Tin tặc FIN11 áp dụng kỹ thuật mới trong các cuộc tấn công ransomware


Một nhóm tin tặc nổi tiếng với các chiến dịch phát tán mã độc nhằm mục tiêu tài chính đã cải tiến chiến thuật của mình và tập trung khai thác mã độc tống tiền ransomware .



Theo nhóm tình báo mối đe dọa Mandiant của FireEye, nhóm tin tặc này có tên là FIN11 và đã tham gia vào một chiến dịch tấn công mạng từ năm 2016 liên quan đến việc kiếm tiền từ quyền truy cập vào hệ thống của các tổ chức, bên cạnh việc triển khai mã độc POS (point-of-sale) nhắm vào các lĩnh vực tài chính, bán lẻ, nhà hàng và dược phẩm.



“Sự đổ bộ của FIN11 gần đây đã dẫn đến một loạt các vụ mất cắp dữ liệu, tống tiền, và gây gián đoạn mạng của nạn nhân thông qua việc phân phối mã độc CLOP ransomware ,” Mandiant nói.



Mặc dù nhiều hoạt động của FIN11 trong quá khứ gắn liền với các mã độc như FlawedAmmyy, FRIENDSPEAK hay MIXLABEL, Mandiant phát hiện các kỹ thuật TTP mà nó sử dụng hiện nay có sự tương đồng đáng kể với một nhóm tin tặc khác tên là TA505 . Được biết TA505 là nhóm tấn công đứng sau banking trojan khét tiếng Dridex và mã độc Locky ransomware, bị lợi dụng để phát tán chiến dịch malspam qua mạng botnet Necurs.



Điều đáng chú ý là Microsoft đã thực hiện gỡ mạng botnet Necurs xuống vào đầu tháng 3 năm nay nhằm ngăn chặn những kẻ tấn công đăng ký tên miền mới và triển khai các cuộc tấn công độc hại khác trong tương lai.



Chiến dịch Malspam quy mô lớn



Ngoài việc lợi dụng cơ chế phát tán email độc hại ở quy mô lớn, FIN11 còn mở rộng mục tiêu tấn công bằng cách sử dụng ngôn ngữ mẹ đẻ cùng với các thông tin giả mạo người gửi email để dụ nạn nhân “mắc câu”. Chúng đã dùng tên hiển thị email và địa chỉ người gửi giả mạo để làm các email trông đáng tin cậy hơn. Đặc biệt trong chiến dịch lần này, nhóm tin tặc có xu hướng nhắm mục tiêu tấn công tới các tổ chức của Đức.



Chẳng hạn như, kẻ tấn công đã kích hoạt một chiến dịch email với các tiêu đề như “báo cáo nghiên cứu N- [số có năm chữ số]” và “tai nạn trong phòng thí nghiệm” vào tháng 1 năm 2020. Tiếp đến làn sóng thứ hai vào tháng 3, chúng đã sử dụng email phishing với tiêu đề “[tên công ty dược phẩm] Bảng thanh toán đầu năm 2020.”



“Các chiến dịch lây nhiễm email hàng loạt của FIN11 đã liên tục được cải tiến theo suốt lịch sử phát triển của nhóm tin tặc này,” Andy Moore, chuyên gia phân tích kỹ thuật cấp cao tại Mandiant Threat Intelligence cho biết.



“Mặc dù chúng tôi chưa xác minh rõ ràng được mối liên hệ giữa nhóm tin tặc này với botnet Necurs, nhưng một số báo cáo công khai đã cho thấy đến khoảng năm 2018, FIN11 chủ yếu dựa vào mạng botnet Necurs để phát tán mã độc. Đáng chú ý là chúng tôi đã quan sát thấy thời gian ngừng hoạt động (downtime) của mạng botnet Necurs đã gần như cùng lúc với thời gian FIN11 dừng hoạt động.”



Thực vậy, theo nghiên cứu của Mandiant, các hoạt động của FIN11 dường như đã ngừng hoàn toàn từ giữa tháng 3 năm 2020 đến cuối tháng 5 năm 2020, trước khi nó hoạt động trở lại vào tháng 6 qua một loạt email phishing chứa các file đính kèm HTML nhằm phân phối các file Microsoft Office độc ​​hại.



