Các tác nhân đe dọa đã tận dụng kỹ thuật SEO poisoning để thao túng kết quả tìm kiếm của Bing, điều hướng người dùng truy vấn cho “ManageEngine OpManager” đến một tên miền độc hại: opmanager[.]pro. Chiến dịch tấn công mạng tinh vi này nhằm mục đích phát tán mã độc Bumblebee, dẫn đến triển khai ransomware Akira và gây ra rủi ro nghiêm trọng cho các tổ chức mục tiêu.

Chiến Dịch Tấn Công Mạng Từ SEO Poisoning

Chiêu Thức Thao Túng Kết Quả Tìm Kiếm (SEO Poisoning)

Chiến dịch khởi đầu bằng việc kiểm soát các kết quả tìm kiếm trên Bing. Khi người dùng tìm kiếm phần mềm quản lý mạng như “ManageEngine OpManager”, họ bị chuyển hướng đến một trang web giả mạo là opmanager[.]pro. Trang web này được thiết kế để phân phối một trình cài đặt MSI độc hại có tên ManageEngine-OpManager.msi. Đây là một file cài đặt được ‘trojan hóa’, nghĩa là nó vừa cài đặt phần mềm hợp pháp để đánh lừa nạn nhân, vừa âm thầm triển khai mã độc.

Triển Khai Mã Độc Bumblebee Loader

Bên trong trình cài đặt MSI giả mạo, mã độc Bumblebee malware loader đã được nhúng sẵn. Bumblebee được biết đến từ cuối năm 2021 như một công cụ truy cập ban đầu, thường liên quan đến các nhóm tấn công như EXOTIC LILY và TA578. Mã độc này sử dụng một chuỗi user-agent duy nhất để nhận dạng và thường được phân phối dưới dạng các file ISO chứa DLL với các bộ nạp tùy chỉnh.

Trong chiến dịch cụ thể này, Bumblebee được nhúng trong thư viện msimg32.dll và được thực thi thông qua quy trình consent.exe. Sau khi kích hoạt, mã độc này thiết lập kết nối Command-and-Control (C2) bằng cách sử dụng các tên miền được tạo động thông qua thuật toán DGA (Domain Generation Algorithm).

Sự Tái Bùng Phát và Tiến Hóa Của Bumblebee

Sự xuất hiện trở lại của Bumblebee trong chiến dịch này phản ánh các báo cáo trước đây, bao gồm phân tích vào tháng 5 năm 2025 của Cyjax về các cuộc tấn công tương tự dựa trên Bing, mạo danh các công cụ IT. Điều này cũng phù hợp với sự phát triển của Bumblebee hướng tới các cấu trúc mô-đun, tương tự như mã độc TrickBot, như đã được ghi nhận trong nghiên cứu của ESET vào năm 2022.

Mục Tiêu Nhắm Đến Quản Trị Viên IT và Leo Thang Nhanh Chóng

Việc chiến dịch nhắm mục tiêu vào các quản trị viên IT có đặc quyền, những người thường xuyên tìm kiếm phần mềm quản lý mạng, đã tạo điều kiện thuận lợi cho việc leo thang đặc quyền nhanh chóng. Bumblebee có khả năng tải về các payload thứ cấp như Cobalt Strike hoặc, trong trường hợp này, dẫn đến triển khai Akira ransomware. Chi tiết về một cuộc tấn công ransomware Akira từng khai thác lỗ hổng zero-day có thể tham khảo tại: gbhackers.com.

Sự xác nhận từ Swisscom B2B CSIRT về một cuộc xâm nhập song song qua một file Advanced-IP-Scanner.msi được ‘trojan hóa’ càng cho thấy quy mô của chiến dịch. Các cuộc tấn công này đã ảnh hưởng đến nhiều tổ chức và dẫn đến chỉ số Time-to-Ransomware (TTR) rất nhanh, dao động từ 9 giờ trong trường hợp của Swisscom đến 44 giờ trong sự cố được quan sát.

Chuỗi Tấn Công Sau Khi Xâm Nhập Hệ Thống

Thiết Lập Kết Nối Command-and-Control (C2)

Theo báo cáo từ The DFIR Report (có thể tham khảo tại: thedfirreport.com), ngay sau khi được thực thi, payload của Bumblebee đã khởi tạo kết nối C2 với các địa chỉ IP như 109.205.195[.]211 và 188.40.187[.]145, sử dụng các tên miền DGA như ev2sirbd269o5j.org. Chỉ trong vài giờ, nó đã triển khai một beacon AdaptixC2 (AdgNsy.exe) để thiết lập C2 bổ sung tới địa chỉ 172.96.137[.]160. Kết nối này cho phép các tác nhân đe dọa thực hiện các hoạt động trinh sát nội bộ.

Hoạt Động Khám Phá và Thu Thập Thông Tin

Các lệnh CLI được sử dụng để khám phá hệ thống và mạng bao gồm:

systeminfo
nltest /dclist:
net group domain admins /dom

Các lệnh này giúp kẻ tấn công thu thập thông tin chi tiết về hệ thống, danh sách các bộ điều khiển miền (domain controllers), và thành viên của nhóm quản trị miền.

Leo Thang Đặc Quyền và Di Chuyển Ngang

Sau khi thu thập thông tin, các tác nhân đe dọa đã tạo các tài khoản có đặc quyền (ví dụ: backup_EA) và thực hiện leo thang đặc quyền. Chúng tiếp tục di chuyển ngang sang các bộ điều khiển miền thông qua Remote Desktop Protocol (RDP) để trích xuất file NTDS.dit bằng cách sử dụng công cụ wbadmin.exe. File NTDS.dit chứa các thông tin xác thực nhạy cảm, cho phép kẻ tấn công thu thập mật khẩu băm của các tài khoản miền.

