Hoạt động do thám công nghiệp đang diễn ra: một bộ công cụ mới được triển khai nhằm vào các tập đoàn công nghiệp
Sản phẩm cá nhân
Cho chính phủ, doanh nghiệp vừa & lớn
Doanh nghiệp nhỏ
Hoạt động do thám công nghiệp đang diễn ra: một bộ công cụ mới được triển khai nhằm vào các tập đoàn công nghiệp
.jpg "Hoạt động do thám công nghiệp đang diễn ra: một bộ công cụ mới được triển khai nhằm vào các tập đoàn công nghiệp")
Các nhà nghiên cứu của Kaspersky đã phát hiện các vụ tấn công có chủ đích nhằm vào các tập đoàn công nghiệp bắt đầu từ năm 2018 - hiếm thấy hơn rất nhiều so với các tin tặc phát tán các vụ tấn công có chủ đích nhằm vào các nhà ngoại giao và các nhà chính trị cấp cao khác. Bộ công cụ được sử dụng (ban đầu được tác giả của mã độc đặt tên là MT3) đã được Kaspersky đặt tên mới là “MontysThree”. Bộ công cụ này sử dụng nhiều kỹ thuật để tránh bị phát hiện, bao gồm cả việc ẩn lưu lượng truyền thông trong máy chủ điều khiển và các dịch vụ điện toán đám mây công cộng, đồng thời che giấu mô-đun mã độc chính bằng kỹ thuật giấu tin (steganography).
Các cơ quan chính phủ, nhà ngoại giao và nhà mạng viễn thông dường như là những đích tấn công ưa thích của các vụ tấn công có chủ đích (APT), bởi vì các cá nhân và tổ chức này thường quản lý và xử lý nhiều thông tin mật, nhạy cảm về chính trị. Các chiến lược tấn công do thám có chủ đích sẽ ít nhằm vào các cơ sở công nghiệp hơn, nhưng cũng giống như bất kỳ vụ tấn công nào khác, chúng vẫn có thể gây ra những hậu quả nghiêm trọng đối với doanh nghiệp. Đó chính là lý do tại sao, khi phát hiện hoạt động của MontysThree, các nhà nghiên cứu của Kaspersky đã rất quan tâm.
Để thực hiện hoạt động do thám, MontysThree triển khai một chương trình mã độc bao gồm bốn mô-đun. Mô-đun thứ nhất - Trình tải (loader) - là bước lây lan ban đầu thông qua sử dụng các file RAR SFX (self-extracted archives - file lưu trữ tự giải nén) có chứa các tên gọi (names) trong danh sách nhân viên, tài liệu kỹ thuật và kết quả chẩn đoán y tế để đánh lừa nhân viên tải file về - một kỹ thuật lừa đảo (spearphishing) rất phổ biến. Trình Loader chủ yếu chịu trách nhiệm đảm bảo rằng mã độc không bị phát hiện trên hệ thống; để thực hiện điều đó, nó triển khai một kỹ thuật được gọi là steganography (kỹ thuật giấu tin).
Steganography được sử dụng để giấu đi thực tế rằng dữ liệu đang bị khai thác. Với trường hợp của MontysThree, payload (phần dữ liệu được truyền đi) của mã độc chính được ngụy trang bằng một file hình ảnh theo định dạng bitmap (một định dạng để lưu trữ hình ảnh số). Nếu nhập vào đúng câu lệnh, trình Loader sẽ sử dụng một thuật toán đặc biệt để giải mã nội dung ma trận điểm ảnh và chạy payload mã độc.
Payload mã độc chính là sử dụng một số kỹ thuật mã hóa để tránh bị phát hiện, cụ thể là sử dụng một thuật toán RSA để mã hóa lưu lượng truyền thông với máy chủ chỉ huy điều khiển và giải mã các “tác vụ” chính mà mã độc ấn định cho nó. Điều đó bao gồm việc tìm kiếm các tài liệu có phần mở rộng nhất định nằm trong các thư mục cụ thể của công ty. MontysThree được thiết kế để tấn công các tài liệu Microsoft và Adobe Acrobat; nó còn có thể chụp ảnh màn hình và “lấy dấu vây tay - fingerprint” của đích tấn công (nghĩa là thu thập thông tin về tham số cài đặt mạng, tên máy chủ, v.v...) để đánh giá xem đích đó có hấp dẫn với tin tặc hay không.
Sau đó, thông tin thu thập được và các nội dung truyền thông khác với máy chủ chỉ huy điều khiển được đặt trên các dịch vụ điện toán đám mây công cộng như là Google, Microsoft và Dropbox. Điều đó làm cho lưu lượng truyền thông trở nên khó bị phát hiện dưới dạng mã độc và bởi vì không có phần mềm diệt vi-rút nào chặn các dịch vụ này, nó đảm bảo rằng máy chủ chỉ huy điều khiển có thể thực hiện các câu lệnh một cách liên tục.
MontysThree còn sử dụng một phương pháp đơn giản để duy trì sự ẩn nấp dai dẳng trên hệ thống bị lây nhiễm - một công cụ chỉnh sửa (modifier) phần thanh công cụ chạy ứng dụng nhanh Windows Quick Launch. Người dùng vô tình chạy mô-đun ban đầu của mã độc mỗi khi chạy các ứng dụng chính thống, khi sử dụng thanh công cụ Quick Launch.
Kaspersky chưa phát hiện ra bất kỳ điểm tương đồng nào trong mã độc hay trong cơ sở hạ tầng với bất kỳ APT đã biết nào.
