Các chuyên gia săn tìm mối đe dọa đã cảnh báo về một chiến dịch mới, trong đó các tác nhân độc hại mạo danh hỗ trợ IT giả mạo để phân phối khung Havoc command-and-control (C2) như một bước chuẩn bị cho việc đánh cắp dữ liệu hoặc tấn công ransomware.
Các cuộc xâm nhập, được Huntress xác định vào tháng trước tại năm tổ chức đối tác, bao gồm việc các tác nhân đe dọa sử dụng email spam làm mồi nhử, sau đó là một cuộc gọi điện thoại từ bộ phận IT giả mạo kích hoạt một chuỗi phân phối malware nhiều lớp.
Tại một tổ chức, kẻ tấn công đã di chuyển từ truy cập ban đầu đến chín endpoint bổ sung trong vòng mười một giờ, triển khai hỗn hợp các payload Havoc Demon tùy chỉnh và các công cụ RMM hợp pháp để duy trì quyền truy cập (persistence). Tốc độ di chuyển ngang cho thấy mục tiêu cuối cùng là đánh cắp dữ liệu, ransomware hoặc cả hai.
Các nhà nghiên cứu Michael Tigges, Anna Pham và Bryan Masters cho biết.
Đáng chú ý là phương thức hoạt động này phù hợp với các cuộc tấn công email bombing và lừa đảo qua Microsoft Teams được thực hiện bởi các tác nhân đe dọa liên quan đến hoạt động ransomware Black Basta trong quá khứ. Mặc dù nhóm tội phạm mạng này dường như đã im ắng sau vụ rò rỉ nhật ký trò chuyện nội bộ vào năm ngoái, việc tiếp tục sử dụng chiến thuật của nhóm cho thấy hai kịch bản có thể xảy ra.
Một khả năng là các thành viên cũ của Black Basta đã chuyển sang các hoạt động ransomware khác và đang sử dụng chúng để thực hiện các cuộc tấn công mới, hoặc hai, các tác nhân đe dọa đối thủ đã áp dụng cùng một chiến lược để thực hiện social engineering và giành quyền truy cập ban đầu.
Chuỗi tấn công bắt đầu bằng một chiến dịch spam nhằm làm ngập hộp thư đến của mục tiêu bằng các email rác. Bước tiếp theo, các tác nhân đe dọa, mạo danh bộ phận IT support, liên hệ với người nhận và lừa họ cấp quyền truy cập từ xa vào máy tính của họ thông qua phiên Quick Assist hoặc bằng cách cài đặt các công cụ như AnyDesk để giúp khắc phục sự cố.
Sau khi có quyền truy cập, kẻ tấn công nhanh chóng khởi chạy trình duyệt web và điều hướng đến một trang đích giả mạo được lưu trữ trên Amazon Web Services (AWS) mạo danh Microsoft, hướng dẫn nạn nhân nhập địa chỉ email của họ để truy cập hệ thống cập nhật quy tắc chống spam của Outlook và cập nhật các quy tắc spam.
Nhấp vào nút "Update rules configuration" trên trang giả mạo sẽ kích hoạt một script hiển thị một lớp phủ yêu cầu người dùng nhập mật khẩu.
Cơ chế này phục vụ hai mục đích: nó cho phép tác nhân đe dọa (TA) thu thập thông tin xác thực (credentials), khi kết hợp với địa chỉ email cần thiết, cung cấp quyền truy cập vào bảng điều khiển; đồng thời, nó thêm một lớp xác thực vào tương tác, thuyết phục người dùng rằng quá trình này là thật.
Huntress cho biết.
Cuộc tấn công cũng dựa vào việc tải xuống bản vá chống spam được cho là thật, sau đó dẫn đến việc thực thi một binary hợp pháp có tên "ADNotificationManager.exe" (hoặc "DLPUserAgent.exe" và "Werfault.exe") để sideload một DLL độc hại. Payload DLL này thực hiện defense evasion và thực thi payload Havoc shellcode bằng cách tạo một thread chứa Demon agent.
Ít nhất một trong các DLL được xác định ("vcruntime140_1.dll") kết hợp các thủ thuật bổ sung để né tránh việc phát hiện bởi phần mềm bảo mật bằng cách sử dụng control flow obfuscation, timing-based delay loops và các kỹ thuật như Hell's Gate và Halo's Gate để hook các hàm ntdll.dll và bỏ qua các giải pháp endpoint detection and response (EDR).
Sau khi Havoc Demon được triển khai thành công trên máy chủ mũi nhọn (beachhead host), các tác nhân đe dọa bắt đầu di chuyển ngang qua môi trường nạn nhân. Mặc dù các kỹ thuật social engineering ban đầu và phân phối malware đã thể hiện một số kỹ thuật thú vị, hoạt động "hands-on-keyboard" sau đó lại tương đối đơn giản.
Các nhà nghiên cứu cho biết.
Điều này bao gồm việc tạo các tác vụ theo lịch trình để khởi chạy payload Havoc Demon mỗi khi các endpoint bị nhiễm khởi động lại, cung cấp cho các tác nhân đe dọa quyền truy cập từ xa liên tục (persistent remote access). Tuy nhiên, tác nhân đe dọa đã được phát hiện triển khai các công cụ remote monitoring and management (RMM) hợp pháp như Level RMM và XEOX trên một số máy chủ bị xâm nhập thay vì Havoc, từ đó đa dạng hóa các cơ chế persistence của chúng.
Một số điểm quan trọng rút ra từ các cuộc tấn công này là các tác nhân đe dọa sẵn sàng mạo danh nhân viên IT và gọi điện thoại cá nhân nếu điều đó cải thiện tỷ lệ thành công. Các kỹ thuật như defense evasion, vốn từng chỉ giới hạn ở các cuộc tấn công vào các công ty lớn hoặc các chiến dịch do nhà nước bảo trợ, đang trở nên ngày càng phổ biến. Ngoài ra, malware thông thường đang được tùy chỉnh để vượt qua các chữ ký dựa trên mẫu.
Cũng cần lưu ý là tốc độ các cuộc tấn công tiến triển nhanh chóng và mạnh mẽ từ xâm nhập ban đầu đến di chuyển ngang, cùng với vô số phương pháp được sử dụng để duy trì persistence.
Những gì bắt đầu bằng một cuộc điện thoại từ 'IT support' kết thúc bằng một sự xâm nhập mạng được trang bị đầy đủ – các Havoc Demon đã sửa đổi được triển khai trên các endpoint, các công cụ RMM hợp pháp được sử dụng lại làm persistence dự phòng.
Huntress kết luận: "Chiến dịch này là một trường hợp điển hình về cách các đối thủ hiện đại thêm các lớp tinh vi ở mọi giai đoạn: social engineering để xâm nhập, DLL sideloading để duy trì ẩn danh, và persistence đa dạng để sống sót sau khi khắc phục."
