Cuộc tấn công này là duy nhất vì nó sử dụng Microsoft OneDrive như một máy chủ ra lệnh và kiểm soát (C2) , được chia thành sáu giai đoạn để ẩn danh càng nhiều càng tốt, Trellix – một công ty mới được thành lập sau khi sáp nhập công ty bảo mật McAfee Enterprise và FireEye – cho biết trong một báo cáo cua mình.

“Kiểu giao tiếp này cho phép phần mềm độc hại không bị phát hiện trong hệ thống của nạn nhân vì nó sẽ chỉ kết nối với các miền hợp pháp của Microsoft và không hiển thị bất kỳ lưu lượng mạng đáng ngờ nào”, Trellix giải thích.

Các dấu hiệu đầu tiên của hoạt động liên quan đến hoạt động bí mật được cho là bắt đầu sớm nhất vào ngày 18 tháng 6 năm 2021, với hai nạn nhân được báo cáo vào ngày 21 và 29 tháng 9, tiếp theo là 17 người khác trong khoảng thời gian ngắn ba ngày từ 6 đến 8 tháng 10.

Christiaan Beek, trưởng nhóm khoa học tại Trellix, cho biết: “Cuộc tấn công đặc biệt độc đáo do sự nổi bật của các nạn nhân, việc sử dụng một [lỗ hổng bảo mật] gần đây và sử dụng một kỹ thuật tấn công mà nhóm chưa từng thấy trước đây”. “Mục tiêu rõ ràng là gián điệp.”

Trellix quy các vụ tấn công tinh vi với độ tin cậy vừa phải là do nhóm APT28 có trụ sở tại Nga , cũng được theo dõi dưới các biệt danh Sofacy, Strontium, Fancy Bear và Sednit, dựa trên những điểm tương đồng trong mã nguồn cũng như các chỉ số tấn công và mục tiêu địa chính trị.

Nhà nghiên cứu bảo mật Marc Elias của Trellix cho biết: “Chúng tôi cực kỳ tự tin rằng chúng tôi đang đối phó với một tác nhân rất có kỹ năng dựa trên cách thiết lập cơ sở hạ tầng, mã hóa phần mềm độc hại và hoạt động”.

Chuỗi lây nhiễm bắt đầu bằng việc thực thi tệp Microsoft Excel có chứa lỗ hổng thực thi mã từ xa MSHTML ( CVE-2021-40444 ), được sử dụng để chạy một tệp nhị phân độc hại hoạt động như trình tải xuống cho phần mềm độc hại giai đoạn ba được đặt tên Than chì.

Tập tin thực thi DLL sử dụng OneDrive làm máy chủ C2 thông qua Microsoft Graph API để truy xuất phần mềm độc hại stager bổ sung cuối cùng tải xuống và thực thi Empire , một khung hậu khai thác dựa trên PowerShell mã nguồn mở bị lạm dụng rộng rãi bởi các tác nhân đe dọa cho các hoạt động tiếp theo.

Beek giải thích: “Việc sử dụng Microsoft OneDrive làm cơ chế Máy chủ điều khiển và ra lệnh là một điều bất ngờ, một cách mới để tương tác nhanh với các máy bị nhiễm bằng cách kéo các lệnh đã mã hóa vào các thư mục của nạn nhân”. “OneDrive tiếp theo sẽ đồng bộ với các máy của nạn nhân và các lệnh được mã hóa đang được thực thi, sau đó thông tin được yêu cầu sẽ được mã hóa và gửi trở lại OneDrive của kẻ tấn công.”

Microsoft và SafeBreach Labs tiết lộ nhiều chiến dịch đã vũ khí hóa lỗ hổng để tạo ra phần mềm độc hại và phân phối các bộ tải Cobalt Strike Beacon tùy chỉnh.

Raj Samani và đồng nghiệp tại Trellix nói với The Hacker News: “Bài học kinh nghiệm chính là làm nổi bật mức độ của các chiến dịch đe dọa tiếp cận và đặc biệt là cách các tác nhân đe dọa có khả năng xâm nhập vào các cấp chính quyền cao cấp nhất. “Điều tối quan trọng là các học viên bảo mật được giao nhiệm vụ bảo vệ các hệ thống có giá trị cao như vậy xem xét các biện pháp an ninh bổ sung để ngăn chặn, phát hiện và ngay lập tức chống lại các hành động thù địch như vậy.” THN

AT 3 EDU VN