Các nhà nghiên cứu bảo mật của ESET đã phát hiện một mối đe dọa mạng tinh vi nhắm mục tiêu vào các máy chủ Windows trên nhiều quốc gia. Chiến dịch này triển khai các công cụ phần mềm độc hại tùy chỉnh, được thiết kế cho cả truy cập từ xa và thao túng công cụ tìm kiếm.

GhostRedirector: Chiến Dịch Mối Đe Dọa Mạng Tinh Vi

Các chuyên gia an ninh mạng tại ESET đã xác định một nhóm tác nhân đe dọa chưa từng được biết đến trước đây, được đặt tên là GhostRedirector. Nhóm này đã xâm nhập thành công ít nhất 65 máy chủ Windows.

Các máy chủ bị ảnh hưởng chủ yếu nằm ở Brazil, Thái Lan và Việt Nam. Các cuộc tấn công này, được phát hiện lần đầu vào tháng 12 năm 2024, thể hiện một chiến dịch đa diện.

Chiến dịch kết hợp các kỹ thuật xâm nhập máy chủ truyền thống với hành vi gian lận tối ưu hóa công cụ tìm kiếm (SEO) sáng tạo. Đây là một ví dụ điển hình về sự phát triển của mối đe dọa mạng hiện đại.

Công Cụ Độc Hại Cốt Lõi

Các tác nhân đe dọa đã phát triển hai công cụ tùy chỉnh tinh vi, tạo thành xương sống cho hoạt động của chúng: Rungan và Gamshen.

Rungan: Backdoor C++ Thực Thi Lệnh Từ Xa

Rungan hoạt động như một backdoor tàng hình, cho phép kẻ tấn công duy trì quyền truy cập liên tục vào các máy chủ bị xâm nhập. Đây là một công cụ backdoor C++ thụ động.

Sau khi được cài đặt, thường trong thư mục C:ProgramDataMicrosoftDRMlogminiscreen.dll, phần mềm độc hại sẽ đăng ký một URL được mã hóa cứng và chờ các yêu cầu đến.

Nó chỉ thực thi các lệnh trên hệ thống của nạn nhân khi các yêu cầu phù hợp với các tham số cụ thể. Công cụ này là một phần quan trọng của chiến lược duy trì quyền kiểm soát trong tấn công mạng.

Gamshen: Module IIS Thao Túng SEO

Gamshen đại diện cho một phương pháp tội phạm mạng mới lạ hơn, hoạt động như một module IIS gốc. Nó đặc biệt nhắm mục tiêu vào trình thu thập thông tin web của Google, được gọi là Googlebot.

Khi module này phát hiện các yêu cầu từ hệ thống lập chỉ mục của Google, nó sẽ sửa đổi phản hồi của máy chủ để bao gồm nội dung gian lận. Nội dung này được thiết kế để tăng thứ hạng tìm kiếm của các trang web cờ bạc.

Mục đích chính của Gamshen dường như là cung cấp “dịch vụ gian lận SEO”, tăng thứ hạng trang của các trang web mục tiêu một cách giả tạo thông qua các kỹ thuật lừa đảo.

Điều quan trọng là khách truy cập trang web thông thường không bị ảnh hưởng bởi những sửa đổi này. Hành vi độc hại chỉ kích hoạt khi các yêu cầu bắt nguồn từ hệ thống thu thập thông tin của Google. Điều này cho thấy sự tinh vi trong cách hoạt động của mối đe dọa mạng này.

Phương pháp này cho phép kẻ tấn công lạm dụng danh tiếng và quyền hạn của các trang web hợp pháp bị xâm nhập để mang lại lợi ích cho khách hàng của chúng, có thể là các hoạt động cờ bạc nhắm mục tiêu đến người dùng nói tiếng Bồ Đào Nha.

Kế hoạch này bao gồm việc chèn các liên kết ngược độc hại và nội dung bị thao túng mà các công cụ tìm kiếm hiểu là sự xác nhận hợp pháp. Hành vi này thể hiện một hình thức tấn công mạng có mục tiêu rõ ràng về tài chính.

Kỹ Thuật Xâm Nhập và Duy Trì Quyền Truy Cập

GhostRedirector có được quyền truy cập ban đầu vào các máy chủ mục tiêu chủ yếu thông qua các lỗ hổng SQL injection.

Sau đó, chúng sử dụng các lệnh PowerShell để tải xuống các công cụ độc hại bổ sung từ máy chủ dàn dựng của chúng.

Nhóm này thể hiện tính bảo mật hoạt động tinh vi bằng cách sử dụng nhiều cơ chế duy trì quyền truy cập.

Khai Thác Ban Đầu và Nâng Cao Đặc Quyền

Các chỉ số về hành vi của nhóm này cho thấy một kế hoạch tấn công mạng có tổ chức. Ngoài các công cụ tùy chỉnh của chúng, kẻ tấn công còn sử dụng các khai thác công khai, bao gồm EfsPotato và BadPotato, để nâng cao đặc quyền.

