Tin tức bảo mật: Trigona tăng nguy hiểm

Ransomware không còn chỉ dựa vào các công cụ công khai để đánh cắp dữ liệu. Các tác nhân liên quan đến nhóm Trigona đã chuyển sang dùng một công cụ data exfiltration tự phát triển, giúp tăng độ chính xác, tốc độ và khả năng kiểm soát trong giai đoạn trích xuất dữ liệu. Đây là một thay đổi đáng chú ý trong bối cảnh mối đe dọa mạng và tin tức bảo mật liên quan đến hoạt động ransomware-as-a-service (RaaS).

Tin tức bảo mật về công cụ exfiltration tùy chỉnh

Trigona xuất hiện từ cuối năm 2022 và vận hành theo mô hình Ransomware-as-a-Service (RaaS). Thay vì dùng các tiện ích phổ biến như Rclone hay MegaSync, nhóm này xây dựng công cụ riêng để chuyển dữ liệu ra ngoài. Các công cụ công khai trước đây vẫn hiệu quả, nhưng đã trở nên quen thuộc với hệ thống phát hiện của nhà cung cấp bảo mật.

Việc chuyển sang công cụ chuyên dụng cho thấy chiến dịch trích xuất dữ liệu được thiết kế có chủ đích hơn. Báo cáo nghiên cứu liên quan có thể tham khảo thêm tại nguồn gốc đáng tin cậy: NVD – National Vulnerability Database.

uploader_client.exe và hành vi trích xuất dữ liệu

Công cụ tùy chỉnh có tên uploader_client.exe, là một tiện ích dòng lệnh kết nối tới máy chủ do kẻ tấn công kiểm soát bằng một địa chỉ hardcoded. Trong một sự cố đã xác nhận, công cụ này được dùng để nhắm vào các thư mục chứa hóa đơn tài chính và tài liệu PDF có giá trị cao trên các ổ đĩa mạng.

Điều này cho thấy dữ liệu bị chọn lọc theo giá trị, thay vì sao chép toàn bộ nội dung một cách ngẫu nhiên. Mục tiêu tập trung vào tài liệu nhạy cảm giúp tối ưu hóa hiệu quả của cuộc tấn công mạng trong giai đoạn đánh cắp dữ liệu.

Đặc điểm kỹ thuật của uploader_client.exe

• Thiết lập mặc định 5 kết nối song song cho mỗi tệp để tăng tốc độ truyền.
• Luân chuyển kết nối TCP sau mỗi 2.048 MB dữ liệu để giảm khả năng bị phát hiện bởi hệ thống giám sát mạng.
• Hỗ trợ cờ –exclude-ext để bỏ qua các tệp ưu tiên thấp như video và âm thanh.
• Sử dụng shared authentication key để bảo vệ dữ liệu đã đánh cắp khi tới máy chủ đích.

Các công cụ được dùng để vô hiệu hóa bảo vệ đầu cuối

Trước khi triển khai uploader tùy chỉnh, các tác nhân đã thực hiện các bước có chủ đích để làm giảm khả năng phòng thủ của hệ thống. Một thành phần HRSword được cài đặt và tái sử dụng để vô hiệu hóa phần mềm bảo mật trên máy nạn nhân.

Ngoài ra, nhiều công cụ khác được quan sát gồm PCHunter, Gmer, YDark, WKTools, DumpGuard và StpProcessMonitor theo hướng BYOVD. Các công cụ này khai thác driver kernel dễ tổn thương để kết thúc tiến trình bảo vệ đầu cuối, vượt qua cơ chế phòng thủ ở chế độ user-mode.

Tác động đến hệ thống bị xâm nhập

• Tắt hoặc làm suy yếu phần mềm endpoint protection.
• Giảm hiệu quả của cơ chế phát hiện xâm nhập ở lớp người dùng.
• Tạo điều kiện cho việc đọc, nén và chuyển dữ liệu ra ngoài.
• Giữ quyền kiểm soát sâu hơn ở tầng kernel thông qua driver bị lạm dụng.

Thu thập thông tin đăng nhập và duy trì quyền truy cập

Quyền truy cập từ xa vào máy nhiễm được thiết lập qua AnyDesk, một ứng dụng remote desktop hợp pháp. Sau khi chiếm được chỗ đứng trong môi trường, kẻ tấn công dùng Mimikatz cùng các tiện ích khôi phục mật khẩu của Nirsoft để thu thập thông tin xác thực lưu trong trình duyệt và ứng dụng.

