Tác giả gốc: 23pds Thinking
Biên tập viên gốc: Liz
Nguồn gốc: Công nghệ SlowMist
lý lịch
Kể từ tháng 6 năm 2024, nhóm bảo mật SlowMist đã nhận được lời mời từ nhiều nhóm khác nhau để tiến hành điều tra pháp y về nhiều cuộc tấn công của tin tặc. Sau quá trình tích lũy thông tin trước đó và phân tích, điều tra chuyên sâu trong 30 ngày qua, chúng tôi đã hoàn tất việc xem xét các phương pháp tấn công của tin tặc và đường xâm nhập. Kết quả cho thấy đây là cuộc tấn công APT cấp quốc gia nhắm vào các sàn giao dịch tiền điện tử. Thông qua phân tích pháp y và theo dõi tương quan, chúng tôi xác nhận rằng kẻ tấn công là Nhóm Lazarus.
Sau khi có được các IOC (Chỉ số xâm nhập) và TTP (Chiến thuật, Kỹ thuật và Quy trình) có liên quan, chúng tôi sẽ ngay lập tức đồng bộ hóa thông tin tình báo với các đối tác của mình. Đồng thời, chúng tôi cũng phát hiện ra rằng các đối tác khác cũng bị tấn công và xâm lược bằng những phương pháp tương tự. Tuy nhiên, họ tương đối may mắn - tin tặc đã kích hoạt một số báo động an ninh trong quá trình xâm nhập và cuộc tấn công đã bị chặn thành công nhờ phản ứng kịp thời của nhóm an ninh.
Trước tình hình các cuộc tấn công APT vào các sàn giao dịch tiền điện tử liên tục xảy ra gần đây và tình hình ngày càng nghiêm trọng, sau khi trao đổi với các bên liên quan, chúng tôi quyết định giảm mức độ nhạy cảm của IOC và TTP của các cuộc tấn công và công bố chúng một cách công khai để các đối tác cộng đồng có thể tự bảo vệ và tự kiểm tra kịp thời. Đồng thời, do các thỏa thuận bảo mật, chúng tôi không thể tiết lộ quá nhiều thông tin cụ thể về các đối tác của mình. Tiếp theo, chúng ta sẽ tập trung vào việc chia sẻ IOC và TTP của cuộc tấn công.
Thông tin kẻ tấn công
Tên miền của kẻ tấn công:
gossipsnare[.]com, 51.38.145.49: 443
showmanroast[.]com, 213.252.232.171: 443
getstockprice[.]thông tin, 131.226.2.120: 443
eclairdomain[.]com, 37.120.247.180: 443
replaydreary[.]com, 88.119.175.208: 443
coreladao[.]com
cdn.clubinfo[.]io
IP liên quan đến vụ việc:
193.233.171[.]58
193.233.85[.]234
208.95.112[.]1
204.79.197[.]203
23.195.153[.]175
Tên người dùng GitHub của kẻ tấn công:
https://github.com/mariaauijj
https://github.com/patriciauiokv
https://github.com/lauraengmp
Tài khoản mạng xã hội của kẻ tấn công:
Điện tín: @tanzimahmed 88
Tên chương trình cửa sau:
StockInvestSimulator-main.zip
MonteCarloStockInvestSimulator-main.zip
Tương tự như…StockInvestSimulator-main.zip v.v.
Mã dự án thực tế:
(https://github.com/cristianleoo/montecarlo-portfolio-management)
Mã dự án giả sau khi kẻ tấn công thay đổi nó:
Sau khi so sánh, bạn sẽ thấy có thêm một tệp data_fetcher.py trong thư mục dữ liệu, chứa một Loader lạ:
Kỹ thuật cửa sau được kẻ tấn công sử dụng
Kẻ tấn công sử dụng pyyaml để thực hiện RCE (thực thi mã từ xa) nhằm gửi mã độc và kiểm soát máy tính và máy chủ mục tiêu. Phương pháp này có thể bỏ qua sự phát hiện của hầu hết các phần mềm diệt vi-rút. Sau khi đồng bộ hóa thông tin tình báo với các đối tác, chúng tôi đã thu được một số mẫu độc hại tương tự.
Tài liệu tham khảo phân tích kỹ thuật chính: https://github.com/yaml/pyyaml/wiki/PyYAML-yaml.load(input)-Deprecation#how-to-disable-the-warning
Thông qua phân tích chuyên sâu các mẫu, nhóm bảo mật SlowMist đã tái tạo thành công phương thức tấn công của kẻ tấn công sử dụng pyyaml để thực hiện RCE (thực thi mã từ xa).
