Tin tặc nhà nước Iran tiếp tục giả danh bọn tống tiền để thực hiện hoạt động gián điệp

Các nhà nghiên cứu bảo mật tại Rapid7 vừa phát hiện một nhóm hacker được cho là có liên kết với tình báo Iran đang mượn danh tính của một băng nhóm tống tiền (ransomware) để thực hiện các hoạt động gián điệp mạng.

Nhóm này, bị nghi là MuddyWater – một đơn vị nổi tiếng có liên quan đến Bộ Tình báo Iran (MOIS) – đã đóng giả làm Chaos ransomware gang. Tuy nhiên, mục đích thực sự của họ không phải là tiền bạc hay mã hóa dữ liệu, mà là cài đặt các công cụ gián điệp (backdoor) để xâm nhập sâu vào hệ thống của nạn nhân.

Chiến thức tấn công tinh vi

Cuộc tấn công bắt đầu bằng một chiến dịch lừa đảo (phishing) qua Microsoft Teams. Các nhà nghiên cứu Alexandra Blia và Ivan Feigl từ Rapid7 cho biết, kẻ tấn công đã liên hệ trực tiếp với nạn nhân và khuyến khích họ chia sẻ màn hình.

Điều đáng nói là mức độ tinh vi trong kỹ thuật xã hội học (social engineering) của chúng. Kẻ tấn công đã thuyết phục người dùng thực hiện các hành động rủi ro cao, bao gồm:

• Nhập thông tin đăng nhập vào các tệp văn bản cục bộ.
• Sửa đổi cài đặt Xác thực đa yếu tố (MFA) để cho phép thiết bị do kẻ tấn công kiểm soát hoàn tất quá trình xác thực.

Trong ít nhất một trường hợp, kẻ tấn công còn triển khai công cụ quản trị từ xa AnyDesk để duy trì quyền truy cập lâu dài.

Cài đặt Backdoor dưới vỏ bọc Ransomware

Sau khi có được thông tin xác thực hợp lệ, kẻ tấn công sử dụng Giao thức Máy tính từ xa (RDP) để thực thi các lệnh và tải xuống các payload độc hại thông qua curl. Các payload này bao gồm:

• Darkcomp: Một phần mềm độc hại (malware) dạng backdoor.
• Microsoft WebView2 loader: Được sử dụng để ngụy tạo lưu lượng mạng độc hại trông giống như lưu lượng truy cập web hợp pháp.
• Tệp cấu hình được mã hóa để gửi lệnh điều khiển cho Darkcomp.

Sau khi thâm nhập thành công, chúng thực hiện di chuyển ngang (lateral movement) trong mạng, sử dụng các tài khoản bị xâm phạm để thu thập dữ liệu nhạy cảm.

Màn kịch "cờ giả" để đánh lạc hướng

Để che giấu hoạt động gián điệp, nhóm黑客 này đã gửi email nội bộ tới lãnh đạo của tổ chức nạn nhân, thông báo về việc bị xâm nhập và đánh cắp dữ liệu. Email này bao gồm một đường dẫn .onion dẫn đến trang web rò rỉ dữ liệu (DLS) của Chaos ransomware.

Tuy nhiên, trang web này chỉ hiển thị một bộ đếm thời gian và ẩn tất cả dữ liệu, trái ngược với thủ tục thông thường của các nhóm tống tiền là công bố dữ liệu để ép nạn nhân trả tiền.

Kẻ tấn công hướng nạn nhân tìm kiếm một tệp chứa "thông tin đăng nhập" để đàm phán, nhưng tệp này thực tế không tồn tại. Đáng chú ý là không có tệp nào bị mã hóa trong các vụ tấn công này.

Rapid7 nhận định: "Mặc dù có những sự không nhất quán trong bằng chứng ban đầu, nhưng tác nhân đe dọa sau đó đã công bố dữ liệu bị đánh cắp trên DLS của họ, phù hợp với các chiến thuật tống tiền hiện đại. Dữ liệu bị rò rỉ được đánh giá là hợp pháp."

Mục đích thực sự

Bằng cách giả danh một nhóm tống tiền mạng (ransomware-as-a-service), MuddyWater đạt được hai lợi ích chính:

1. Làm mờ nguồn gốc: Để lại các dấu vết (breadcrumbs) gợi ý đến tội phạm mạng thông thường thay vì các hoạt động của nhà nước.
2. Đánh lạc hướng: Buộc các đội phản ứng sự cố phải tập trung tìm kiếm dấu hiệu của mã độc tống tiền thay vì phát hiện các backdoor gián điệp đang hoạt động ngầm.

Đây không phải là lần đầu tiên MuddyWater hoặc tình báo Iran sử dụng chiêu bài "cờ giả". Trước đó, chúng cũng từng bị quy kết là đứng sau một cuộc tấn công vào bệnh viện tại Israel dưới vỏ bọc của nhóm Qilin.

Việc chuyển đổi sang thương hiệu "Chaos" lần này dường như là nỗ lực nhằm giảm rủi ro bị truy vết và duy trì khả năng chối bỏ trách nhiệm (plausible deniability).