Các file Office sau đó đã lần lượt sử dụng macro để tìm nạp MINEDOOR dropper và trình tải xuống FRIENDSPEAK, sau đó gửi đi MIXLABEL backdoor trên thiết bị nạn nhân.



Các cuộc tấn công tống tiền kép



Trong những tháng gần đây, nỗ lực kiếm tiền của FIN11 đã dẫn đến việc một loạt tổ chức bị nhiễm mã độc CLOP ransomware. Bên cạnh đó, chúng còn lợi dụng các cuộc tấn công tống tiền kép (kết hợp ransomware với đánh cắp dữ liệu) để buộc các doanh nghiệp phải chấp nhận các khoản thanh toán từ vài trăm nghìn đô la cho tới 10 triệu đô la.



“Việc trục lợi từ các cuộc tấn công ransomware của FIN11 đang là một xu hướng phổ biến ở những nhóm tin tặc có động cơ tài chính hiện nay,” Moore cho biết.



“Các chiêu trò kiếm tiền từng phổ biến trước đây như triển khai mã độc PoS thường hạn chế tin tặc chỉ có thể nhắm mục tiêu trong một số ngành nhất định, trong khi việc phát tán ransomware như hiện nay có thể cho phép chúng kiếm lợi từ việc xâm nhập vào hệ thống của gần như bất kỳ tổ chức nào.



Sự linh hoạt đó kết hợp với sự gia tăng ngày càng nhiều các báo cáo liên quan đến các khoản thanh toán tiền chuộc khổng lồ, khiến phương thức tấn công này trở thành một kế hoạch cực kỳ hấp dẫn với các tin tặc có động cơ tài chính,” ông nói thêm.



Hơn nữa, FIN11 được cho là đã sử dụng nhiều công cụ (như FORKBEARD, SPOONBEARD và MINEDOOR) mua từ các diễn đàn ngầm, do đó làm cho việc phát hiện chúng trở nên khó khăn hơn do có thể khiến các nhà nghiên cứu vô tình gộp hoạt động của hai nhóm tin tặc khác nhau nếu dựa trên sự tương đồng của các kỹ thuật TTP hoặc chỉ số IoC (Indicator of Compromise – dấu vết tấn công hệ thống). 



Nhóm tin tặc có nguồn gốc từ CIS



Về nguồn gốc của FIN11, Mandiant cho rằng nhóm tội phạm mạng này hoạt động tấn công ngoài Cộng đồng các quốc gia độc lập ( CIS ) do sự hiện diện của file metadata bằng tiếng Nga, việc các tin tặc tránh triển khai mã độc CLOP ở các nước CIS, và việc chúng bất chợt ngừng hoạt động vào các kỳ nghỉ lễ Giáng sinh và năm mới của Nga trong khoảng thời gian từ ngày 1 đến ngày 8 tháng Giêng.



“Nếu không có sự gián đoạn bất chợt nào, rất có thể FIN11 sẽ tiếp tục tấn công các tổ chức với mục đích triển khai ransomware và đánh cắp dữ liệu để tống tiền nạn nhân,” Moore nói.



“Việc nhóm tấn công này thường xuyên cập nhật kỹ thuật TTP để tránh bị phát hiện và tăng hiệu quả của các chiến dịch, cho thấy nhiều khả năng chúng sẽ có những thay đổi mới trong tương lai. Tuy nhiên, bất chấp những thay đổi trên, các chiến dịch FIN11 gần đây đã liên tục dựa vào các macro được nhúng trên tài liệu Office độc hại để phát tán payload của mình.”



“Các tổ chức có thể giảm thiểu nguy cơ bị FIN11 tấn công bằng cách đào tạo người dùng cách xác định các email lừa đảo phishing, tắt macro Office, và triển khai các biện pháp phát hiện trình tải xuống FRIENDSPEAK, cũng như kết hợp các biện pháp bảo mật nâng cao khác.”



Theo The Hacker News
The post Tin tặc FIN11 áp dụng kỹ thuật mới trong các cuộc tấn công ransomware appeared first on SecurityDaily .

Top News