Chiến dịch ransomware được biết đến với tên gọi LeakNet đã áp dụng chiến thuật tấn công phi kỹ thuật ClickFix được phân phối qua các trang web bị xâm nhập làm phương pháp truy cập ban đầu.
Theo ReliaQuest cho biết trong một báo cáo kỹ thuật được công bố hôm nay, việc sử dụng ClickFix, trong đó người dùng bị lừa chạy thủ công các lệnh độc hại để giải quyết các lỗi không tồn tại, là một sự khác biệt so với việc dựa vào các phương pháp truyền thống để có quyền truy cập ban đầu, chẳng hạn như thông qua thông tin đăng nhập bị đánh cắp từ các nhà môi giới truy cập ban đầu (IABs).
Khía cạnh quan trọng thứ hai của các cuộc tấn công này là việc sử dụng một C2 loader theo từng giai đoạn được xây dựng trên thời gian chạy JavaScript Deno để thực thi các payload độc hại trực tiếp trong bộ nhớ.
"Điểm mấu chốt ở đây là cả hai đường dẫn truy cập đều dẫn đến cùng một chuỗi post-exploitation lặp lại mỗi lần," công ty an ninh mạng cho biết. "Điều đó mang lại cho các nhà phòng thủ một thứ cụ thể để làm việc: các hành vi đã biết mà bạn có thể phát hiện và ngăn chặn ở mỗi giai đoạn, trước khi ransomware được triển khai, bất kể LeakNet đã xâm nhập bằng cách nào."
LeakNet lần đầu tiên xuất hiện vào tháng 11 năm 2024, tự mô tả mình là một "digital watchdog" và định hình các hoạt động của mình tập trung vào tự do internet và minh bạch. Theo dữ liệu được Dragos thu thập, nhóm này cũng đã nhắm mục tiêu vào các thực thể công nghiệp.
Việc sử dụng ClickFix để xâm nhập nạn nhân mang lại một số lợi thế, đáng kể nhất là nó giảm sự phụ thuộc vào các nhà cung cấp bên thứ ba, giảm chi phí thu thập mỗi nạn nhân và loại bỏ nút thắt vận hành của việc chờ đợi các tài khoản có giá trị xuất hiện trên thị trường.
Trong các cuộc tấn công này, các trang web hợp pháp nhưng bị xâm nhập được sử dụng để hiển thị các kiểm tra xác minh CAPTCHA giả mạo, hướng dẫn người dùng sao chép và dán lệnh "msiexec.exe" vào hộp thoại Windows Run. Các cuộc tấn công không giới hạn trong một ngành dọc cụ thể nào mà thay vào đó là tung lưới rộng để lây nhiễm càng nhiều nạn nhân càng tốt.
Sự phát triển này diễn ra khi ngày càng nhiều threat actor đang áp dụng kịch bản ClickFix, vì nó lạm dụng các quy trình làm việc hàng ngày, đáng tin cậy để dụ dỗ người dùng chạy các lệnh giả mạo thông qua các công cụ Windows hợp pháp một cách cảm thấy quen thuộc và an toàn.
"Việc LeakNet áp dụng ClickFix đánh dấu cả sự mở rộng khả năng truy cập ban đầu được ghi nhận đầu tiên của nhóm và một sự thay đổi chiến lược có ý nghĩa," ReliaQuest cho biết.
"Bằng cách loại bỏ IABs, LeakNet loại bỏ một sự phụ thuộc vốn hạn chế một cách tự nhiên tốc độ và phạm vi hoạt động của nó. Và bởi vì ClickFix được phân phối thông qua các trang web hợp pháp—nhưng đã bị xâm nhập—nên nó không hiển thị các tín hiệu rõ ràng ở lớp mạng giống như hạ tầng thuộc sở hữu của attacker."
Bên cạnh việc sử dụng ClickFix để bắt đầu chuỗi tấn công, LeakNet được đánh giá là sử dụng một loader dựa trên Deno để thực thi JavaScript được mã hóa Base64 trực tiếp trong bộ nhớ nhằm giảm thiểu bằng chứng trên đĩa và tránh bị phát hiện. Payload được thiết kế để fingerprint hệ thống bị xâm nhập, liên hệ với máy chủ bên ngoài để lấy malware giai đoạn tiếp theo và đi vào một vòng lặp polling liên tục tìm nạp và thực thi mã bổ sung thông qua Deno.
Ngoài ra, ReliaQuest cho biết họ cũng đã quan sát thấy một nỗ lực xâm nhập trong đó các threat actor đã sử dụng phishing dựa trên Microsoft Teams để tấn công phi kỹ thuật người dùng khởi chạy một chuỗi payload kết thúc bằng một loader dựa trên Deno tương tự. Mặc dù hoạt động này vẫn chưa được gán cho bất kỳ đối tượng nào, việc sử dụng phương pháp bring your own runtime (BYOR) cho thấy sự mở rộng các initial access vectors của LeakNet, hoặc các threat actor khác đã áp dụng kỹ thuật này.
Hoạt động sau xâm nhập của LeakNet tuân theo một phương pháp luận nhất quán: nó bắt đầu bằng việc sử dụng DLL side-loading để khởi chạy một DLL độc hại được phân phối qua loader, tiếp theo là lateral movement bằng PsExec, data exfiltration và encryption.
"LeakNet chạy cmd.exe /c klist, một lệnh Windows tích hợp sẵn hiển thị thông tin xác thực xác thực đang hoạt động trên hệ thống bị xâm nhập. Điều này cho attacker biết tài khoản và dịch vụ nào đã có thể truy cập mà không cần yêu cầu thông tin xác thực mới, vì vậy chúng có thể di chuyển nhanh hơn và có chủ đích hơn," ReliaQuest cho biết.
"Để staging và exfiltration, LeakNet sử dụng S3 buckets, khai thác sự xuất hiện của lưu lượng đám mây bình thường để giảm footprint phát hiện của nó."
Sự phát triển này diễn ra khi Google tiết lộ rằng Qilin (hay còn gọi là Agenda), Akira (hay còn gọi là RedBike), Cl0p, Play, SafePay, INC Ransom, Lynx, RansomHub, DragonForce (hay còn gọi là FireFlame và FuryStorm), và Sinobi nổi lên là 10 thương hiệu ransomware hàng đầu với số nạn nhân lớn nhất được báo cáo trên các trang rò rỉ dữ liệu của chúng.
Google Threat Intelligence Group (GTIG) cho biết "Trong một phần ba số sự cố, vector truy cập ban đầu được xác nhận hoặc nghi ngờ là exploitation các lỗ hổng, thường xuyên nhất là trong các VPN và firewall phổ biến", đồng thời cho biết thêm 77% các vụ xâm nhập ransomware được phân tích bao gồm nghi ngờ data theft, tăng từ 57% vào năm 2024.
"Mặc dù có những xáo trộn đang diễn ra do xung đột giữa các actor và sự gián đoạn, các actor ransomware vẫn rất có động lực và hệ sinh thái tống tiền vẫn thể hiện khả năng phục hồi liên tục. Một số chỉ số cho thấy khả năng sinh lời tổng thể của các hoạt động này đang giảm, và ít nhất một số threat actor đang dịch chuyển tính toán mục tiêu của họ khỏi các công ty lớn để thay vào đó tập trung vào các cuộc tấn công có khối lượng lớn hơn chống lại các tổ chức nhỏ hơn."
