Một nhóm tội phạm mạng tinh vi được biết đến với tên gọi Lunar Spider đã thành công xâm nhập một máy chủ Windows thông qua một cú nhấp chuột độc hại duy nhất. Sự kiện này thiết lập một chỗ đứng ban đầu, cho phép nhóm này thu thập thông tin xác thực và duy trì quyền truy cập dai dẳng trong gần hai tháng. Đây là một ví dụ điển hình về một cuộc tấn công mạng phức tạp và có mục tiêu rõ ràng.

Phân Tích Chi Tiết Cuộc Tấn Công Mạng của Lunar Spider

Cuộc tấn công bắt đầu vào tháng 5 năm 2024, khi một người dùng không nghi ngờ đã thực thi một tệp JavaScript bị làm rối mã (obfuscated) nghiêm trọng. Tệp này ngụy trang thành một biểu mẫu thuế hợp pháp, có tên cụ thể là “FormW-9Ver-i4053b043910-86g91352u7972-6495q3.js”. Sự kiện này là bước khởi đầu cho chuỗi xâm nhập.

Theo báo cáo từ các nhà nghiên cứu bảo mật và được EclecticIQ liên kết với nhóm truy cập ban đầu Lunar Spider, tệp độc hại này chứa rất ít mã thực thi được phân tán giữa một lượng lớn nội dung giả (filler content), nhằm mục đích né tránh các hệ thống phát hiện. Chiến thuật này giúp chúng vượt qua các lớp bảo vệ ban đầu.

Payload JavaScript ngay lập tức kích hoạt việc tải xuống một gói MSI từ một máy chủ từ xa. Gói MSI này sau đó đã triển khai một tệp DLL của Brute Ratel bằng cách sử dụng tiện ích Windows hợp pháp rundll32. Đây là một phương pháp phổ biến để khởi chạy mã độc, mở đường cho một cuộc tấn công mạng sâu rộng.

Triển Khai và Cơ Chế Command and Control (C2) của Latrodectus Malware

Cách tiếp cận nhiều giai đoạn này cho phép các tác nhân đe dọa tiêm Latrodectus malware vào tiến trình explorer.exe. Đồng thời, chúng thiết lập các kênh liên lạc Command and Control (C2) với nhiều tên miền được proxy qua CloudFlare. Sự tinh vi trong việc ẩn mình của mối đe dọa mạng này cho thấy năng lực của nhóm tấn công.

Trong vòng một giờ đầu tiên sau khi truy cập, payload của Latrodectus malware đã truy xuất một mô-đun đánh cắp chuyên dụng, được thiết kế để thu thập thông tin xác thực từ các hệ thống bị xâm nhập.

Thu Thập Thông Tin Xác Thực Mở Rộng

Mã độc này đã thể hiện khả năng tinh vi, nhắm mục tiêu vào 29 trình duyệt dựa trên Chromium khác nhau, bao gồm Google Chrome, Microsoft Edge, Yandex Browser, Vivaldi và nhiều biến thể khác. Firefox được xử lý riêng thông qua việc liệt kê hồ sơ, nhắm mục tiêu vào các tệp cơ sở dữ liệu cookies.sqlite.

Việc thu thập thông tin xác thực không chỉ dừng lại ở trình duyệt mà còn mở rộng sang các cấu hình email từ Microsoft Outlook trên các phiên bản Office từ 11.0 đến 17.0. Điều này được thực hiện bằng cách truy vấn các khóa Registry của Windows.

Mô-đun đánh cắp đã trích xuất các cấu hình máy chủ bao gồm địa chỉ máy chủ SMTP, POP3, IMAP, NNTP, số cổng, tên người dùng và mật khẩu được mã hóa. Điều này cung cấp cho những kẻ tấn công quyền truy cập toàn diện vào cơ sở hạ tầng truyền thông của nạn nhân, một kết quả nghiêm trọng của cuộc tấn công mạng và xâm phạm dữ liệu.

Duy Trì Quyền Truy Cập và Di Chuyển Ngang

Sự kiên trì của các tác nhân đe dọa đã mang lại kết quả vào ngày thứ ba, khi chúng phát hiện một tệp unattend.xml (Windows Answer file) chứa thông tin xác thực quản trị viên miền (domain administrator credentials) ở dạng văn bản thuần, sót lại từ một quy trình triển khai tự động. Phát hiện này là một bước ngoặt quan trọng trong chiến dịch.