Các công cụ này cho phép tạo tài khoản người dùng quản trị trên các máy chủ bị xâm nhập, cung cấp các phương pháp truy cập dự phòng và đảm bảo kiểm soát lâu dài đối với các hệ thống bị nhiễm.

Các tài nguyên quan trọng cho phân tích này được cung cấp bởi nghiên cứu của ESET: GhostRedirector poisons Windows servers with backdoors and side-potatoes.

Phạm Vi Tấn Công và Phân Bố Địa Lý

Chiến dịch này đã ảnh hưởng đến các máy chủ trên nhiều lục địa, với sự tập trung ở Nam Mỹ và Đông Nam Á. Nạn nhân trải dài nhiều ngành, bao gồm chăm sóc sức khỏe, giáo dục, bảo hiểm, giao thông vận tải, công nghệ và bán lẻ.

Điều này cho thấy các cuộc tấn công có tính chất cơ hội hơn là nhắm mục tiêu cụ thể. Các nhà nghiên cứu của ESET đã xác định các hệ thống bị xâm nhập bổ sung ở Canada, Phần Lan, Ấn Độ, Hà Lan, Philippines và Singapore, mặc dù với số lượng nhỏ hơn.

Nhiều máy chủ ở Hoa Kỳ dường như đã được thuê bởi các công ty có trụ sở tại các quốc gia mục tiêu chính. Phạm vi địa lý rộng lớn này làm nổi bật tầm ảnh hưởng của mối đe dọa mạng GhostRedirector.

Đặc Điểm Nhận Dạng và Quy Kết

Các nhà nghiên cứu bảo mật đánh giá với độ tin cậy trung bình rằng GhostRedirector đại diện cho một tác nhân đe dọa liên kết với Trung Quốc. Kết luận này dựa trên một số chỉ số.

Các chỉ số này bao gồm các chuỗi ngôn ngữ tiếng Trung được mã hóa cứng trong các mẫu phần mềm độc hại, việc sử dụng các chứng chỉ ký mã được cấp cho các công ty Trung Quốc và các từ tiếng Trung được nhúng trong mật khẩu tài khoản người dùng.

Nhóm đe dọa này thể hiện sự tinh vi về mặt kỹ thuật thông qua việc phát triển các công cụ tùy chỉnh và hiểu biết về kiến trúc IIS. Cách tiếp cận của chúng phản ánh các chiến dịch trước đây của các nhóm liên kết với Trung Quốc khác, đặc biệt là DragonRank.

DragonRank đã thực hiện các hoạt động gian lận SEO tương tự, mặc dù chưa có kết nối trực tiếp nào được thiết lập. Sự giống nhau này là một điểm đáng lưu ý trong phân tích mối đe dọa mạng.

Tác Động và Biện Pháp Phản Ứng

Chiến dịch này làm nổi bật bản chất đang phát triển của các mối đe dọa mạng, nơi các kỹ thuật xâm nhập máy chủ truyền thống giao thoa với thao túng công cụ tìm kiếm để kiếm lợi tài chính.

Việc sử dụng quyền hạn của trang web hợp pháp để quảng bá nội dung gian lận đặt ra một mối đe dọa đáng kể cho cả các tổ chức bị xâm nhập và người dùng internet tìm kiếm thông tin đáng tin cậy.

ESET đã thông báo cho tất cả các nạn nhân được xác định về sự xâm nhập và tiếp tục theo dõi các chỉ số bổ sung về hoạt động của nhóm đe dọa này.

Nghiên cứu nhấn mạnh tầm quan trọng của việc duy trì các biện pháp bảo mật mạng cập nhật và giám sát hoạt động mạng bất thường, đặc biệt là các thực thi PowerShell trái phép có nguồn gốc từ các dịch vụ cơ sở dữ liệu.

Chiến dịch GhostRedirector cho thấy cách tội phạm mạng hiện đại kết hợp nhiều vectơ tấn công để tối đa hóa cả sự kiên trì và lợi nhuận, tạo ra các mối đe dọa mạng phức tạp. Các mối đe dọa này đòi hỏi các phương pháp bảo mật toàn diện để phát hiện và giảm thiểu hiệu quả.

Các Chỉ Số Thỏa Hiệp (IOCs)

• Tên phần mềm độc hại: Rungan, Gamshen
• Đường dẫn cài đặt Rungan:C:ProgramDataMicrosoftDRMlogminiscreen.dll
• Máy chủ dàn dựng (Staging Server):868id[.]com
• Các công cụ nâng cao đặc quyền: EfsPotato, BadPotato
• Phương pháp xâm nhập ban đầu: Lỗ hổng SQL injection
• Công cụ thực thi lệnh: PowerShell