Tác giả: 23pds & Thinking; Nguồn: SlowMist Technology
Kể từ tháng 6 năm 2024, nhóm bảo mật SlowMist đã nhận được lời mời từ nhiều nhóm để tiến hành điều tra pháp y về nhiều cuộc tấn công của tin tặc. Sau quá trình tích lũy thông tin trước đó và phân tích, điều tra chuyên sâu trong 30 ngày qua, chúng tôi đã hoàn tất việc xem xét các phương pháp tấn công của tin tặc và đường xâm nhập. Kết quả cho thấy đây là cuộc tấn công APT cấp quốc gia nhắm vào các sàn giao dịch tiền điện tử. Thông qua phân tích pháp y và theo dõi tương quan, chúng tôi xác nhận rằng kẻ tấn công là Nhóm Lazarus.
Sau khi có được các IOC (chỉ số xâm nhập) và TTP (chiến thuật, kỹ thuật và quy trình) có liên quan, chúng tôi sẽ đồng bộ hóa thông tin tình báo với các đối tác của mình sớm nhất có thể. Đồng thời, chúng tôi cũng phát hiện ra rằng các đối tác khác cũng bị tấn công và xâm lược bằng những phương pháp tương tự. Tuy nhiên, họ tương đối may mắn - tin tặc đã kích hoạt một số cảnh báo bảo mật trong quá trình xâm nhập và cuộc tấn công đã bị chặn thành công nhờ phản ứng kịp thời của nhóm bảo mật.
Do các cuộc tấn công APT vào các sàn giao dịch tiền điện tử liên tục xảy ra gần đây và tình hình ngày càng nghiêm trọng, sau khi trao đổi với các bên liên quan, chúng tôi quyết định ẩn danh IOC và TTP của các cuộc tấn công và công khai chúng để các đối tác cộng đồng có thể phòng vệ và tự kiểm tra kịp thời. Đồng thời, do các thỏa thuận bảo mật, chúng tôi không thể tiết lộ quá nhiều thông tin cụ thể về các đối tác của mình. Tiếp theo, chúng ta sẽ tập trung vào việc chia sẻ IOC và TTP của cuộc tấn công.
Tên miền của kẻ tấn công:
gossipsnare[.]com, 51.38.145.49:443
showmanroast[.]com, 213.252.232.171:443
getstockprice[.]info, 131.226.2.120:443
eclairdomain[.]com, 37.120.247.180:443
replaydreary[.]com, 88.119.175.208:443
coreladao[.]com
cdn.clubinfo[.]io
IP của kẻ tấn công:
193.233.171[.]58
193.233.85[.]234
Telegram: @tanzimahmed88
Tên chương trình cửa sau:
StockInvestSimulator-main.zip
MonteCarloStockInvestSimulator-main.zip
Tương tự như …StockInvestSimulator-main.zip, v.v.
Mã dự án thực tế:
(https://github.com/cristianleoo/montecarlo-portfolio-management)
Mã dự án giả sau khi kẻ tấn công thay đổi:
Sau khi so sánh, có thể thấy có một tệp data_fetcher.py bổ sung trong thư mục dữ liệu, chứa một Loader lạ:
Kẻ tấn công đã sử dụng pyyaml cho RCE (thực thi mã từ xa) để gửi mã độc và kiểm soát máy tính và máy chủ mục tiêu. Phương pháp này có thể bỏ qua sự phát hiện của hầu hết các phần mềm diệt vi-rút. Sau khi đồng bộ hóa thông tin tình báo với các đối tác, chúng tôi đã thu được một số mẫu độc hại tương tự.
Tài liệu tham khảo phân tích kỹ thuật chính: https://github.com/yaml/pyyaml/wiki/PyYAML-yaml.load(input)-Deprecation#how-to-disable-the-warning
Thông qua phân tích chuyên sâu các mẫu, Nhóm bảo mật SlowMist đã tái tạo thành công phương pháp tấn công RCE (thực thi mã từ xa) của kẻ tấn công bằng pyyaml.
Mục tiêu và động cơ
Mục tiêu: Mục tiêu chính của kẻ tấn công là giành quyền kiểm soát ví bằng cách xâm nhập vào cơ sở hạ tầng của sàn giao dịch tiền điện tử, sau đó chuyển bất hợp pháp một lượng lớn tài sản tiền điện tử trong ví.
Động cơ: Cố gắng đánh cắp tài sản tiền điện tử có giá trị cao.