PowerRun được dùng để chạy một số công cụ với đặc quyền hệ thống cao hơn, tạo ra quyền quản trị xuyên suốt chuỗi tấn công. Đây là dấu hiệu điển hình của hệ thống bị xâm nhập với khả năng leo thang đặc quyền và duy trì truy cập trong thời gian dài.

IOC liên quan đến chiến dịch

Các IOC sau được nêu trực tiếp trong nội dung kỹ thuật:

• Tên công cụ: uploader_client.exe
• Công cụ truy cập từ xa: AnyDesk
• Công cụ đánh cắp thông tin: Mimikatz
• Tiện ích khôi phục mật khẩu: Nirsoft utilities
• Nhóm công cụ BYOVD: PCHunter, Gmer, YDark, WKTools, DumpGuard, StpProcessMonitor
• Thành phần liên quan vô hiệu hóa bảo vệ: HRSword

Hành vi tối ưu hóa tốc độ và né giám sát

Công cụ uploader_client.exe được thiết kế cho cả tốc độ và stealth. Việc chia tải thành nhiều luồng, xoay vòng kết nối định kỳ và lọc theo loại tệp cho thấy mục tiêu là ưu tiên các tài liệu giá trị cao thay vì dữ liệu đa phương tiện ít quan trọng hơn.

Trong ngữ cảnh rủi ro an toàn thông tin, cách tiếp cận này làm cho việc phát hiện trở nên khó hơn, đặc biệt khi lưu lượng outbound có dung lượng lớn nhưng phân bổ theo từng đợt ngắn và có sự thay đổi kết nối thường xuyên.

Điểm cần giám sát trong môi trường doanh nghiệp

• Giám sát việc sử dụng trái phép các công cụ remote access như AnyDesk.
• Phát hiện hoạt động driver ở mức kernel từ các công cụ như PCHunter hoặc Gmer.
• Theo dõi lưu lượng outbound bất thường, đặc biệt là kết nối có dung lượng lớn hoặc thay đổi phiên liên tục.
• Rà soát và giới hạn quyền truy cập vào thư mục tài liệu nhạy cảm trên ổ đĩa mạng.
• Duy trì cập nhật bản vá và phần mềm bảo vệ đầu cuối ở trạng thái mới nhất.

Ý nghĩa đối với phát hiện xâm nhập và bảo mật mạng

Việc xây dựng công cụ trích xuất dữ liệu riêng cho thấy mức độ đầu tư cao hơn vào giai đoạn đánh cắp dữ liệu trong một cuộc tấn công ransomware. So với việc dùng các tiện ích phổ biến, công cụ tùy chỉnh giúp giảm dấu vết, tăng khả năng chọn lọc và hạn chế cơ chế phát hiện dựa trên chữ ký.

Đối với đội ngũ an ninh mạng, trọng tâm cần đặt vào việc phát hiện xâm nhập ở các giai đoạn: vô hiệu hóa bảo vệ đầu cuối, lạm dụng remote access, leo thang đặc quyền, và lưu lượng trích xuất bất thường. Những dấu hiệu này thường xuất hiện trước khi ransomware được triển khai hoặc mã hóa dữ liệu.

Biện pháp quan sát lưu lượng và kiểm soát truy cập

Để giảm nguy cơ rò rỉ dữ liệu, cần kiểm tra quyền truy cập trên các thư mục tài liệu quan trọng, đặc biệt là nơi lưu hóa đơn, hợp đồng và PDF nhạy cảm. Đồng thời, hệ thống giám sát nên cảnh báo khi có mẫu lưu lượng tương tự công cụ uploader chuyên dụng: nhiều kết nối song song, truyền theo khối lớn, và xoay phiên TCP định kỳ.

Các tổ chức có thể sử dụng danh sách kiểm tra nội bộ để xác định khả năng lạm dụng remote desktop, công cụ dump thông tin xác thực, và hoạt động kernel driver bất thường. Trong bối cảnh tin bảo mật mới nhất, đây là nhóm hành vi thường đi kèm với các chiến dịch trích xuất dữ liệu trước khi mã hóa.