồn tại lỗ hổng, PoisonX dường như là một trình điều khiển độc hại đã được ký điện tử, giúp kẻ tấn công có khả năng vô hiệu hóa các cơ chế bảo vệ trên thiết bị đầu cuối.

Trước đó, vào đầu năm 2026, PoisonX cũng từng được ghi nhận có hành vi tương tự khi vô hiệu hóa phần mềm bảo mật CrowdStrike.

Sau khi thu thập đầy đủ thông tin xác thực và vô hiệu hóa các lớp phòng thủ, bao gồm cả việc tắt chức năng giám sát thời gian thực của Microsoft Defender bằng lập trình, nhóm tấn công chờ một khoảng thời gian trước khi kích hoạt quá trình mã hóa dữ liệu.

Các mẫu GodDamn xuất hiện trong thư mục hồ sơ người dùng. Trong nhiều trường hợp, các tệp sau khi bị mã hóa sẽ mang phần mở rộng ".God8Damn". Tuy nhiên, trong vụ việc do Symantec điều tra, kẻ tấn công lại sử dụng chính tên của tổ chức nạn nhân làm phần mở rộng của các tệp đã mã hóa. Đây là một đặc điểm bất thường có thể hỗ trợ việc nhận diện thủ phạm trong các vụ việc tương tự sau này.

Tổng thể, chuỗi tấn công và bộ công cụ được sử dụng đều phù hợp với phương thức hoạt động trước đây của Hyadina, từ Monster năm 2022, Beast năm 2024 đến GodDamn hiện nay. Nhóm này vẫn tiếp tục sử dụng các công cụ đánh cắp thông tin của NirSoft, AnyDesk để truy cập từ xa và chiến lược đổi tên ransomware nhằm điều chỉnh kỹ thuật mã hóa cũng như mục tiêu tấn công.
 
Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview


Đăng nhập một lần thảo luận tẹt ga
Thành viên mới đăng
http://textlink.linktop.vn/?adslk=aHR0cHM6Ly92bnJldmlldy52bi90aHJlYWRzL2hlLWxvLXRodS1kb2FuLW1vaS1jdWEtZ29kZGFtbi1tYS1kb2MtdG9uZy10aWVuLXR1b25nLWxhLW5odW5nLXRodWMtY2hhdC1sYS1iaW5oLW1vaS1ydW91LWN1Ljg3MjU0Lw==
Top