Vào ngày thứ tư, tác nhân đe dọa đã triển khai và thực thi một tệp nhị phân có tên lsassa.exe thông qua BackConnect trên máy chủ bị xâm nhập ban đầu. Việc này cung cấp quyền truy cập đặc quyền cao ngay lập tức vào môi trường miền, mở rộng đáng kể khả năng tác động và di chuyển ngang (lateral movement) của chúng. Sự kiện này đánh dấu một bước leo thang đáng kể trong cuộc tấn công mạng.

Kỹ Thuật Né Tránh và Duy Trì Quyền Truy Cập Lâu Dài

Trong suốt chiến dịch, Lunar Spider đã sử dụng các kỹ thuật né tránh tinh vi, bao gồm tiêm tiến trình (process injection) vào các tiến trình Windows hợp pháp như explorer.exe, sihost.exe và spoolsv.exe. Điều này giúp chúng ẩn mình khỏi các giải pháp bảo mật và duy trì sự hiện diện.

Chúng cũng thiết lập nhiều cơ chế duy trì quyền truy cập (persistence mechanisms), bao gồm các khóa Registry Run và các tác vụ theo lịch (scheduled tasks). Điều này đảm bảo rằng quyền truy cập của chúng sẽ tồn tại qua các lần khởi động lại hệ thống và các nỗ lực khắc phục cơ bản, kéo dài thời gian của cuộc tấn công mạng nguy hiểm này.

Khung C2 Đa Lớp và Exfiltration Dữ Liệu

Những kẻ tấn công đã triển khai nhiều khung Command and Control (C2), bao gồm Brute Ratel, Latrodectus và các beacon của Cobalt Strike. Việc này tạo ra các kênh liên lạc dự phòng với cơ sở hạ tầng của chúng. Cách tiếp cận đa lớp này thể hiện các thực hành bảo mật vận hành tiên tiến, điển hình của các tổ chức tội phạm mạng chuyên nghiệp.

Điều đáng chú ý là các tác nhân đe dọa đã duy trì quyền truy cập C2 không liên tục trong gần hai tháng sau khi xâm nhập ban đầu. Khoảng thời gian này, còn được gọi là “dwell time”, cực kỳ dài và cho phép chúng thực hiện nhiều hoạt động gián điệp và thu thập thông tin.

Chiến Thuật Exfiltration Dữ Liệu

Vào ngày thứ hai mươi của cuộc xâm nhập, chúng đã thành công trích xuất dữ liệu từ các máy chủ chia sẻ tệp bằng cách sử dụng một tệp nhị phân Rclone được đổi tên qua các kết nối FTP. Quá trình exfiltration dữ liệu này kéo dài khoảng mười giờ. Đây là một giai đoạn quan trọng của cuộc tấn công mạng này, thể hiện mục tiêu chính của chúng.

Mặc dù thời gian ẩn náu kéo dài và quyền truy cập toàn diện vào cơ sở hạ tầng quan trọng, không có việc triển khai ransomware nào được quan sát thấy trong cuộc xâm nhập này. Điều này cho thấy những kẻ tấn công ưu tiên đánh cắp dữ liệu hơn là các hoạt động phá hoại. Đây là một mối đe dọa mạng tập trung vào thông tin và gián điệp.

Chiến dịch này làm nổi bật mối đe dọa mạng dai dẳng do các nhóm tội phạm mạng có nguồn lực dồi dào gây ra. Nó cũng nhấn mạnh tầm quan trọng của việc giám sát an ninh mạnh mẽ và khả năng phản ứng sự cố nhanh chóng. Đối với các tổ chức, việc hiểu rõ các kỹ thuật được sử dụng trong các cuộc tấn công mạng như của Lunar Spider là rất cần thiết để tăng cường phòng thủ.

Để tìm hiểu thêm chi tiết về cuộc tấn công này, bạn có thể tham khảo báo cáo chuyên sâu từ The DFIR Report: From a Single Click: How Lunar Spider Enabled a Near Two-Month Intrusion.