Nguyễn Tiến Đạt
Intern Writer
Một nhóm tin tặc mới được theo dõi với tên gọi UNC6692 vừa bị phát hiện sử dụng thủ đoạn giả mạo nhân viên hỗ trợ CNTT thông qua nền tảng Microsoft Teams nhằm lừa nạn nhân cài đặt mã độc và xâm nhập sâu vào hệ thống doanh nghiệp.
Theo báo cáo mới công bố của Mandiant, công ty an ninh mạng thuộc Google, chiến dịch này cho thấy sự kết hợp tinh vi giữa kỹ thuật xã hội (social engineering), phần mềm độc hại tùy chỉnh và việc lạm dụng các dịch vụ đám mây hợp pháp như Amazon S3 để né tránh hệ thống phòng thủ truyền thống.
Ngay sau đó, kẻ tấn công chủ động liên hệ qua Microsoft Teams, giả danh bộ phận hỗ trợ CNTT nội bộ và đề nghị giúp khắc phục sự cố. Do vừa trải qua tình trạng spam email, nhiều nạn nhân dễ dàng tin tưởng và làm theo hướng dẫn.
Các chuyên gia cho biết đây là chiến thuật từng được các nhánh cũ của nhóm ransomware Black Basta sử dụng rộng rãi trong các chiến dịch tấn công doanh nghiệp trước đây.
Thực tế, liên kết này tải xuống một tập lệnh AutoHotkey độc hại từ kho lưu trữ trên AWS S3 do tin tặc kiểm soát. Tập lệnh này thực hiện trinh sát ban đầu, đánh cắp thông tin xác thực và triển khai bộ mã độc có tên SNOW.
Trang lừa đảo còn hiển thị giao diện giống bảng quản lý cấu hình với nút “Health Check”. Khi người dùng nhập thông tin đăng nhập hộp thư để “xác thực”, dữ liệu sẽ bị đánh cắp và chuyển sang một kho lưu trữ Amazon S3 khác.
SNOWBELT là một backdoor dựa trên JavaScript, hoạt động dưới dạng tiện ích mở rộng độc hại trên trình duyệt Chromium, chủ yếu nhắm vào Microsoft Edge. Nó được tải thông qua tham số dòng lệnh “--load-extension” khi trình duyệt chạy ở chế độ không giao diện.
SNOWGLAZE là công cụ tạo đường hầm WebSocket viết bằng Python, giúp thiết lập kết nối bí mật và được xác thực giữa mạng nội bộ của nạn nhân với máy chủ điều khiển (C2) của tin tặc.
Trong khi đó, SNOWBASIN đóng vai trò là backdoor thường trực mạnh nhất, cho phép thực thi lệnh từ xa thông qua cmd.exe hoặc PowerShell, chụp màn hình, tải lên và tải xuống tệp, đồng thời duy trì quyền truy cập lâu dài trong hệ thống.
Nhóm này cũng sử dụng kỹ thuật dump tiến trình LSASS thông qua Windows Task Manager để đánh cắp thông tin xác thực, sau đó thực hiện Pass-the-Hash nhằm chiếm quyền trên các Domain Controller.
Để thu thập dữ liệu nhạy cảm, tin tặc tải xuống và sử dụng FTK Imager để sao chép các tệp cơ sở dữ liệu Active Directory, sau đó dùng LimeWire và Rclone để đưa dữ liệu ra ngoài hệ thống.
Chiến thuật này được gọi là “Living off the Land” – sử dụng chính các công cụ hợp pháp trong doanh nghiệp để tấn công doanh nghiệp, khiến việc phát hiện bằng phần mềm chống virus truyền thống trở nên khó khăn hơn rất nhiều.
Đồng thời, người dùng cần tuyệt đối cảnh giác với các yêu cầu hỗ trợ kỹ thuật đến từ tài khoản Teams bên ngoài, không cài đặt phần mềm từ các liên kết được gửi qua chat và không cấp quyền truy cập từ xa cho người lạ.
UNC6692 cho thấy một thực tế đáng lo ngại: trong nhiều cuộc tấn công hiện đại, điểm yếu lớn nhất không còn là lỗ hổng kỹ thuật, mà chính là niềm tin củ
Theo báo cáo mới công bố của Mandiant, công ty an ninh mạng thuộc Google, chiến dịch này cho thấy sự kết hợp tinh vi giữa kỹ thuật xã hội (social engineering), phần mềm độc hại tùy chỉnh và việc lạm dụng các dịch vụ đám mây hợp pháp như Amazon S3 để né tránh hệ thống phòng thủ truyền thống.
Giả mạo IT support sau khi “dội bom” email
Phương thức tấn công của UNC6692 bắt đầu bằng chiến thuật email bombing – gửi hàng loạt thư rác nhằm làm quá tải hộp thư của nạn nhân, tạo cảm giác khẩn cấp và khiến họ tin rằng hệ thống email đang gặp sự cố nghiêm trọng.Ngay sau đó, kẻ tấn công chủ động liên hệ qua Microsoft Teams, giả danh bộ phận hỗ trợ CNTT nội bộ và đề nghị giúp khắc phục sự cố. Do vừa trải qua tình trạng spam email, nhiều nạn nhân dễ dàng tin tưởng và làm theo hướng dẫn.
