Một chiến dịch spear-phishing tinh vi được cho là do nhóm APT MuddyWater liên kết với Iran thực hiện, đang tích cực nhắm mục tiêu vào các Giám đốc Tài chính (CFO) và điều hành tài chính trên khắp Châu Âu, Bắc Mỹ, Nam Mỹ, Châu Phi và Châu Á. Chiến dịch này thể hiện rõ sự leo thang trong các tấn công mạng có mục tiêu cao, khai thác sự tin cậy để xâm nhập vào các tổ chức.

Bối Cảnh Chiến Dịch Tấn Công

Những kẻ tấn công mạo danh các nhà tuyển dụng từ Rothschild & Co, triển khai các trang lừa đảo (phishing pages) được lưu trữ trên Firebase. Để né tránh phát hiện và tạo tính hợp pháp, các trang này tích hợp các thử thách CAPTCHA dựa trên phép toán tùy chỉnh.

Các mồi nhử này dẫn nạn nhân tải xuống các tệp lưu trữ ZIP độc hại chứa các tập lệnh VBS, khởi tạo một chuỗi lây nhiễm đa tầng phức tạp.

Cơ Chế Khai Thác và Duy Trì Quyền Truy Cập

Lạm Dụng Công Cụ Hợp Pháp

Các payload lạm dụng các công cụ truy cập từ xa hợp pháp như NetBird và OpenSSH để thiết lập quyền kiểm soát liên tục. Điều này cho phép kẻ tấn công truy cập qua giao thức Remote Desktop Protocol (RDP) và thiết lập các tác vụ theo lịch trình tự động để xâm nhập hệ thống lâu dài.

Thay Đổi Hạ Tầng và Kỹ Thuật Né Tránh

Các cuộc điều tra cho thấy sự thay đổi hạ tầng từ địa chỉ IP 192.3.95.152 sang 198.46.178.135. Các đường dẫn payload khác nhau như /job/ và /scan/ trong các dự án Firebase cũng được phát hiện, cho thấy các kỹ thuật né tránh thích ứng của đối tượng tấn công.

Nội dung chi tiết về các chỉ số thỏa hiệp (IOCs) có thể tham khảo tại Hunt.io Blog.

Quy Trình Lây Nhiễm Chi Tiết

Vector tấn công mạng bắt đầu bằng các email lừa đảo xã hội, hướng mục tiêu đến các tên miền phishing như googl-6c11f.firebaseapp.com. Tại đây, một chuyển hướng được mã hóa bằng CryptoJS, mở khóa qua một phép toán số học đơn giản, sẽ chuyển người dùng đến các trang web.app thứ cấp lưu trữ giao diện Google Drive giả mạo.

Khi tương tác, nạn nhân nhận được các tệp ZIP được ngụy trang dưới dạng PDF, nhúng các trình tải xuống VBS. Các trình tải xuống này sau đó tải các payload thứ cấp từ các máy chủ do kẻ tấn công kiểm soát.

Các Kỹ Thuật Duy Trì Quyền Kiểm Soát

Cài Đặt và Cấu Hình Hệ Thống

Các tập lệnh VBS sẽ cài đặt NetBird và OpenSSH một cách âm thầm, cấu hình các dịch vụ tự khởi động và tạo các tài khoản quản trị viên cục bộ ẩn với thông tin đăng nhập như “user / Bs@202122”.

Tăng Cường Duy Trì Quyền Truy Cập

Quyền truy cập liên tục được củng cố thông qua việc sửa đổi registry để vô hiệu hóa thời gian hết hạn mật khẩu. Kẻ tấn công cũng kích hoạt RDP với các điều chỉnh tường lửa và thiết lập các tác vụ theo lịch trình để khởi động lại NetBird sau khi khởi động hệ thống. Các phím tắt trên desktop cũng bị loại bỏ để che giấu backdoor.

Phân Tích Kỹ Thuật và Liên Kết TTPs

Phân Tích Artifacts và TTPs

Phân tích tĩnh các artifacts, bao gồm cis.vbs và trm.zip, cho thấy các chiến thuật, kỹ thuật và quy trình (TTPs) nhất quán, trùng lặp với các hoạt động trước đây của MuddyWater. Điều này bao gồm việc lạm dụng AteraAgent.exe trong các dropper liên quan.