Phân tích khóa tấn công
Mục tiêu và động lực
Mục tiêu: Mục tiêu chính của kẻ tấn công là giành quyền kiểm soát ví bằng cách hack vào cơ sở hạ tầng của các sàn giao dịch tiền điện tử, qua đó chuyển bất hợp pháp một lượng lớn tài sản tiền điện tử vào ví.
Động cơ: Cố gắng đánh cắp tài sản tiền điện tử có giá trị cao.
Phương tiện kỹ thuật
1. Xâm nhập ban đầu
Kẻ tấn công sử dụng kỹ thuật xã hội để lừa nhân viên thực thi mã có vẻ bình thường trên thiết bị cục bộ hoặc trong Docker.
Trong quá trình điều tra, chúng tôi phát hiện phần mềm độc hại được kẻ tấn công sử dụng bao gồm `StockInvestSimulator-main.zip` và `MonteCarloStockInvestSimulator-main.zip`. Các tệp này được ngụy trang thành các dự án Python hợp pháp, nhưng thực chất chúng là Trojan điều khiển từ xa và kẻ tấn công sử dụng pyyaml cho RCE như một phương tiện để phân phối và thực thi mã độc hại, vượt qua sự phát hiện của hầu hết các phần mềm diệt vi-rút.
2. Tăng đặc quyền
Kẻ tấn công đã thành công trong việc giành được quyền kiểm soát cục bộ thiết bị của nhân viên thông qua phần mềm độc hại và lừa nhân viên thiết lập quyền đặc quyền thành đúng trong docker-compose.yaml.
Kẻ tấn công đã lợi dụng điều kiện có quyền được thiết lập thành đúng để nâng cao quyền hơn nữa và giành toàn quyền kiểm soát thiết bị mục tiêu.
3. Trinh sát nội bộ và di chuyển ngang
Kẻ tấn công đã sử dụng máy tính của nhân viên bị hack để quét mạng nội bộ.
Kẻ tấn công sau đó khai thác lỗ hổng của các dịch vụ và ứng dụng mạng nội bộ để xâm nhập sâu hơn vào máy chủ nội bộ của công ty.
Kẻ tấn công đã đánh cắp khóa SSH của các máy chủ chính và sử dụng mối quan hệ tin cậy danh sách trắng giữa các máy chủ để di chuyển ngang sang máy chủ ví.
4. Chuyển giao tài sản tiền điện tử
Sau khi kẻ tấn công chiếm được quyền kiểm soát ví, hắn đã chuyển trái phép một lượng lớn tài sản tiền điện tử vào địa chỉ ví do hắn kiểm soát.
5. Ẩn dấu vết
Kẻ tấn công sử dụng các công cụ doanh nghiệp hợp pháp, dịch vụ ứng dụng và cơ sở hạ tầng làm bàn đạp để che giấu nguồn gốc thực sự của hoạt động bất hợp pháp và xóa hoặc hủy dữ liệu nhật ký và dữ liệu mẫu.
quá trình
Kẻ tấn công sử dụng kỹ thuật xã hội để lừa mục tiêu. Các phương pháp phổ biến bao gồm:
1. Đóng vai là chủ dự án, tìm kiếm các nhà phát triển mục tiêu chính, yêu cầu trợ giúp gỡ lỗi mã và bày tỏ mong muốn trả tiền trước để tạo được lòng tin.
Sau khi theo dõi thông tin IP và UA có liên quan, chúng tôi phát hiện giao dịch này được thanh toán bởi bên thứ ba và không có nhiều giá trị.
2. Kẻ tấn công cải trang thành nhà giao dịch hoặc nhà đầu tư tự động, cung cấp phân tích giao dịch hoặc mã định lượng và lừa mục tiêu chính thực hiện các chương trình độc hại. Khi phần mềm độc hại chạy trên thiết bị, nó có thể thiết lập một cửa hậu cố định và cung cấp quyền truy cập từ xa cho kẻ tấn công.
Kẻ tấn công sử dụng các thiết bị bị xâm nhập để quét mạng nội bộ, xác định máy chủ chính và khai thác lỗ hổng trong các ứng dụng doanh nghiệp để xâm nhập sâu hơn vào mạng doanh nghiệp. Mọi cuộc tấn công đều được thực hiện thông qua lưu lượng VPN của thiết bị bị xâm phạm, do đó bỏ qua khả năng phát hiện của hầu hết các thiết bị bảo mật.
