Các nhà nghiên cứu cảnh báo, nhóm tấn công mạng do nhà nước bảo trợ có tên Billbug đã tìm cách xâm phạm cơ quan cấp chứng chỉ kỹ thuật số (CA) như một phần của chiến dịch gián điệp trên diện rộng kéo dài từ tháng 3 – một sự phát triển đáng lo ngại trong vở kịch về mối đe dọa dai dẳng (APT) nâng cao.
Chứng chỉ kỹ thuật số là các tệp được sử dụng để ký phần mềm là hợp lệ và xác minh danh tính của thiết bị hoặc người dùng để kích hoạt các kết nối được mã hóa. Do đó, sự thỏa hiệp của CA có thể dẫn đến vô số các cuộc tấn công lén lút tiếp theo.
“Việc nhắm mục tiêu vào cơ quan cấp chứng chỉ là đáng chú ý, vì nếu những kẻ tấn công có thể xâm phạm thành công nó để truy cập các chứng chỉ, chúng có thể sử dụng chúng để ký phần mềm độc hại bằng chứng chỉ hợp lệ và giúp nó tránh bị phát hiện trên máy nạn nhân,” theo báo cáo tuần này từ Symantec. “Nó cũng có khả năng sử dụng các chứng chỉ bị xâm phạm để chặn lưu lượng HTTPS.”
Các nhà nghiên cứu lưu ý: “Điều này có khả năng rất nguy hiểm”.
Một loạt các thỏa hiệp mạng đang diễn ra
Billbug (hay còn gọi là Lotus Blossom hay Thrip) là một nhóm gián điệp có trụ sở tại Trung Quốc, chủ yếu nhắm vào các nạn nhân ở Đông Nam Á. Nó được biết đến với trò chơi săn bắn lớn - tức là truy lùng những bí mật được nắm giữ bởi các tổ chức quân sự, cơ quan chính phủ và nhà cung cấp thông tin liên lạc. Đôi khi nó tạo ra một mạng lưới rộng hơn, ám chỉ những động cơ đen tối hơn: Trong một trường hợp trước đây, nó đã xâm nhập vào một nhà điều hành hàng không vũ trụ để lây nhiễm vào các máy tính giám sát và điều khiển chuyển động của các vệ tinh.
Trong hoạt động bất chính mới nhất, APT đã tấn công vào các cơ quan chính phủ và quốc phòng trên khắp châu Á, trong một trường hợp đã lây nhiễm “một số lượng lớn máy” trên mạng của chính phủ bằng phần mềm độc hại tùy chỉnh.
Brigid O Gorman, nhà phân tích tình báo cấp cao của Symantec Threat Hunter Team cho biết: “Chiến dịch này đã diễn ra ít nhất từ tháng 2022 năm 2022 đến tháng XNUMX năm XNUMX và có thể hoạt động này sẽ tiếp tục diễn ra”. “Billbug là một nhóm đe dọa lâu đời đã thực hiện nhiều chiến dịch trong nhiều năm. Có thể hoạt động này sẽ mở rộng sang các tổ chức hoặc khu vực địa lý khác, mặc dù Symantec hiện không có bằng chứng nào về điều đó.”
Một cách tiếp cận quen thuộc đối với các cuộc tấn công mạng
Tại các mục tiêu đó cũng như tại CA, vectơ truy cập ban đầu là việc khai thác các ứng dụng công khai, dễ bị tấn công. Sau khi có được khả năng thực thi mã, kẻ tấn công tiếp tục cài đặt các cửa hậu Hannotog hoặc Sagerunex tùy chỉnh đã biết của chúng trước khi xâm nhập sâu hơn vào mạng.
Đối với các giai đoạn chuỗi tiêu diệt sau này, kẻ tấn công Billbug sử dụng nhiều nhị phân sống ngoài đất liền (LoLBins), chẳng hạn như AdFind, Certutil, NBTscan, Ping, Port Scanner, Route, Tracert, Winmail và WinRAR, theo báo cáo của Symantec.
Những công cụ hợp pháp này có thể bị lạm dụng cho nhiều mục đích sử dụng khác nhau, chẳng hạn như truy vấn Active Directory để ánh xạ mạng, tệp ZIP để lọc, phát hiện đường dẫn giữa các điểm cuối, quét NetBIOS và cổng cũng như cài đặt chứng chỉ gốc của trình duyệt - chưa kể đến việc tải xuống phần mềm độc hại bổ sung .
Các cửa hậu tùy chỉnh kết hợp với các công cụ lưỡng dụng là dấu vết quen thuộc, đã được APT sử dụng trước đây. Nhưng việc thiếu quan tâm đến việc tiếp xúc với công chúng là mệnh cho khóa học cho nhóm.
Gorman cho biết: “Đáng chú ý là Billbug dường như không hề nản lòng trước khả năng hoạt động này được quy cho nó và nó sử dụng lại các công cụ đã được liên kết với nhóm trong quá khứ”.
Cô cho biết thêm: “Việc nhóm sử dụng nhiều công cụ sống xa đất liền và công dụng kép cũng là điều đáng chú ý, đồng thời nhấn mạnh nhu cầu của các tổ chức phải trang bị các sản phẩm bảo mật không chỉ có thể phát hiện phần mềm độc hại mà còn có thể cũng nhận ra liệu các công cụ hợp pháp có khả năng được sử dụng hay không theo cách đáng ngờ hoặc độc hại.”
Symantec đã thông báo cho CA giấu tên về hoạt động này, nhưng Gorman từ chối cung cấp thêm thông tin chi tiết về nỗ lực phản hồi hoặc khắc phục của họ.
Mặc dù cho đến nay không có dấu hiệu nào cho thấy nhóm này có thể tiếp tục xâm phạm các chứng chỉ kỹ thuật số thực tế, nhưng nhà nghiên cứu khuyên: “Các doanh nghiệp nên lưu ý rằng phần mềm độc hại có thể được ký bằng chứng chỉ hợp lệ nếu tác nhân đe dọa có thể đạt được quyền truy cập vào cơ quan cấp chứng chỉ”.
Nói chung, các tổ chức nên áp dụng chiến lược phòng thủ chuyên sâu, sử dụng nhiều công nghệ phát hiện, bảo vệ và củng cố để giảm thiểu rủi ro tại mỗi điểm của chuỗi tấn công tiềm năng, bà nói.
Gorman lưu ý: “Symantec cũng sẽ tư vấn triển khai kiểm toán và kiểm soát thích hợp việc sử dụng tài khoản quản trị. “Chúng tôi cũng khuyên bạn nên tạo hồ sơ sử dụng cho các công cụ quản trị vì nhiều công cụ trong số này được kẻ tấn công sử dụng để di chuyển ngang qua mạng mà không bị phát hiện. Nhìn chung, xác thực đa yếu tố (MFA) có thể giúp hạn chế tính hữu ích của thông tin xác thực bị xâm phạm.”
