Thông tin này đã được tiết lộ bởi các chuyên gia bảo mật thuộc Nhóm nghiên cứu Microsoft 365 Defender, Trung tâm Tình báo về các mối đe dọa của Microsoft (MSTIC) và Trung tâm Điều hành phòng thủ trên không gian mạng của Microsoft (CDOC).
Báo cáo đã xuất bản vào ngày 20/01/2020 đã chia sẻ các chi tiết mới liên quan đến việc chuyển giao trong chiến dịch Solorigate từ mẫu DLL backdoor sang Cobalt Strike loader. Tin tặc sử dụng kỹ thuật ghi lại bàn phím trên các thiết bị đầu cuối bị xâm phạm bằng cách sử dụng một trong số các trình tải Cobalt Strike tùy chỉnh, bao gồm trình tải được đặt tên là TEARDROP của FireEye và một biến thể có tên Raindrop của Symantec. Kết quả cho thấy những kẻ tấn công đã cố gắng tách biệt các thành phần này càng xa càng tốt để tránh bị phát hiện.
Theo chuyên gia bảo mật của Microsoft, các tin tặc dàn dựng cuộc tấn công SolarWinds đã sử dụng một loạt các chiến thuật và bảo mật hoạt động nhằm giảm đáng kể khả năng phát hiện hành động độc hại của các tổ chức vi phạm.
Theo Microsoft cho biết thì những kẻ đứng đằng sau cuộc tấn công là những người điều hành khéo léo và tuân theo các phương pháp nghiêm ngặt về bảo mật hoạt động (OpSec) để giảm thiểu dấu vết, tránh nằm trong tầm ngắm và tránh bị phát hiện.
Trong quá trình phân tích chuyên sâu về chiến thuật, kỹ thuật và quy trình của kẻ tấn công thông qua Microsoft 365 Defender. Microsoft sẽ tiết lộ một số kỹ thuật để giúp những chuyên gia bảo mật của các công ty phản ứng tốt hơn với sự cố này và sử dụng các công cụ của Microsoft 365 Defender hoặc truy vấn Azure Sentinel để tìm kiếm dấu vết khả nghi của các hoạt động trong quá khứ.
Một số ví dụ về chiến thuật lẩn tránh mà tin tặc SolarWinds đã sử dụng:
- Tránh các chỉ lệnh được chia sẻ một cách có phương pháp cho mỗi máy chủ bị xâm phạm bằng cách chuẩn bị Cobalt Strike riêng biệt cho từng máy, tránh sự trùng lặp và tái sử dụng tên thư mục, tên file, tên hàm, C2 domain/IP,... Chiến thuật này cũng được áp dụng với các đối tượng không thực thi như WMI persistense filter name, WMI filter query, mật khẩu cho những file nén 7-zip và tên của các output log files.
- Ngụy trang và xâm nhập bằng cách đổi tên và đặt vào trong các thư mục các công cụ và file binary nhằm giả mạo các chương trình và file sẵn có trên máy chủ.
- Vô hiệu hóa tính năng ghi nhật ký sự kiện bằng AUDITPOL trước khi thực hiện ghi lại nhật ký bàn phím và kích hoạt lại sau đó.
- Trước khi thực hiện các hoạt động network enumeration, những kẻ tấn công chuẩn bị sẵn các firewall rule đặc biệt để giảm thiếu các gói tin đi ra ngoài cho các giao thức nhất định. Các rule này sẽ được xóa bỏ sau khi quá trình dò quét và thu thập thông tin được hoàn thành.
- Cẩn thận lên kế hoạch cho các hoạt động di chuyển trong mạng của các công ty bằng cách kiếm tra các tiến trình và dịch vụ đang chạy trên một máy chủ xác định và chỉ kết nối đến máy chủ đó sau khi đã tắt các dịch vụ bảo vệ.
- Cũng được cho là đã sử dụng kỹ thuật timestomping để thay đổi dấu thời gian của các mẫu và các file, sử dụng các quy trình và công cụ xóa bỏ chuyên nghiệp để ngăn cản việc tìm kiếm và khôi phục các file DLL độc hại đã được cài đặt.
Ngoài ra, Microsoft cung cấp một danh sách các chiến thuật, kỹ thuật và thủ tục đáng ngờ và bất thường nhất được sử dụng trong các cuộc tấn công này.
