Nhóm mã độc ransomware Agenda đã phát triển phương pháp tấn công của mình bằng một kỹ thuật tinh vi mới. Kỹ thuật này triển khai các biến thể Linux ransomware trực tiếp trên hệ thống Windows, đặt ra thách thức lớn cho các giải pháp bảo mật điểm cuối truyền thống.

Sự Tiến Hóa Trong Chiến Thuật Triển Khai Mã Độc Ransomware

Cuộc tấn công mạng này đại diện cho một bước tiến đáng kể trong các chiến lược triển khai ransomware. Các tác nhân đe dọa đã sử dụng WinSCP để truyền tải các tệp nhị phân Linux ransomware lên máy Windows một cách an toàn.

Sau đó, chúng lợi dụng phần mềm quản lý từ xa Splashtop Remote để thực thi payload đa nền tảng trực tiếp trên các hệ thống Windows.

Nghiên cứu của Trend Micro đã phát hiện chiến dịch tấn công nâng cao này. Chiến dịch nhắm mục tiêu cụ thể vào cơ sở hạ tầng VMware và các hệ thống sao lưu.

Nó kết hợp các công cụ quản lý từ xa hợp pháp với kỹ thuật Bring-Your-Own-Vulnerable-Driver (BYOVD) để né tránh phát hiện và mã hóa các môi trường doanh nghiệp lai (hybrid environments).

Cách tiếp cận phi truyền thống này vượt qua hầu hết các hệ thống phát hiện điểm cuối. Các hệ thống này chủ yếu được cấu hình để giám sát các tệp thực thi Windows gốc chứ không phải các tệp nhị phân Linux chạy qua các kênh quản lý từ xa.

Bạn có thể tham khảo thêm chi tiết về nghiên cứu này tại: Trend Micro Research.

Chuỗi Tấn Công Ban Đầu và Thu Thập Thông Tin Xác Thực

Chuỗi tấn công bắt đầu bằng các trang CAPTCHA giả mạo được lưu trữ trên cơ sở hạ tầng lưu trữ Cloudflare R2. Các trang này phát tán phần mềm đánh cắp thông tin để thu thập thông tin xác thực và mã thông báo xác thực.

Sau khi xâm nhập vào mạng, những kẻ tấn công đã cài đặt nhiều công cụ quản lý từ xa. Chúng bao gồm AnyDesk thông qua nền tảng RMM của ATERA Networks và ScreenConnect để thực thi lệnh.

Việc này tạo ra các kênh truy cập dự phòng có vẻ hợp pháp đối với các hệ thống giám sát bảo mật. Việc lạm dụng chiến lược các công cụ CNTT đáng tin cậy đã giúp các tác nhân đe dọa pha trộn hoạt động độc hại với các hoạt động quản trị thông thường.

Nhắm Mục Tiêu Hệ Thống Sao Lưu Veeam và Đánh Cắp Thông Tin Xác Thực

Một đặc điểm nổi bật của chiến dịch này là việc cố ý nhắm mục tiêu vào các hệ thống sao lưu Veeam. Mục đích là để làm suy yếu khả năng khôi phục sau thảm họa trước khi triển khai mã độc ransomware.

Những kẻ tấn công đã thực thi các script PowerShell với các payload được mã hóa base64. Mục đích là để trích xuất và giải mã một cách có hệ thống các thông tin xác thực được lưu trữ từ nhiều cơ sở dữ liệu sao lưu Veeam.

Các cơ sở dữ liệu này chứa thông tin xác thực cho bộ điều khiển miền (domain controllers), máy chủ Exchange, cơ sở dữ liệu SQL và máy chủ tệp trên toàn bộ cơ sở hạ tầng doanh nghiệp.

Bằng cách thu thập thông tin xác thực từ các hệ thống sao lưu, nhóm Agenda đã có được quyền truy cập toàn diện vào các hệ thống từ xa. Đồng thời, chúng làm suy yếu khả năng của tổ chức trong việc khôi phục sau cuộc tấn công mã độc ransomware.

Truy Vấn Cơ Sở Dữ Liệu Mục Tiêu

Các tác nhân đe dọa đã truy vấn các bảng cơ sở dữ liệu cụ thể. Các bảng này bao gồm Credentials, BackupRepositories và WinServers.

Mục đích là để thu thập các tài khoản quản trị viên miền, tài khoản dịch vụ và thông tin xác thực quản trị viên cục bộ.

Cách tiếp cận này cho thấy một kế hoạch hoạt động nâng cao. Kế hoạch tập trung vào việc đảm bảo mã hóa thành công đồng thời loại bỏ các tùy chọn phục hồi, gia tăng rủi ro bảo mật cho nạn nhân.

Kỹ Thuật Né Tránh Phát Hiện Bằng BYOVD

Những kẻ tấn công đã triển khai nhiều driver dễ bị tổn thương để vô hiệu hóa các giải pháp bảo mật và né tránh các cơ chế phát hiện.