Khi kẻ tấn công thành công trong việc lấy được quyền máy chủ ứng dụng có liên quan, hắn sẽ đánh cắp khóa SSH của các máy chủ chính, sử dụng quyền của các máy chủ này để di chuyển ngang và cuối cùng là kiểm soát máy chủ ví và chuyển tài sản được mã hóa đến các địa chỉ bên ngoài. Trong suốt quá trình, kẻ tấn công đã khéo léo sử dụng các công cụ và cơ sở hạ tầng nội bộ của doanh nghiệp để khiến cuộc tấn công khó bị phát hiện nhanh chóng.
Kẻ tấn công sẽ lừa nhân viên xóa các chương trình họ đang gỡ lỗi và cung cấp phần thưởng gỡ lỗi để che giấu dấu vết của cuộc tấn công.
Ngoài ra, một số nhân viên bị lừa có thể tự ý xóa thông tin có liên quan do lo ngại về việc phải chịu trách nhiệm, dẫn đến việc không báo cáo các tình huống có liên quan kịp thời sau khi vụ tấn công xảy ra, khiến việc điều tra và thu thập bằng chứng trở nên khó khăn hơn.
Gợi ý
Các cuộc tấn công APT (Advanced Persistent Threat) cực kỳ khó phòng thủ vì khả năng ẩn giấu cao, mục tiêu rõ ràng và độ trễ dài hạn. Các biện pháp bảo mật truyền thống thường không thể phát hiện các hành vi xâm nhập phức tạp, do đó cần kết hợp các giải pháp bảo mật mạng đa cấp, chẳng hạn như giám sát thời gian thực, phân tích lưu lượng bất thường, bảo vệ điểm cuối và quản lý nhật ký tập trung, để phát hiện và nhận biết dấu vết xâm nhập của kẻ tấn công càng sớm càng tốt, để có thể ứng phó hiệu quả với các mối đe dọa. Nhóm an ninh SlowMist đã đề xuất tám định hướng và gợi ý phòng thủ chính, hy vọng có thể cung cấp tài liệu tham khảo về triển khai phòng thủ cho các đối tác cộng đồng:
1. Cấu hình bảo mật proxy mạng
Mục tiêu: Cấu hình chính sách bảo mật trên tác nhân mạng để triển khai các quyết định bảo mật và quản lý dịch vụ dựa trên mô hình tin cậy bằng không.
Giải pháp: Fortinet (https://www.fortinet.com/), Akamai (https://www.akamai.com/glossary/where-to-start-with-zero-trust), Cloudflare (https://www.cloudflare.com/zero-trust/products/access/), v.v.
2. Bảo vệ an ninh lưu lượng DNS
Mục tiêu: Triển khai các biện pháp kiểm soát bảo mật ở lớp DNS để phát hiện và chặn các yêu cầu giải quyết tên miền độc hại đã biết, ngăn ngừa tình trạng giả mạo DNS hoặc rò rỉ dữ liệu.
Giải pháp: Cisco Umbrella (https://umbrella.cisco.com/) và các giải pháp khác.
3. Giám sát lưu lượng mạng/máy chủ và phát hiện mối đe dọa
Mục tiêu: Phân tích luồng dữ liệu của các yêu cầu mạng, theo dõi hành vi bất thường theo thời gian thực, xác định các cuộc tấn công tiềm ẩn (như IDS/IPS) và cài đặt HIDS trên máy chủ để phát hiện lỗ hổng bảo mật của kẻ tấn công và các hành vi tấn công khác càng sớm càng tốt.
Giải pháp : SolarWinds Network Performance Monitor (https://www.solarwinds.com/), Palo Alto (https://www.paloaltonetworks.com/), Fortinet (https://www.fortinet.com/), Alibaba Cloud Security Center (https://www.alibabacloud.com/zh/product/security_center), GlassWire (https://www.glasswire.com/), v.v.
4. Phân đoạn và cô lập mạng
Mục tiêu: Chia mạng thành các khu vực nhỏ hơn, biệt lập hơn để hạn chế phạm vi lan truyền mối đe dọa và tăng cường khả năng kiểm soát bảo mật.
Giải pháp: Cisco Identity Services Engine (https://www.cisco.com/site/us/en/products/security/identity-services-engine/index.html), chính sách nhóm bảo mật nền tảng đám mây, v.v.