Công ty cũng cho biết họ đang tích cực làm việc với MITRE (Tổ chức công nghệ phi lợi nhuận) để đảm bảo rằng bất kỳ kỹ thuật mới nào xuất hiện từ sự cố này đều được ghi lại trong các bản cập nhật trong tương lai của ATT&CK (danh sách các hành vi của tin tặc khi tấn công một hệ thống nào đó, giúp các tổ chức nhận diện, khắc phục, giảm thiểu các nguy cơ bị tấn công trên không gian mạng).
Quá trình chi tiết của các cuộc tấn công này cho thấy Solorigate DLL backdoor đã được triển khai vào tháng 2/2020 và được thiết lập trong các mạng bị xâm nhập vào cuối tháng 3/2020.
Sau giai đoạn này, vào đầu tháng 5/2020 là thời điểm các cuộc tấn công bắt đầu, kẻ đe dọa chuẩn bị cài đặt Cobalt Strike tùy chỉnh vào các mục tiêu được chọn.
Microsoft cho biết thêm, việc loại bỏ chức năng tạo backdoor và mã bị xâm nhập khỏi hệ thống nhị phân SolarWinds vào tháng 6/2020 có thể cho thấy rằng, vào thời điểm này, những kẻ tấn công đã đạt đủ số lượng mục tiêu cần thiết và mục tiêu của chúng chuyển từ triển khai sang kích hoạt backdoor (Giai đoạn 1) để hoạt động trên các mạng của các nạn nhân được chọn. Tiếp tục cuộc tấn công bằng hoạt động mô phỏng bàn phím bằng cách sử dụng cài đặt Cobalt Strike (Giai đoạn 2).
Quy trình của cuộc tấn công Solorigate
Microsoft cũng đã phát hiện ra những chi tiết mới trong quá trình điều tra về cuộc tấn công chuỗi cung ứng SolarWinds được dàn dựng bởi các tác nhân đe dọa đang được theo dõi như StellarParticle (CrowdStrike), UNC2452 (FireEye), SolarStorm (Palo Alto Unit 42), và Dark Halo (Volexity).
Mặc dù danh tính của tin tặc vẫn chưa được xác định, nhưng một tuyên bố chung do FBI, CISA, ODNI và NSA đưa ra hồi đầu tháng 01/2021 này cho biết có khả năng đó là một nhóm Advanced Persistent Threat (APT) do Nga hậu thuẫn.
Kaspersky cũng phát hiện ra mối liên hệ giữa tin tặc SolarWinds và nhóm tin tặc có tên Turla của Nga sau khi tìm ra ra rằng Sunburst backdoor của SolarWinds có tính năng trùng lặp với Kazuar backdoor của Turla.
Xuân Bắc
(theo Bleepingcomputer)
08:00 | 22/02/2021
10:00 | 24/02/2021
10:00 | 16/05/2021
09:00 | 23/02/2021
14:00 | 21/01/2021
16:00 | 17/12/2020
08:00 | 23/02/2021
21:00 | 07/03/2021
15:00 | 16/04/2024
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
14:00 | 11/04/2024
RisePro là một trình đánh cắp thông tin dưới dạng dịch vụ, được phát hiện lần đầu tiên vào năm 2022. Tuy nhiên, mới đây phần mềm độc hại này đã xuất hiện trở lại với mã hóa chuỗi mới. Các nhà nghiên cứu tới từ công ty an ninh mạng G Data CyberDefense AG (Đức) tìm thấy một số kho GitHub cung cấp phần mềm bẻ khóa được sử dụng để phân phối RisePro.
13:00 | 23/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet (ISP), nhà cung cấp dịch vụ công nghệ thông tin và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới do nhóm tin tặc có tên gọi là Sea Turtle thực hiện. Nhóm này hoạt động với động cơ chính trị nhằm thu thập thông tin tình báo phù hợp với những lợi ích của Thổ Nhĩ Kỳ. Bài viết này sẽ cùng phân tích về các hoạt động của nhóm tin tặc này và các kỹ thuật trong chiến dịch mới nhất, dựa trên báo cáo điều tra của công ty an ninh mạng Hunt&Hackett (Hà Lan).
16:00 | 18/12/2023
Các nhà nghiên cứu từ công ty bảo mật chuỗi cung ứng Binarly cho biết lỗ hổng firmware có tên gọi là LogoFAIL có thể ảnh hưởng đến 95% máy tính, cho phép tin tặc vượt qua cơ chế bảo vệ Secure Boot và thực thi phần mềm độc hại trong quá trình khởi động. Các lỗ hổng xuất phát từ trình phân tích cú pháp hình ảnh được sử dụng trong firmware hệ thống UEFI để tải hình ảnh logo trên màn hình khởi động.
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024