Biện pháp kỹ thuật
1. Xâm nhập ban đầu
Kẻ tấn công sử dụng kỹ thuật xã hội để lừa nhân viên thực thi mã có vẻ bình thường trên các thiết bị cục bộ hoặc trong Docker.
Trong quá trình điều tra này, chúng tôi phát hiện ra rằng phần mềm độc hại được kẻ tấn công sử dụng bao gồm `StockInvestSimulator-main.zip` và `MonteCarloStockInvestSimulator-main.zip`. Những tệp này được ngụy trang thành các dự án Python hợp pháp, nhưng thực chất chúng là Trojan điều khiển từ xa. Kẻ tấn công sử dụng pyyaml cho RCE như một phương tiện để phân phối và thực thi mã độc hại, bỏ qua việc phát hiện của hầu hết các phần mềm diệt vi-rút.
2. Tăng đặc quyền
Kẻ tấn công đã thành công trong việc chiếm được quyền kiểm soát cục bộ trên thiết bị của nhân viên thông qua phần mềm độc hại và lừa nhân viên đặt đặc quyền trong docker-compose.yaml thành true.
Kẻ tấn công đã nâng cấp quyền bằng cách khai thác điều kiện trong đó đặc quyền được đặt thành đúng, do đó giành được toàn quyền kiểm soát thiết bị mục tiêu.
3. Do thám nội bộ và di chuyển ngang
Kẻ tấn công sử dụng máy tính của nhân viên bị hack để quét mạng nội bộ.
Sau đó, kẻ tấn công khai thác lỗ hổng dịch vụ và ứng dụng của mạng nội bộ để xâm nhập sâu hơn vào máy chủ nội bộ của công ty.
Kẻ tấn công đã đánh cắp khóa SSH của các máy chủ chính và sử dụng mối quan hệ tin cậy danh sách trắng giữa các máy chủ để di chuyển ngang sang máy chủ ví.
4. Chuyển giao tài sản được mã hóa
Sau khi kẻ tấn công thành công trong việc giành quyền kiểm soát ví, hắn đã chuyển giao bất hợp pháp một lượng lớn tài sản được mã hóa đến địa chỉ ví mà hắn kiểm soát.
5. Ẩn dấu vết
Kẻ tấn công sử dụng các công cụ doanh nghiệp hợp pháp, dịch vụ ứng dụng và cơ sở hạ tầng làm bàn đạp để che giấu nguồn gốc thực sự của các hoạt động bất hợp pháp của chúng và xóa hoặc phá hủy dữ liệu nhật ký và dữ liệu mẫu.
Kẻ tấn công sử dụng kỹ thuật xã hội để đánh lừa mục tiêu. Các phương pháp phổ biến bao gồm:
1. Ngụy trang thành một bên tham gia dự án, tìm các nhà phát triển mục tiêu chính, yêu cầu trợ giúp gỡ lỗi mã và bày tỏ mong muốn trả tiền trước để có được sự tin tưởng.
Sau khi theo dõi thông tin IP và UA có liên quan, chúng tôi phát hiện giao dịch này được thanh toán bởi bên thứ ba và không có nhiều giá trị.
2. Kẻ tấn công cải trang thành nhà giao dịch hoặc nhà đầu tư tự động, cung cấp phân tích giao dịch hoặc mã định lượng và lừa mục tiêu chính thực hiện các chương trình độc hại. Khi phần mềm độc hại chạy trên thiết bị, nó có thể thiết lập một cửa hậu cố định và cung cấp quyền truy cập từ xa cho kẻ tấn công.
Kẻ tấn công sử dụng các thiết bị bị xâm nhập để quét mạng nội bộ, xác định các máy chủ quan trọng và khai thác lỗ hổng trong các ứng dụng doanh nghiệp để xâm nhập sâu hơn vào mạng doanh nghiệp. Mọi cuộc tấn công đều được thực hiện thông qua lưu lượng VPN của thiết bị bị xâm phạm, do đó có thể vượt qua sự phát hiện của hầu hết các thiết bị bảo mật.
Khi kẻ tấn công thành công trong việc chiếm được quyền của các máy chủ ứng dụng có liên quan, hắn sẽ đánh cắp khóa SSH của các máy chủ chính, sử dụng quyền của các máy chủ này để di chuyển ngang và cuối cùng kiểm soát máy chủ ví và chuyển tài sản được mã hóa đến các địa chỉ bên ngoài. Trong suốt quá trình, kẻ tấn công đã khéo léo sử dụng các công cụ và cơ sở hạ tầng nội bộ của doanh nghiệp để khiến cuộc tấn công khó bị phát hiện nhanh chóng.