Phân tích đã tiết lộ việc sử dụng eskle.sys, một driver được ký điện tử bởi một công ty công nghệ trò chơi có trụ sở tại Bắc Kinh. Driver này thường được các tác nhân đe dọa tái sử dụng từ các công cụ phát triển gian lận trò chơi.

Driver này cung cấp quyền truy cập cấp kernel để chấm dứt các tiến trình bảo mật, phát hiện môi trường máy ảo và triển khai các biện pháp chống gỡ lỗi (anti-debugging countermeasures).

Các công cụ BYOVD bổ sung bao gồm msimg32.dll. Driver này sử dụng kỹ thuật DLL sideloading để thả các driver rwdrv.sys và hlpdrv.sys, những driver đã được ghi nhận trong các chiến dịch mã độc ransomware Akira trước đây.

Những driver này cho phép chấm dứt các giải pháp Phát hiện và Phản hồi Điểm cuối (EDR) ở cấp độ kernel.

Cơ Chế Điều Khiển và Kiểm Soát (C2) Phân Tán

Những kẻ tấn công cũng đã triển khai nhiều phiên bản SOCKS proxy. Các proxy này được ngụy trang trong các thư mục của phần mềm doanh nghiệp hợp pháp từ Veeam, VMware và Adobe.

Việc này tạo ra các kênh điều khiển và kiểm soát (C2) phân tán. Các kênh này làm xáo trộn lưu lượng truy cập độc hại trong các giao tiếp ứng dụng bình thường.

Phân Tích Mã Độc Ransomware Agenda và Mục Tiêu

Phân tích tệp nhị phân Linux ransomware đã tiết lộ một payload đa nền tảng tiên tiến. Payload này có khả năng cấu hình rộng rãi và nhắm mục tiêu cụ thể theo nền tảng.

Agenda nổi lên là một trong những hoạt động ransomware-as-a-service tích cực nhất vào năm 2025. Chúng đã thể hiện tốc độ hoạt động chưa từng có với các nạn nhân được ghi nhận trên khắp Hoa Kỳ, Tây Âu và Nhật Bản.

Phân tích trang rò rỉ dữ liệu của nhóm cho thấy việc nhắm mục tiêu cơ hội vào các lĩnh vực có giá trị cao. Các lĩnh vực này bao gồm sản xuất, công nghệ, dịch vụ tài chính và chăm sóc sức khỏe.

Mô hình nạn nhân cho thấy các tác nhân đe dọa ưu tiên các ngành công nghiệp có độ nhạy cảm về hoạt động, tính quan trọng của dữ liệu và khả năng trả tiền chuộc cao hơn.

Sự sẵn sàng của nhóm trong việc nhắm mục tiêu vào cơ sở hạ tầng quan trọng và các cơ sở chăm sóc sức khỏe nhấn mạnh việc chúng ưu tiên lợi ích tài chính hơn là tác động xã hội. Đây là một chiến thuật phổ biến của các nhóm mã độc ransomware.

Khuyến Nghị Bảo Mật và Biện Pháp Đối Phó

Phương pháp tấn công này thách thức các kiến trúc bảo mật thông thường được xây dựng chủ yếu xung quanh các kiểm soát tập trung vào Windows.

Việc thực thi các tệp nhị phân Linux thông qua các công cụ quản lý từ xa hợp pháp trên nền tảng Windows đại diện cho một điểm mù đáng kể trong hầu hết các chương trình bảo mật doanh nghiệp.

Các tổ chức cần khẩn cấp đánh giá lại tư thế bảo mật của mình để tính đến các mối đe dọa trong môi trường lai và các kỹ thuật triển khai mã độc ransomware đa nền tảng.

• Các đội ngũ bảo mật nên triển khai giám sát nâng cao các công cụ quản lý từ xa (RMM).
• Hạn chế các nền tảng RMM chỉ được sử dụng trên các máy chủ được ủy quyền.
• Thực thi xác thực đa yếu tố (MFA) trên tất cả các quyền truy cập quản trị.
• Cơ sở hạ tầng sao lưu quan trọng phải được phân đoạn khỏi mạng sản xuất.
• Nguyên tắc đặc quyền tối thiểu (least privilege) phải được thực thi nghiêm ngặt đối với quyền truy cập thông tin xác thực.
• Các quy tắc phát hiện cần được mở rộng để xác định các lần tải driver không được ký, các nỗ lực DLL sideloading và việc thực thi tệp nhị phân Linux trên hệ thống Windows thông qua các công cụ quản trị từ xa.

Chiến dịch mã độc ransomware Agenda cho thấy các tác nhân đe dọa đang thích nghi nhanh hơn nhiều so với các kiểm soát bảo mật của các tổ chức.

Sự kết hợp giữa các kỹ thuật BYOVD, lạm dụng công cụ hợp pháp, nhắm mục tiêu cơ sở hạ tầng sao lưu và các phương pháp thực thi đa nền tảng tạo ra một vector tấn công đáng gờm. Điều này đòi hỏi khả năng hiển thị toàn diện trên các môi trường Windows và Linux lai để phát hiện và ngăn chặn thành công.