Thiết Lập Duy Trì Quyền Truy Cập (Persistence)

Để duy trì quyền truy cập vào hệ thống, các tác nhân đã cài đặt RustDesk. Ngoài ra, một tunnel SSH đảo chiều (reverse tunnel) tới địa chỉ 193.242.184[.]150 đã được thiết lập để làm proxy cho các hoạt động tiếp theo, giúp che giấu lưu lượng độc hại và duy trì kết nối bền vững.

Khám Phá Dữ Liệu và Chuẩn Bị Cho Việc Đánh Cắp

Các hoạt động khám phá tiếp theo bao gồm việc triển khai một bản sao của công cụ quét mạng SoftPerfect Network Scanner đã được đổi tên thành n.exe. Kẻ tấn công cũng đã truy vấn các cơ sở dữ liệu Veeam PostgreSQL bằng psql.exe để tìm kiếm các thông tin xác thực được lưu trữ. Thông tin chi tiết về các cuộc tấn công PostgreSQL có thể được tìm thấy tại: gbhackers.com.

Thực Thi Đánh Cắp Dữ Liệu

Việc đánh cắp dữ liệu (data exfiltration) đã diễn ra qua giao thức FileZilla SFTP tới máy chủ 185.174.100[.]203. Trước đó, các tác nhân đã thực hiện dump bộ nhớ LSASS (Local Security Authority Subsystem Service) bằng cách sử dụng rundll32.exe với comsvcs.dll trên nhiều máy chủ. Điều này cho phép chúng trích xuất thêm thông tin xác thực dưới dạng clear-text hoặc băm để sử dụng trong các bước tiếp theo của cuộc tấn công mạng.

Mã Độc Tống Tiền Akira và Tác Động Cuối Cùng

Triển Khai Mã Độc Ransomware Akira

Đỉnh điểm của chuỗi tấn công là việc triển khai mã độc ransomware Akira (file thực thi là locker.exe). Mã độc này đã tiến hành mã hóa các miền gốc và các miền con (root and child domains), với các tùy chọn nhắm mục tiêu vào các ổ đĩa cục bộ và các thư mục chia sẻ mạng (network shares). Tác động của cuộc tấn công mạng này là làm tê liệt hoạt động của các tổ chức bị ảnh hưởng, gây ra thiệt hại tài chính và gián đoạn nghiêm trọng.

Vai Trò Của Bumblebee Trong Hệ Sinh Thái Ransomware

Chuỗi sự kiện này một lần nữa nhấn mạnh vai trò quan trọng của Bumblebee trong các hệ sinh thái tiền ransomware, như đã được ghi nhận trong các phân tích lịch sử từ Proofpoint và Microsoft. Bumblebee thường có sự chồng chéo với các công cụ khác như Sliver và Conti, khẳng định vị thế của nó như một công cụ truy cập ban đầu hiệu quả cho các cuộc tấn công đòi tiền chuộc.

Chỉ Số Nhận Dạng Nguy Cơ (IOCs)

Để hỗ trợ các hoạt động phát hiện xâm nhập và ứng phó sự cố, dưới đây là các chỉ số nhận dạng nguy cơ (IOCs) liên quan đến chiến dịch này:

• Tên miền độc hại:opmanager[.]pro
• Địa chỉ IP C2:
  • 109.205.195[.]211
  • 188.40.187[.]145
  • 172.96.137[.]160
  • 193.242.184[.]150 (SSH reverse tunnel)
  • 185.174.100[.]203 (SFTP exfiltration)
• Tên miền DGA:ev2sirbd269o5j.org
• Tên file độc hại:
  • ManageEngine-OpManager.msi
  • Advanced-IP-Scanner.msi
  • msimg32.dll (chứa Bumblebee)
  • AdgNsy.exe (AdaptixC2 beacon)
  • n.exe (SoftPerfect network scanner đổi tên)
  • locker.exe (Akira ransomware)
• Tài khoản độc hại:backup_EA

Chiến Lược Phòng Ngừa và Phát Hiện Xâm Nhập

Kỹ Thuật Săn Tìm Mối Đe Dọa (Threat Hunting)

Các tổ chức nên tích cực săn tìm các dấu hiệu bất thường để phát hiện xâm nhập. Điều này bao gồm việc tìm kiếm các thực thi MSI bất thường từ các thư mục người dùng tạo ra tiến trình consent.exe. Chú ý đến các lệnh CLI sử dụng hỗn hợp chữ hoa và chữ thường (mixed-case) nhằm mục đích trốn tránh phát hiện, cũng như các chuỗi liệt kê hệ thống diễn ra nhanh chóng và liên tục.

Quy Tắc Phát Hiện Hành Vi và Phản Ứng

Việc triển khai các quy tắc dựa trên hành vi có thể nâng cao khả năng săn tìm mối đe dọa. Các quy tắc này nên tập trung vào việc tương quan các cài đặt MSI với các hoạt động khám phá, truy cập thông tin xác thực, và di chuyển ngang trong vòng 24 giờ. Sự kết hợp các sự kiện này là dấu hiệu mạnh mẽ của một cuộc tấn công đang diễn ra.

Giám Sát Chủ Động Để Bảo Mật Mạng

Để đảm bảo bảo mật mạng toàn diện, việc giám sát các mẫu DGA và tunneling SSH là rất quan trọng. Đây là các biện pháp phòng thủ chủ động chống lại các tác nhân môi giới truy cập ban đầu (initial access brokers) thường sử dụng các kỹ thuật này để thiết lập chỗ đứng trong mạng lưới. Việc nắm bắt kịp thời các hoạt động này có thể ngăn chặn chuỗi tấn công trước khi nó leo thang thành các mối đe dọa nghiêm trọng hơn như ransomware.