Kẻ tấn công sẽ lừa nhân viên xóa các chương trình gỡ lỗi và cung cấp phần thưởng gỡ lỗi để che giấu dấu vết của cuộc tấn công.
Ngoài ra, một số nhân viên bị lừa có thể tự ý xóa thông tin có liên quan vì sợ phải chịu trách nhiệm, dẫn đến việc không báo cáo kịp thời các tình huống có liên quan sau khi xảy ra vụ tấn công, khiến việc điều tra và thu thập bằng chứng trở nên khó khăn hơn.
Các cuộc tấn công APT (Mối đe dọa dai dẳng nâng cao) cực kỳ khó phòng thủ vì chúng có khả năng ẩn náu cao, mục tiêu rõ ràng và độ trễ dài hạn. Các biện pháp bảo mật truyền thống thường không thể phát hiện các hành vi xâm nhập phức tạp, do đó cần kết hợp các giải pháp bảo mật mạng đa cấp, chẳng hạn như giám sát thời gian thực, phân tích lưu lượng bất thường, bảo vệ điểm cuối và quản lý nhật ký tập trung, để phát hiện và nhận biết dấu vết xâm nhập của kẻ tấn công càng sớm càng tốt, để có thể ứng phó hiệu quả với các mối đe dọa. Nhóm bảo mật SlowMist đã đề xuất 8 định hướng và gợi ý phòng thủ chính, hy vọng có thể cung cấp tài liệu tham khảo cho việc triển khai phòng thủ cho các đối tác cộng đồng: 1. Cấu hình bảo mật proxy mạng Mục tiêu: Cấu hình chính sách bảo mật trên proxy mạng để triển khai việc ra quyết định bảo mật và quản lý dịch vụ dựa trên mô hình tin cậy bằng không.
Giải pháp:Fortinet (https://www.fortinet.com/), Akamai (https://www.akamai.com/glossary/where-to-start-with-zero-trust), Cloudflare (https://www.cloudflare.com/zero-trust/products/access/), v.v.
2. Bảo vệ an ninh lưu lượng DNS
Mục tiêu:Triển khai các biện pháp kiểm soát bảo mật ở lớp DNS để phát hiện và chặn các yêu cầu giải quyết tên miền độc hại đã biết và ngăn chặn việc giả mạo DNS hoặc rò rỉ dữ liệu.
Giải pháp:Cisco Umbrella (https://umbrella.cisco.com/) và các giải pháp khác.
3. Giám sát lưu lượng mạng/máy chủ và phát hiện mối đe dọa
Mục tiêu:Phân tích luồng dữ liệu của các yêu cầu mạng, giám sát các hành vi bất thường theo thời gian thực, xác định các cuộc tấn công tiềm ẩn (như IDS/IPS) và cài đặt HIDS trên máy chủ để phát hiện các lỗ hổng khai thác của kẻ tấn công và các hành vi tấn công khác càng sớm càng tốt.
Các giải pháp:SolarWinds Network Performance Monitor (https://www.solarwinds.com/), Palo Alto (https://www.paloaltonetworks.com/), Fortinet (https://www.fortinet.com/), Alibaba Cloud Security Center (https://www.alibabacloud.com/zh/product/security_center), GlassWire (https://www.glasswire.com/), v.v.
4. Phân đoạn và cô lập mạng
Mục tiêu: Chia mạng thành các khu vực nhỏ hơn, cô lập để hạn chế phạm vi lan truyền mối đe dọa và tăng cường khả năng kiểm soát bảo mật.
Giải pháp:Cisco Identity Services Engine (https://www.cisco.com/site/us/en/products/security/identity-services-engine/index.html), chính sách nhóm bảo mật nền tảng đám mây, v.v.
5. Các biện pháp tăng cường hệ thống
Mục tiêu:Triển khai các chiến lược tăng cường bảo mật (như quản lý cấu hình, quét lỗ hổng và cập nhật bản vá) để giảm lỗ hổng hệ thống và tăng cường khả năng phòng thủ.
Giải pháp:Tenable.com (https://www.tenable.com/), public.cyber.mil (https://public.cyber.mil), v.v.
6. Khả năng hiển thị điểm cuối và phát hiện mối đe dọa
Mục tiêu:Cung cấp khả năng giám sát thời gian thực các hoạt động của thiết bị đầu cuối, xác định các mối đe dọa tiềm ẩn, hỗ trợ phản ứng nhanh (như EDR), thiết lập cơ chế danh sách trắng ứng dụng, phát hiện các chương trình bất thường và đưa ra cảnh báo kịp thời.
