Hàng chục doanh nghiệp toàn cầu đã bị xâm phạm thông qua một vector tấn công đơn giản nhưng tàn khốc: thông tin đăng nhập bị đánh cắp dữ liệu từ mã độc infostealer. Kẻ tấn công đã lợi dụng những thông tin này để truy cập trái phép vào các nền tảng lưu trữ đám mây của doanh nghiệp.

Chiến Dịch Xâm Nhập Đám Mây Doanh Nghiệp

Một kẻ tấn công hoạt động dưới biệt danh “Zestix”, cùng với bí danh “Sentap”, đã tiến hành truy cập có hệ thống vào các nền tảng lưu trữ đám mây doanh nghiệp. Các mục tiêu bao gồm ShareFile, Nextcloud và OwnCloud của khoảng 50 tổ chức quốc tế.

Những vụ xâm nhập này trải rộng khắp các lĩnh vực trọng yếu như hàng không, robot quốc phòng, y tế, tài chính và cơ sở hạ tầng chính phủ. Hàng terabyte dữ liệu nhạy cảm đã bị phơi bày, gây ra một rủi ro bảo mật nghiêm trọng cho các tổ chức này.

Vector Tấn Công: Mã Độc Infostealer và Thông Tin Đăng Nhập Bị Đánh Cắp

Chuỗi tấn công hé lộ một thực tế đáng lo ngại trong an ninh mạng hiện đại. Nhân viên vô tình tải xuống các tệp độc hại kích hoạt các loại mã độc infostealer như RedLine, Lumma và Vidar.

Các biến thể mã độc này âm thầm thu thập tất cả thông tin đăng nhập đã lưu và lịch sử trình duyệt từ các thiết bị bị nhiễm. Sau khi được trích xuất, những nhật ký này được tổng hợp thành các cơ sở dữ liệu khổng lồ trên dark web, chứa đầy các thông tin đánh cắp dữ liệu tiềm năng.

Zestix sau đó tìm kiếm trong các kho lưu trữ này, đặc biệt nhắm vào các URL đám mây của doanh nghiệp và sử dụng thông tin đăng nhập đã bị đánh cắp dữ liệu để giành quyền truy cập trái phép vào các hệ thống.

Các nhà phân tích và nghiên cứu infostealer đã lưu ý rằng lỗ hổng quan trọng nhất tạo điều kiện cho các vụ xâm nhập này không phải là một khai thác zero-day tinh vi. Thay vào đó, đó là sự thiếu vắng cơ bản của Xác thực Đa yếu tố (MFA). Nguồn: Infostealers.com

Các tổ chức đã không triển khai biện pháp kiểm soát bảo mật tiêu chuẩn này. Điều này cho phép kẻ tấn công dễ dàng xâm nhập chỉ bằng tên người dùng và mật khẩu hợp lệ. Một số thông tin đăng nhập đã nằm trong nhật ký infostealer trong nhiều năm, tạo ra một cơ hội mà các tổ chức đã bỏ lỡ hoàn toàn.

Hậu Quả Nghiêm Trọng Từ Các Vụ Đánh Cắp Dữ Liệu

Quy mô của các vụ xâm nhập rất đáng báo động. Pickett and Associates, một công ty kỹ thuật phục vụ các công ty tiện ích ở Mỹ, đã mất 139.1 gigabyte dữ liệu. Điều này bao gồm các tệp LiDAR được phân loại và bản đồ đường dây truyền tải quan trọng.

Intecro Robotics đã để lộ 11.5 gigabyte bản thiết kế quốc phòng được kiểm soát bởi ITAR cho các thành phần máy bay quân sự. Iberia Airlines bị rò rỉ 77 gigabyte, chứa các chương trình bảo trì máy bay và tài liệu an toàn bay quan trọng.

Hồ sơ sức khỏe của cảnh sát quân sự Brazil thuộc Maida Health, tổng cộng 2.3 terabyte, đã bị phơi bày. Những thông tin này bao gồm nhận dạng cá nhân và thông tin y tế cho quân nhân đang tại ngũ và gia đình của họ. Việc đánh cắp dữ liệu nhạy cảm này gây ra những hệ lụy sâu rộng, từ thiệt hại tài chính đến mất uy tín và rủi ro an ninh quốc gia.

Chu Trình Lây Nhiễm Mã Độc Infostealer (5 Giai Đoạn)

Chu trình lây nhiễm hoạt động thông qua một quy trình gồm năm giai đoạn mà các chuyên gia an ninh mạng cần nắm rõ để phát hiện và ngăn chặn:

1. Giai đoạn 1: Nhân viên nhận một tệp có vẻ hợp pháp qua email hoặc tải xuống phần mềm dường như tiêu chuẩn. Đây là điểm khởi đầu cho việc mã độc infostealer xâm nhập.
2. Giai đoạn 2:Mã độc infostealer thực thi trong bộ nhớ, thường tránh được sự phát hiện của các công cụ bảo mật vì nó hoạt động trong các tiến trình hợp pháp.
3. Giai đoạn 3: Mã độc liệt kê bộ nhớ trình duyệt, trình quản lý mật khẩu và thông tin đăng nhập đã lưu trong bộ nhớ cache từ các ứng dụng như Outlook và Teams, chuẩn bị cho quá trình đánh cắp dữ liệu.
4. Giai đoạn 4: Tất cả dữ liệu thu hoạch được mã hóa và truyền đến các máy chủ command-and-control (C2), hoàn tất giai đoạn thu thập thông tin đã bị đánh cắp dữ liệu.
5. Giai đoạn 5: Các kẻ tấn công phân tích hàng nghìn cơ sở dữ liệu thông tin đăng nhập bị đánh cắp, lọc cụ thể các cơ sở hạ tầng doanh nghiệp như chia sẻ tệp đám mây và hệ thống ERP để thực hiện các cuộc tấn công tiếp theo dựa trên dữ liệu đã bị đánh cắp dữ liệu.

Giải Pháp Phòng Ngừa và Giảm Thiểu Rủi Ro Bảo Mật

Điều làm cho phương pháp này đặc biệt nguy hiểm là quy mô và chi phí thấp. Zestix hoạt động như một Initial Access Broker (IAB), bán thông tin đăng nhập truy cập doanh nghiệp lấy Bitcoin hoặc Monero trên các diễn đàn ngầm. Điều này hạ thấp rào cản tham gia cho các tác nhân đe dọa khác, làm tăng rủi ro bảo mật tổng thể.

Các tổ chức đã thất bại không phải vì thiếu các chương trình nâng cao nhận thức bảo mật. Lý do chính là họ đã không thực thi xác thực đa yếu tố bắt buộc trên tất cả các hệ thống quan trọng, đặc biệt là các nền tảng đám mây và hệ thống ERP. Điều này tạo điều kiện thuận lợi cho kẻ tấn công.

Biện pháp khắc phục rất đơn giản: triển khai MFA ngay lập tức kết hợp với việc giám sát thông tin đăng nhập bị xâm phạm trong nhật ký infostealer. Việc này cần thực hiện chủ động trước khi kẻ tấn công có thể khai thác chúng. Chủ động bảo vệ trước nguy cơ đánh cắp dữ liệu là ưu tiên hàng đầu để bảo vệ tài sản số của doanh nghiệp.