Hacker Sử Dụng Kỹ Thuật Domain Fronting Tấn Công Myanmar Để Che Dấu Hành Vi Độc Hại

Một chiến dịch độc hại đã được phát hiện sử dụng kỹ thuật gọi là domain fronting để che giấu lưu lượng truy cập lệnh và kiểm soát bằng cách tận dụng một miền hợp pháp thuộc sở hữu của chính phủ Myanmar để định tuyến thông tin liên lạc đến máy chủ do kẻ tấn công kiểm soát với mục tiêu tránh bị phát hiện.

Mối đe dọanày được phát hiện vào tháng 9 năm 2021, đã triển khai các tải trọng (payload) Cobalt Strike như một bước đệm để khởi động các cuộc tấn công tiếp theo, với việc kẻ thù sử dụng miền được liên kết với mạng Myanmar Digital News, một tờ báo kỹ thuật số thuộc sở hữu nhà nước, làm bình phong cho Beacons của họ .

Các nhà nghiên cứu của Cisco Talos nói rằng : “Khi Beacon được khởi chạy, nó sẽ gửi một yêu cầu DNS cho một miền danh tiếng cao hợp pháp được lưu trữ phía sau cơ sở hạ tầng Cloudflare và sửa đổi tiêu đề yêu cầu HTTPs tiếp theo để hướng dẫn CDN hướng lưu lượng đến một máy chủ do kẻ tấn công kiểm soát” .

Các bạn cần biết rằng Cobalt Strike được phát hành lần đầu tiên vào năm 2012 để giải quyết những thiếu sót trong khuôn khổ kiểm tra và hack phổ biến Metasploit,  và ngày nay Cobalt Strike là một phần mềm đội đỏ phổ biến được những người kiểm tra thâm nhập sử dụng để mô phỏng hoạt động của tác nhân đe dọa trong mạng.

Nhưng khi tiện ích mô phỏng các cuộc tấn công bằng cách thực sự thực hiện các cuộc tấn công này, phần mềm ngày càng nổi lên như một vũ khí đáng gờm trong tay của các nhà khai thác phần mềm độc hại, những người sử dụng Cobalt Strike như một trọng tải truy cập ban đầu cho phép những kẻ tấn công thực hiện một loạt các hậu- các hoạt động khai thác (Post Attack), bao gồm di chuyển ngang và triển khai một loạt các phần mềm độc hại.

Mặc dù các tác nhân đe dọa có thể có được Cobalt Strike bằng cách mua công cụ trực tiếp từ trang web của nhà cung cấp với giá 3.500 đô la cho mỗi người dùng cho giấy phép một năm, nó cũng có thể được mua trên web đen thông qua các diễn đàn hack ngầm, hoặc cách khác là dùng bản bẻ khóa , phiên bản bất hợp pháp của phần mềm.

Trong chiến dịch mới nhất mà Talos quan sát được, việc thực thi Beacon dẫn đến việc máy nạn nhân gửi yêu cầu DNS ban đầu đến máy chủ do chính phủ sở hữu, trong khi lưu lượng truy cập lệnh và kiểm soát (C2) thực tế được chuyển hướng lén lút đến máy chủ do kẻ tấn công kiểm soát máy chủ, bắt chước hiệu quả các mẫu lưu lượng truy cập hợp pháp nhằm cố gắng thoát khỏi sự phát hiện của các giải pháp bảo mật.

“Trong khi miền C2 mặc định được chỉ định là www [.] Mdn [.] Gov [.] Mm, lưu lượng của đèn hiệu đã được chuyển hướng đến thử nghiệm de-facto C2 [.] Softlemon [.] Net thông qua siêu dữ liệu HTTP Get và POST được chỉ định trong cấu hình của đèn hiệu, “các nhà nghiên cứu cho biết. “Yêu cầu DNS cho máy chủ lưu trữ ban đầu giải quyết thành địa chỉ IP do Cloudflare sở hữu cho phép kẻ tấn công sử dụng phương thức phân bổ miền và gửi lưu lượng truy cập đến máy chủ lưu trữ C2 thử nghiệm thực tế [.] Softlemon [.] Net, cũng được Cloudflare ủy quyền.”

Tuy nhiên, theo các nhà nghiên cứu máy chủ C2 không còn hoạt động và họ lưu ý rằng đó là một máy chủ Windows chạy Dịch vụ Thông tin Internet (IIS).

Các nhà nghiên cứu cho biết: “Giới hạn tên miền có thể đạt được khi chuyển hướng giữa máy chủ độc hại và mục tiêu. Các tác nhân độc hại có thể sử dụng sai các mạng phân phối nội dung khác nhau (CDN) để thiết lập chuyển hướng phân phối nội dung đến nội dung được phân phát bởi các máy chủ C2 do kẻ tấn công kiểm soát” . “Người bảo vệ nên giám sát lưu lượng truy cập mạng của họ ngay cả đến các miền danh tiếng cao để xác định các cuộc tấn công phía trước miền tiềm năng bằng Cobalt Strike và các công cụ tấn công khác.”

Theo THN

Trả lời

Please log in using one of these methods to post your comment:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Google photo

Bạn đang bình luận bằng tài khoản Google Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Connecting to %s