Ink Dragon mở rộng tấn công mạng: Nguy hiểm leo thang tại Châu Âu

Nhóm gián điệp Ink Dragon đã mở rộng đáng kể các chiến dịch **tấn công mạng** của mình từ khu vực Đông Nam Á và Nam Mỹ sang các mạng lưới chính phủ tại châu Âu. Sự mở rộng này đánh dấu một bước chuyển dịch chiến lược đáng chú ý của tác nhân đe dọa, với việc sử dụng kết hợp các công cụ được thiết kế tinh vi và các kỹ thuật mô phỏng hoạt động doanh nghiệp tiêu chuẩn.

Chiến dịch mở rộng của nhóm được thực hiện một cách có phương pháp và kỷ luật, cho phép chúng thiết lập quyền truy cập lâu dài và duy trì hoạt động mà không bị phát hiện trong thời gian dài. Chiến dịch phần mềm độc hại này thể hiện sự hiểu biết sâu sắc về hạ tầng mạng và các quy trình quản trị.

Chiến thuật Xâm nhập Ban đầu và Di chuyển Nội bộ của **mối đe dọa mạng**

Các tác nhân tấn công bắt đầu bằng cách xác định các lỗ hổng trong các hệ thống công khai, đặc biệt là các máy chủ web như Microsoft Internet Information Services (IIS) và các nền tảng SharePoint.

Những điểm xâm nhập ban đầu này thường xuất phát từ các sai sót cấu hình đơn giản, cung cấp đủ quyền truy cập để triển khai mã độc với rủi ro phát hiện tối thiểu.

Sau khi thiết lập được chỗ đứng ban đầu, các tác nhân vận hành di chuyển một cách chính xác. Các nhà phân tích của Check Point đã ghi nhận rằng Ink Dragon tận dụng thông tin đăng nhập bị đánh cắp và các phiên quản trị không hoạt động để di chuyển qua các mạng bị xâm nhập.

Các tác nhân tấn công thu thập thông tin đăng nhập cục bộ từ điểm xâm nhập ban đầu, xác định các phiên quản trị viên đang hoạt động, và tái sử dụng các tài khoản dịch vụ dùng chung để di chuyển ngang qua các hệ thống, đồng thời duy trì vẻ ngoài hợp pháp. Cách tiếp cận này đảm bảo hoạt động của chúng hòa nhập liền mạch với lưu lượng quản trị bình thường.

Để tìm hiểu thêm về phân tích của Check Point, truy cập: Check Point Research: Ink Dragon Expands.

Tạo Nút Chuyển Tiếp để Che giấu Nguồn gốc **Tấn công Mạng**

Một khía cạnh đặc biệt tiên tiến trong hoạt động của Ink Dragon liên quan đến việc biến các máy chủ bị xâm nhập thành các nút chuyển tiếp (relay nodes). Các hệ thống này chuyển tiếp lệnh và dữ liệu giữa các nạn nhân khác nhau, tạo ra một mạng lưới liên lạc làm lu mờ nguồn gốc thực sự của cuộc tấn công.

Kỹ thuật này củng cố mạng lưới chỉ huy tổng thể của nhóm, đồng thời làm cho việc phát hiện của các nhà phòng thủ trở nên khó khăn hơn đáng kể, vì lưu lượng truy cập dường như là hoạt động thông thường giữa các tổ chức.

Công cụ và Kỹ thuật Tiên tiến: Biến thể Backdoor FinalDraft

Bộ công cụ đang phát triển của nhóm, đặc biệt là biến thể backdoor **FinalDraft** được cập nhật, đại diện cho một bước tiến kỹ thuật quan trọng. Công cụ này hiện tích hợp với các dịch vụ đám mây của Microsoft, ẩn lưu lượng lệnh trong các bản nháp hộp thư thông thường để xuất hiện như việc sử dụng hàng ngày các dịch vụ hợp pháp.

Phiên bản mới nhất bao gồm các cơ chế định thời gian được kiểm soát, phù hợp với các mô hình kinh doanh bình thường, khả năng truyền dữ liệu hiệu quả để di chuyển các tệp lớn một cách lặng lẽ, và tính năng lập hồ sơ hệ thống chi tiết để cung cấp cho các tác nhân cái nhìn toàn diện về từng máy bị xâm nhập.

Khả năng truyền dữ liệu hiệu quả là yếu tố then chốt giúp nhóm duy trì hoạt động tàng hình. Các tệp lớn có thể được chia nhỏ hoặc mã hóa để tránh bị phát hiện bởi các hệ thống giám sát mạng thông thường. Việc này làm tăng **rủi ro bảo mật** cho các tổ chức mục tiêu.

Để biết thêm chi tiết về quản lý dữ liệu hiệu quả trong môi trường mạng, xem thêm: Cybersecuritynews.com: Data Room vs. Shared Folders.

Bề mặt Tấn công Chung và Sự chồng chéo của các Tác nhân Đe dọa

Đáng chú ý, các nhà nghiên cứu của Check Point phát hiện rằng một tác nhân đe dọa khác, **RudePanda**, đã đồng thời xâm nhập một số mạng lưới chính phủ giống hệt. Sự chồng chéo này cho thấy cách một lỗ hổng chưa được vá có thể trở thành điểm xâm nhập cho nhiều tác nhân đe dọa tiên tiến, mỗi tác nhân hoạt động độc lập trong cùng một môi trường.

Việc hiểu rõ bề mặt tấn công chung này đã trở nên cực kỳ quan trọng đối với các chuyên gia an ninh mạng được giao nhiệm vụ ngăn chặn các sự cố tương tự. Các tổ chức cần triển khai chiến lược vá lỗi mạnh mẽ và giám sát liên tục để giảm thiểu **rủi ro bảo mật** từ các chiến dịch **tấn công mạng** phức tạp.

Chính sách bảo mật toàn diện và việc cập nhật bản vá thường xuyên là tuyến phòng thủ then chốt chống lại các **mối đe dọa mạng** tinh vi như Ink Dragon.