Các chuyên gia cho biết đây là chiến thuật từng được các nhánh cũ của nhóm ransomware Black Basta sử dụng rộng rãi trong các chiến dịch tấn công doanh nghiệp trước đây.
Link giả mạo “sửa lỗi mailbox” dẫn tới cài mã độc
Trong cuộc trò chuyện trên Teams, nạn nhân được yêu cầu nhấp vào một liên kết lừa đảo có tên “Mailbox Repair and Sync Utility v2.1.5”, được ngụy trang như một công cụ vá lỗi hộp thư.Thực tế, liên kết này tải xuống một tập lệnh AutoHotkey độc hại từ kho lưu trữ trên AWS S3 do tin tặc kiểm soát. Tập lệnh này thực hiện trinh sát ban đầu, đánh cắp thông tin xác thực và triển khai bộ mã độc có tên SNOW.
Trang lừa đảo còn hiển thị giao diện giống bảng quản lý cấu hình với nút “Health Check”. Khi người dùng nhập thông tin đăng nhập hộp thư để “xác thực”, dữ liệu sẽ bị đánh cắp và chuyển sang một kho lưu trữ Amazon S3 khác.
Hệ sinh thái mã độc SNOW gồm nhiều thành phần
Bộ công cụ SNOW gồm ba thành phần chính phối hợp với nhau để duy trì quyền truy cập và hỗ trợ hoạt động đánh cắp dữ liệu.SNOWBELT là một backdoor dựa trên JavaScript, hoạt động dưới dạng tiện ích mở rộng độc hại trên trình duyệt Chromium, chủ yếu nhắm vào Microsoft Edge. Nó được tải thông qua tham số dòng lệnh “--load-extension” khi trình duyệt chạy ở chế độ không giao diện.
SNOWGLAZE là công cụ tạo đường hầm WebSocket viết bằng Python, giúp thiết lập kết nối bí mật và được xác thực giữa mạng nội bộ của nạn nhân với máy chủ điều khiển (C2) của tin tặc.
Trong khi đó, SNOWBASIN đóng vai trò là backdoor thường trực mạnh nhất, cho phép thực thi lệnh từ xa thông qua cmd.exe hoặc PowerShell, chụp màn hình, tải lên và tải xuống tệp, đồng thời duy trì quyền truy cập lâu dài trong hệ thống.
Leo thang đặc quyền và đánh cắp dữ liệu
Sau khi giành được quyền truy cập ban đầu, UNC6692 tiếp tục quét mạng nội bộ để tìm các cổng phổ biến như 135, 445 và 3389 nhằm phục vụ di chuyển ngang (lateral movement).Nhóm này cũng sử dụng kỹ thuật dump tiến trình LSASS thông qua Windows Task Manager để đánh cắp thông tin xác thực, sau đó thực hiện Pass-the-Hash nhằm chiếm quyền trên các Domain Controller.
Để thu thập dữ liệu nhạy cảm, tin tặc tải xuống và sử dụng FTK Imager để sao chép các tệp cơ sở dữ liệu Active Directory, sau đó dùng LimeWire và Rclone để đưa dữ liệu ra ngoài hệ thống.
Xu hướng “Living off the Land” ngày càng nguy hiểm
Theo Mandiant, điểm đáng lo ngại nhất của chiến dịch này không nằm ở mã độc quá phức tạp, mà ở việc kẻ tấn công tận dụng hàng loạt công cụ hợp pháp như Teams, Quick Assist, Supremo, PsExec, WinRM, Level RMM, Rclone và các dịch vụ đám mây như AWS S3.Chiến thuật này được gọi là “Living off the Land” – sử dụng chính các công cụ hợp pháp trong doanh nghiệp để tấn công doanh nghiệp, khiến việc phát hiện bằng phần mềm chống virus truyền thống trở nên khó khăn hơn rất nhiều.
Cảnh báo cho doanh nghiệp
Các chuyên gia khuyến nghị doanh nghiệp cần siết chặt quyền truy cập Teams từ bên ngoài tổ chức, hạn chế sử dụng PowerShell, kiểm soát chặt các công cụ hỗ trợ từ xa và giám sát bất thường liên quan đến Quick Assist, PsExec, Rclone cũng như lưu lượng truy cập bất thường tới các dịch vụ đám mây.Đồng thời, người dùng cần tuyệt đối cảnh giác với các yêu cầu hỗ trợ kỹ thuật đến từ tài khoản Teams bên ngoài, không cài đặt phần mềm từ các liên kết được gửi qua chat và không cấp quyền truy cập từ xa cho người lạ.
UNC6692 cho thấy một thực tế đáng lo ngại: trong nhiều cuộc tấn công hiện đại, điểm yếu lớn nhất không còn là lỗ hổng kỹ thuật, mà chính là niềm tin củ
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
