Các nhà nghiên cứu từ Đơn vị Chống Đe dọa (CTU) của Sophos đã phát hiện một cuộc xâm nhập tinh vi, nơi các tác nhân đe dọa tái sử dụng công cụ pháp y kỹ thuật số và ứng phó sự cố (DFIR) mã nguồn mở hợp pháp **Velociraptor** để thiết lập quyền truy cập từ xa trái phép trong các mạng mục tiêu. Đây là một **mối đe dọa mạng** đáng chú ý, cho thấy sự thay đổi trong chiến thuật của kẻ tấn công.

Khai thác Velociraptor cho Xâm nhập và Duy trì Quyền truy cập

Quá trình triển khai ban đầu

Cuộc xâm nhập bắt đầu bằng việc tiện ích `msiexec` của Windows tải một tệp cài đặt có tên `v2.msi` từ một miền Cloudflare Workers: `files[.]qaubctgg[.]workers[.]dev`. Miền này đóng vai trò là kho lưu trữ trung gian cho các công cụ của kẻ tấn công, bao gồm các tiện ích Cloudflare tunneling và công cụ quản trị từ xa Radmin.

Thiết lập kênh giao tiếp và đường hầm

Sau khi được cài đặt, Velociraptor đã được cấu hình để giao tiếp với miền C2 (Command and Control) `velo[.]qaubctgg[.]workers[.]dev`. Tiếp theo, các tác nhân đã thực thi một lệnh PowerShell được mã hóa để truy xuất Visual Studio Code (`code.exe`) từ cùng một vị trí trung gian, sau đó khởi chạy nó với tính năng tunneling được kích hoạt.

Lệnh PowerShell bị mã hóa cho phép kẻ tấn công tải và thực thi `code.exe`, tạo một đường hầm kết nối đến máy chủ C2 do kẻ tấn công kiểm soát. Điều này tạo điều kiện cho khả năng truy cập từ xa và thực thi mã tùy ý.

Duy trì quyền truy cập và phân phối mã độc bổ sung

Để duy trì quyền truy cập (persistence), `code.exe` đã được cài đặt dưới dạng một dịch vụ Windows, với đầu ra của nó được chuyển hướng đến một tệp nhật ký để theo dõi. Sau đó, `msiexec` được gọi lại để tải xuống phần mềm độc hại bổ sung thông qua `sc.msi` từ hạ tầng `workers[.]dev`.

Chuỗi sự kiện này hình thành một cây tiến trình mà Velociraptor đóng vai trò là tiến trình cha, sinh ra đường hầm Visual Studio Code, như đã quan sát trong phân tích pháp y. Việc lạm dụng các công cụ hợp pháp như Velociraptor làm cho việc **phát hiện xâm nhập** trở nên khó khăn hơn đối với các hệ thống phòng thủ truyền thống.

Dấu hiệu nhận biết và Cơ chế phát hiện

Phát hiện sớm và phản ứng nhanh

Hoạt động tunneling đã kích hoạt cảnh báo trong nền tảng bảo mật Taegis, thúc đẩy một cuộc điều tra nhanh chóng của Sophos. Cuộc điều tra này đã cung cấp hướng dẫn giảm thiểu, bao gồm cô lập máy chủ, cuối cùng đã ngăn chặn mục tiêu của kẻ tấn công và ngăn chặn việc triển khai **ransomware**.

Sự cố này làm nổi bật xu hướng gia tăng của các tác nhân đe dọa lạm dụng các công cụ giám sát và quản lý từ xa (RMM), bao gồm các tiện ích ứng phó sự cố như Velociraptor. Mục tiêu là để giảm thiểu dấu vết phần mềm độc hại có thể bị phát hiện và di chuyển linh hoạt trong các môi trường bị xâm nhập.

Không giống như các cuộc tấn công truyền thống triển khai phần mềm độc hại tùy chỉnh, cách tiếp cận này tận dụng các công cụ hợp pháp có sẵn hoặc mới được đưa vào. Điều này có thể bao gồm việc khai thác các lỗ hổng trong các hệ thống như SimpleHelp hoặc triển khai các công cụ trong các cuộc xâm nhập đang diễn ra để đạt được tính bền bỉ và lấy cắp dữ liệu. Theo báo cáo của Sophos, việc sử dụng Velociraptor trái phép thường là tiền thân của **ransomware**.

Tìm hiểu thêm về phân tích này tại báo cáo gốc của Sophos: Sophos News.

Các chỉ số thỏa hiệp (IOCs)

Các chỉ số thỏa hiệp sau đây có thể giúp các tổ chức xác định và giảm thiểu các **mối đe dọa mạng** tương tự:

• Tên tệp:
  • `v2.msi`
  • `code.exe` (được sử dụng cho tunneling)
  • `sc.msi`
• Miền liên quan:
  • `files[.]qaubctgg[.]workers[.]dev` (Staging repository)
  • `velo[.]qaubctgg[.]workers[.]dev` (Command and Control)
  • `workers[.]dev` (Hạ tầng chung)
• Sophos Detections:
  • Troj/Agent-BLMR
  • Troj/BatDl-PL
  • Troj/Mdrop-KDK

Tăng cường phòng thủ trước các mối đe dọa mạng tinh vi

Các tổ chức cần đặc biệt cảnh giác với việc triển khai công cụ bất thường và các hành vi dị thường như tunneling không xác định hoặc cài đặt dịch vụ không mong muốn. Sự hiểu biết về các chiến thuật **tấn công mạng** mới là điều cần thiết.

Chiến lược phòng ngừa và ứng phó

Các tổ chức có thể tăng cường khả năng phòng thủ bằng cách triển khai các hệ thống phát hiện và phản hồi điểm cuối (EDR) để kiểm tra kỹ cây tiến trình, liên lạc mạng và tải xuống tệp từ các miền đáng ngờ. Điều này giúp ngăn chặn các **mối đe dọa mạng** hiệu quả hơn.

Khuyến nghị Bảo mật

Để đối phó với những **mối đe dọa mạng** dạng này, các tổ chức nên áp dụng các biện pháp sau:

• Hạn chế truy cập: Hạn chế quyền truy cập vào các chỉ số độc hại đã biết.
• Nguyên tắc đặc quyền tối thiểu: Thực thi các nguyên tắc đặc quyền tối thiểu (least-privilege) để giảm thiểu bề mặt tấn công.
• Sao lưu mạnh mẽ: Duy trì các chiến lược sao lưu mạnh mẽ để giảm thiểu tác động của các cuộc tấn công.
• Giám sát EDR: Sử dụng hệ thống EDR để phân tích chi tiết hoạt động của hệ thống, đặc biệt là các tiến trình con và kết nối mạng.
• Phản ứng nhanh: Coi các quan sát về kiểu tấn công này là cảnh báo ưu tiên cao và điều tra kịp thời để phá vỡ chuỗi tấn công trước khi leo thang thành mã hóa dữ liệu hoặc đánh cắp dữ liệu.

Bằng cách chủ động và tăng cường **an ninh mạng**, các doanh nghiệp có thể tự bảo vệ mình khỏi các chiến thuật ngày càng tinh vi của kẻ tấn công.