VietNetwork.Vn

Một tác nhân đe dọa mới nổi có tên là Crypt Ghouls đã liên quan đến một loạt các cuộc tấn công mạng nhắm vào các doanh nghiệp và cơ quan chính phủ của Nga bằng phần mềm tống tiền với mục tiêu kép là phá vỡ hoạt động kinh doanh và thu lợi tài chính.

"Nhóm đang được xem xét có một bộ công cụ bao gồm các tiện ích như Mimikatz, XenAllPasswordPro, PingCastle, Localtonet, resocks, AnyDesk, PsExec và các tiện ích khác", Kaspersky cho biết. "Là phần tải trọng cuối cùng, nhóm đã sử dụng phần mềm tống tiền nổi tiếng LockBit 3.0 và Babuk".


Nạn nhân của các cuộc tấn công độc hại bao gồm các cơ quan chính phủ, cũng như các công ty khai thác mỏ, năng lượng, tài chính và bán lẻ có trụ sở tại Nga.

Nhà cung cấp an ninh mạng của Nga cho biết họ có thể xác định chính xác hướng xâm nhập ban đầu chỉ trong hai trường hợp, khi kẻ tấn công lợi dụng thông tin đăng nhập của nhà thầu để kết nối với hệ thống nội bộ thông qua VPN.

Các kết nối VPN được cho là bắt nguồn từ các địa chỉ IP liên quan đến mạng của nhà cung cấp dịch vụ lưu trữ của Nga và mạng của nhà thầu, cho thấy nỗ lực ẩn mình bằng cách lợi dụng các mối quan hệ đáng tin cậy. Người ta tin rằng các mạng của nhà thầu bị xâm phạm thông qua các dịch vụ VPN hoặc các lỗ hổng bảo mật chưa được vá.

Giai đoạn truy cập ban đầu được tiếp nối bằng việc sử dụng các tiện ích NSSM và Localtonet để duy trì quyền truy cập từ xa, với việc khai thác tiếp theo được tạo điều kiện thuận lợi bởi các công cụ như sau -

• XenAllPasswordPro để thu thập dữ liệu xác thực
• Cửa sau CobInt
• Mimikatz sẽ trích xuất thông tin xác thực của nạn nhân
• dumper.ps1 để dump các vé Kerberos từ bộ nhớ đệm LSA
• MiniDump để trích xuất thông tin đăng nhập từ bộ nhớ của lsass.exe
• cmd.exe để sao chép thông tin đăng nhập được lưu trữ trong trình duyệt Google Chrome và Microsoft Edge
• PingCastle để trinh sát mạng
• PAExec để chạy lệnh từ xa
• AnyDesk và resocks SOCKS5 proxy để truy cập từ xa

Các cuộc tấn công kết thúc bằng việc mã hóa dữ liệu hệ thống bằng các phiên bản công khai của LockBit 3.0 cho Windows và Babuk cho Linux/ESXi, đồng thời thực hiện các bước mã hóa dữ liệu có trong Thùng rác để ngăn chặn quá trình phục hồi.

"Những kẻ tấn công để lại một ghi chú đòi tiền chuộc có liên kết chứa ID của chúng trong dịch vụ nhắn tin Session để liên lạc trong tương lai", Kaspersky cho biết. "Chúng sẽ kết nối với máy chủ ESXi qua SSH, tải Babuk lên và bắt đầu quá trình mã hóa các tệp trong máy ảo".

Việc lựa chọn công cụ và cơ sở hạ tầng của Crypt Ghouls trong các cuộc tấn công này trùng lặp với các chiến dịch tương tự do các nhóm khác thực hiện nhắm vào Nga trong những tháng gần đây, bao gồm MorLock, BlackJack, Twelve, Shedding Zmiy (hay còn gọi là ExCobalt)

"Tội phạm mạng đang lợi dụng thông tin đăng nhập bị xâm phạm, thường thuộc về các nhà thầu phụ và các công cụ nguồn mở phổ biến", công ty cho biết. "Bộ công cụ chung được sử dụng trong các cuộc tấn công vào Nga khiến việc xác định chính xác các nhóm tin tặc cụ thể có liên quan trở nên khó khăn".

"Điều này cho thấy những kẻ tấn công hiện tại không chỉ chia sẻ kiến thức mà còn chia sẻ cả bộ công cụ của chúng. Tất cả những điều này chỉ khiến việc xác định những kẻ tấn công cụ thể đứng sau làn sóng tấn công nhắm vào các tổ chức của Nga trở nên khó khăn hơn."