“MontysThree là mã độc thú vị vì thực tế là nó không chỉ nhằm vào các tập đoàn công nghiệp, mà còn vì đó là một tổ hợp của các TTP tinh vi và hơi “a-ma-tơ” một chút. Nói chung, mức độ tinh vi là khác nhau giữa các mô-đun, nhưng vẫn không thể so sánh được với mức độ mà các APT tinh vi sử dụng. Tuy nhiên, chúng sử dụng các tiêu chuẩn mã hóa mạnh và trên thực tế có đưa ra một số quyết định chi tiết về công nghệ, bao gồm cả kỹ thuật giấu tin tùy biến. Có thể điều quan trọng nhất là ở chỗ, rõ ràng là tin tặc đã đầu tư nhiều công sức vào việc phát triển bộ công cụ MontysThree, và điều đó cho thấy rằng, chúng quyết tâm đạt được mục tiêu - và điều đó không có nghĩa rằng đó là một chiến dịch chỉ diễn ra trong thời gian ngắn,” ông Denis Legezo, nghiên cứu viên cao cấp thuộc Nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky chia sẻ.
Tìm hiểu thêm về MontysThree trên Securelist. Bạn có thể truy cập thông tin chi tiết về các Dấu hiệu nhận biết tấn công (Indicators of Compromise) liên quan đến nhóm tin tặc này, bao gồm cả kết quả hàm băm của file trên Cổng thông tin về nguy cơ an ninh bảo mật của Kaspersky.
Hãy đăng ký SAS@Home để xem bài thuyết trình về MosaicRegressor và tìm hiểu thêm về APT cũng như những phát hiện quan trọng về an ninh mạng tại địa chỉ: https://kas.pr/tr59
Để bảo vệ tổ chức của bạn trước các vụ tấn công như là MontysThree, các chuyên gia Kaspersky khuyến nghị:
**
Thông tin về Kaspersky
Kaspersky là một công ty an ninh mạng toàn cầu được thành lập năm 1997. Tin tức tình báo về mối đe doạ và chuyên môn về bảo mật của Kaspersky không ngừng được sử dụng trong các giải pháp và dịch vụ bảo mật để bảo vệ doanh nghiệp, cơ sở hạ tầng then chốt, chính phủ và người dùng trên toàn thế giới. Danh mục giải pháp bảo mật toàn diện của công ty bao gồm bảo vệ thiết bị đầu cuối và số lượng giải pháp và dịch vụ bảo mật chuyên biệt hàng đầu để chống lại các mối đe doạ số tinh vi và không ngừng phát triển. Công nghệ của Kaspersky đang bảo vệ hơn 400 triệu người dùng và giúp 270.000 khách hàng doanh nghiệp bảo vệ những thứ giá trị nhất. Tìm hiểu thêm tại www.kaspersky.com
Dữ liệu mới nhất từ Kaspersky đã gióng lên hồi chuông cảnh báo về tình hình an ninh mạng Việt Nam. Các cuộc tấn công mạng, đặc biệt là các hình thức lừa đảo tinh vi hay tấn công phi kỹ thuật (social engineering), đang diễn biến ngày càng phức tạp và tinh vi, đòi hỏi sự đề cao cảnh giác. Trước bối cảnh chuyển đổi số phát triển mạnh mẽ tại Việt Nam, Kaspersky đưa ra những khuyến cáo cấp thiết nhằm giúp các tổ chức và cá nhân ứng phó hiệu quả, tự vệ trước các mối đe dọa mạng ngày càng tinh vi.
Tại Hội nghị thượng đỉnh phân tích bảo mật (SAS) 2024, Nhóm nghiên cứu và phân tích toàn cầu của Kaspersky (GReAT) tiết lộ một phát hiện đáng chú ý: một phiên bản Lite của phần mềm độc hại Grandoreiro đang nhắm mục tiêu vào khoảng 30 ngân hàng tại Mexico. Mặc dù những kẻ chủ mưu đứng sau việc phát tán Grandoreiro đã bị bắt giữ từ đầu năm nay, các nhóm tội phạm mạng khác vẫn tiếp tục lợi dụng loại malware này để thực hiện các cuộc tấn công.
Báo cáo của Kaspersky về thách thức an ninh mạng đối với các công ty công nghiệp nặng có cơ sở hạ tầng phân tán trên nhiều khu vực địa lý chỉ ra một thực tế đáng báo động: Một phần ba công ty trong lĩnh vực công nghiệp nặng thường xuyên gặp phải các sự cố mạng. Cụ thể, 45% công ty phải đối mặt với tình trạng này vài lần mỗi tháng, đáng chú ý chỉ 12% gặp sự cố mạng một lần/năm hoặc ít hơn.
Trước những thách thức ngày càng lớn và các mối đe dọa gia tăng đối với công nghệ vận hành (OT) và cơ sở hạ tầng thiết yếu, Kaspersky đã nâng cấp giải pháp Kaspersky Industrial CyberSecurity (KICS) - nền tảng XDR chuyên dụng cho các doanh nghiệp công nghiệp nặng và giải pháp MDR (Managed Detection and Response) cho các Hệ thống Điều khiển Công nghiệp (ICS). Đây là một giải pháp giúp các tổ chức thiếu nhân lực chuyên môn có thể tìm đến các trung tâm điều hành an ninh mạng (SOC) để được hỗ trợ.
.jpg)