Mở Rộng Phạm Vi Chiến Dịch

Dựa trên các mẫu đặc trưng, như thử thách toán học bằng tiếng Pháp và chuyển hướng mã hóa AES, các nhà nghiên cứu đã phát hiện thêm các tên miền Firebase như cloud-233f9.web.app và cloud-ed980.firebaseapp.com. Tất cả đều sử dụng các bộ công cụ phishing tương tự với các cụm mật khẩu được mã hóa cứng để giải mã phía máy khách.

Các chuyển hướng độc hại này bao gồm my1cloudlive.com và web-16fe.app, mở rộng phạm vi của chiến dịch tấn công mạng này.

Liên Kết Threat Intelligence

Đối chiếu với các nguồn cấp dữ liệu tình báo về mối đe dọa mạng, bao gồm Maltrail và VirusTotal, đã liên kết hạ tầng này với MuddyWater. Đặc biệt là thông qua các địa chỉ IP được sử dụng lại để lưu trữ bộ công cụ Gophish và các thư mục mở phản ánh cấu trúc payload.

Ví dụ, my-sharepoint-inc.com đã phơi bày các dropper VBS triển khai AteraAgent, phù hợp với các chiến dịch MuddyWater đã được ghi nhận từ tháng 3 năm 2024. Sự tiến hóa này cho thấy một đối thủ tháo vát, thích ứng với việc phát hiện, dịch chuyển các máy chủ lệnh và điều khiển (C2) trong khi vẫn giữ các yếu tố cốt lõi như khóa thiết lập NetBird giống hệt nhau (E48E4A70-4CF4-4A77-946B-C8E50A60855A) và tên dịch vụ.

Chỉ Số Thỏa Hiệp (IOCs)

Các chỉ số thỏa hiệp liên quan đến chiến dịch MuddyWater này bao gồm:

• Địa chỉ IP:
  • 192.3.95.152
  • 198.46.178.135
• Tên miền lừa đảo/C2:
  • googl-6c11f.firebaseapp.com
  • cloud-233f9.web.app
  • cloud-ed980.firebaseapp.com
  • my1cloudlive.com
  • web-16fe.app
  • my-sharepoint-inc.com
• Tên tệp/Script:
  • Các tập tin ZIP độc hại
  • Các tập lệnh VBS
  • cis.vbs
  • trm.zip
  • AteraAgent.exe (bị lạm dụng)
• Thông tin xác thực bị lộ/mặc định:
  • Tài khoản quản trị viên ẩn: user
  • Mật khẩu: Bs@202122
• Khóa thiết lập NetBird:
  • E48E4A70-4CF4-4A77-946B-C8E50A60855A
• Đường dẫn Payload:
  • /job/
  • /scan/

Biện Pháp Giảm Thiểu và Phòng Chống

Để chống lại các chiến dịch như của MuddyWater, các tổ chức cần triển khai các biện pháp phòng thủ đa tầng:

• Chặn IOC tại biên mạng: Ngăn chặn truy cập đến các địa chỉ IP và tên miền độc hại đã được xác định.
• Kiểm soát ứng dụng: Kiểm tra các cài đặt công cụ thông qua danh sách cho phép ứng dụng (application allowlisting) để ngăn chặn việc lạm dụng phần mềm hợp pháp.
• Quy tắc phát hiện điểm cuối (EDR): Triển khai các quy tắc EDR cho các hoạt động đáng ngờ như:
  • Thực thi tập lệnh VBS.
  • Tạo tài khoản đáng ngờ.
  • Các bất thường về dịch vụ.
• Ánh xạ hạ tầng chủ động: Sử dụng các công cụ như HuntSQL để sớm phát hiện các mối đe dọa mạng, ngăn chặn sự leo thang thành rò rỉ dữ liệu hoặc thỏa hiệp kéo dài.
• Phòng thủ phishing nâng cao: Ưu tiên các biện pháp bảo vệ phishing nâng cao và sandboxing để đối phó với việc lạm dụng phần mềm hợp pháp trong các cuộc xâm nhập có mục tiêu. Điều này góp phần tăng cường khả năng phát hiện xâm nhập.
• Cập nhật hệ thống và người dùng: Đào tạo người dùng nhận diện các email lừa đảo và đảm bảo các hệ thống luôn được cập nhật bản vá bảo mật mới nhất để củng cố an ninh mạng tổng thể.