5. Các biện pháp tăng cường hệ thống
Mục tiêu: Triển khai các chiến lược tăng cường bảo mật (như quản lý cấu hình, quét lỗ hổng và cập nhật bản vá) để giảm lỗ hổng hệ thống và cải thiện khả năng phòng thủ.
Giải pháp: Tenable.com (https://www.tenable.com/), public.cyber.mil (https://public.cyber.mil), v.v.
6. Khả năng hiển thị điểm cuối và phát hiện mối đe dọa
Mục tiêu: Cung cấp khả năng giám sát thời gian thực các hoạt động của thiết bị đầu cuối, xác định các mối đe dọa tiềm ẩn, hỗ trợ phản ứng nhanh (như EDR), thiết lập cơ chế danh sách trắng ứng dụng, phát hiện các chương trình bất thường và đưa ra cảnh báo kịp thời.
Giải pháp: CrowdStrike Falcon (https://www.crowdstrike.com/), Microsoft Defender for Endpoint (https://learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-endpoint), Jamf (https://www.jamf.com/) hoặc WDAC (https://learn.microsoft.com/en-us/hololens/windows-defender-application-control-wdac) v.v.
7. Quản lý và phân tích nhật ký tập trung
Mục tiêu: Tích hợp dữ liệu nhật ký từ các hệ thống khác nhau vào một nền tảng thống nhất để tạo điều kiện theo dõi, phân tích và ứng phó với các sự cố bảo mật.
Giải pháp: Splunk Enterprise Security (https://www.splunk.com/), Graylog (https://graylog.org/), ELK (Elasticsearch, Logstash, Kibana), v.v.
8. Nuôi dưỡng nhận thức về an toàn của nhóm
Mục tiêu: Nâng cao nhận thức về bảo mật của các thành viên trong tổ chức, giúp họ xác định hầu hết các cuộc tấn công kỹ thuật xã hội và chủ động báo cáo các bất thường sau sự cố để có thể điều tra kịp thời hơn.
Giải pháp: Sổ tay tự trợ Blockchain Dark Forest (https://darkhandbook.io/), Phân tích kỹ thuật lừa đảo Web3 (https://github.com/slowmist/Knowledge-Base/blob/master/security-research/Web3% 20% E 9% 92% 93% E 9% B 1% BC%E 6% 89% 8 B%E 6% B3% 95% E 8% A 7% A 3% E 6% 9 E% 90.pdf), v.v.
Ngoài ra, chúng tôi khuyến nghị nên tiến hành các cuộc tập trận đối đầu đỏ-xanh định kỳ để xác định điểm yếu trong quản lý quy trình an ninh và triển khai phòng thủ an ninh.
Lời cuối cùng
Các cuộc tấn công thường xảy ra vào cuối tuần và các ngày lễ truyền thống, gây ra những thách thức đáng kể cho việc ứng phó sự cố và phối hợp nguồn lực. Trong quá trình này, các thành viên có liên quan của nhóm an ninh SlowMist, bao gồm 23 cảnh sát (Shan Ge), Thinking, Reborn, v.v., vẫn luôn cảnh giác, thay phiên nhau ứng phó với các trường hợp khẩn cấp trong kỳ nghỉ và tiếp tục thúc đẩy công tác điều tra và phân tích. Cuối cùng, chúng tôi đã khôi phục thành công phương pháp và đường xâm nhập của kẻ tấn công.
Nhìn lại cuộc điều tra này, chúng tôi không chỉ tiết lộ phương pháp tấn công của Nhóm Lazarus mà còn phân tích việc nhóm này sử dụng một loạt các chiến thuật như kỹ thuật xã hội, khai thác lỗ hổng, leo thang đặc quyền, xâm nhập mạng nội bộ và chuyển tiền. Đồng thời, chúng tôi đã tóm tắt các khuyến nghị phòng thủ chống lại các cuộc tấn công APT dựa trên các trường hợp thực tế, hy vọng có thể cung cấp tài liệu tham khảo cho ngành và giúp nhiều tổ chức cải thiện khả năng bảo vệ an ninh và giảm thiểu tác động của các mối đe dọa tiềm ẩn. Đối đầu an ninh mạng là một cuộc chiến lâu dài. Chúng tôi sẽ tiếp tục chú ý đến các cuộc tấn công tương tự và giúp cộng đồng cùng nhau chống lại các mối đe dọa.