Giải pháp: CrowdStrike Falcon (https://www.crowdstrike.com/), Microsoft Defender for Endpoint (https://learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-endpoint), Jamf (https://www.jamf.com/) hoặc WDAC (https://learn.microsoft.com/en-us/hololens/windows-defender-application-control-wdac), v.v.
7. Quản lý và phân tích nhật ký tập trung
Mục tiêu:Tích hợp dữ liệu nhật ký từ các hệ thống khác nhau vào một nền tảng thống nhất để tạo điều kiện theo dõi, phân tích và ứng phó với các sự cố bảo mật.
Giải pháp: Splunk Enterprise Security (https://www.splunk.com/), Graylog (https://graylog.org/), ELK (Elasticsearch, Logstash, Kibana), v.v.
8. Nâng cao nhận thức về bảo mật của nhóm
Mục tiêu: Nâng cao nhận thức về bảo mật của các thành viên trong tổ chức, có thể xác định hầu hết các cuộc tấn công kỹ thuật xã hội và chủ động báo cáo các bất thường sau sự cố để có thể điều tra kịp thời hơn.
Giải pháp: Sổ tay tự học Blockchain Dark Forest (https://darkhandbook.io/), Phân tích kỹ thuật lừa đảo Web3 (https://github.com/slowmist/Knowledge-Base/blob/master/security-research/Web3%20%E9%92%93%E9%B1%BC%E6%89%8B%E6%B3%95%E8%A7%A3%E6%9E%90.pdf), v.v.
Ngoài ra, chúng tôi khuyến nghị nên tiến hành các cuộc tập trận đối đầu đỏ-xanh định kỳ để xác định điểm yếu trong quản lý quy trình bảo mật và triển khai phòng thủ bảo mật.
Các cuộc tấn công thường xảy ra vào cuối tuần và các ngày lễ truyền thống, gây ra những thách thức đáng kể đối với việc ứng phó sự cố và phối hợp nguồn lực. Trong suốt quá trình này, các thành viên có liên quan của nhóm an ninh SlowMist, bao gồm 23pds (Shan Ge), Thinking, Reborn, v.v., vẫn luôn cảnh giác, thay phiên nhau ứng phó với các trường hợp khẩn cấp trong kỳ nghỉ và tiếp tục thúc đẩy công tác điều tra và phân tích. Cuối cùng, chúng tôi đã khôi phục thành công phương pháp và đường xâm nhập của kẻ tấn công.
Nhìn lại cuộc điều tra này, chúng tôi không chỉ tiết lộ các phương pháp tấn công của Nhóm Lazarus mà còn phân tích việc sử dụng một loạt các chiến thuật như kỹ thuật xã hội, khai thác lỗ hổng, leo thang đặc quyền, xâm nhập mạng nội bộ và chuyển tiền. Đồng thời, chúng tôi đã tóm tắt các khuyến nghị phòng thủ chống lại các cuộc tấn công APT dựa trên các trường hợp thực tế, hy vọng có thể cung cấp tài liệu tham khảo cho ngành và giúp nhiều tổ chức cải thiện khả năng bảo vệ an ninh và giảm thiểu tác động của các mối đe dọa tiềm ẩn. Đối đầu an ninh mạng là một cuộc chiến lâu dài. Chúng tôi sẽ tiếp tục chú ý đến các cuộc tấn công tương tự và giúp cộng đồng cùng nhau chống lại các mối đe dọa.
Sam Bankman-Fried đang sử dụng một nhóm đa dạng, bao gồm cả luật sư của Trump, để tránh án tù 110 năm vì gian lận tiền điện tử. Cha mẹ và đồng nghiệp cũ của anh đang vận động ủng hộ, nhưng các chuyên gia pháp lý vẫn hoài nghi về kết quả.
JoyViệc tích hợp Mã thông báo OSHI vào BITPOINT sẽ mở rộng quyền truy cập cho các nhà đầu tư Nhật Bản và tăng cường sự tham gia vào các hoạt động liên quan đến OSHI3, thúc đẩy cộng đồng toàn cầu gồm những người đam mê anime được hỗ trợ bởi công nghệ chuỗi khối.
JoyTrung Quốc gần đây đã phát sóng loạt phim hoạt hình GenAI đầu tiên, "Qianqiu Shisong", thể hiện vai trò của AI trong hoạt hình cùng với các công cụ giống Sora. Động thái này phản ánh nỗ lực tích hợp AI vào truyền thông của Trung Quốc, làm dấy lên những cuộc tranh luận về tác động của nó đối với sự sáng tạo và an ninh việc làm.
WeatherlyArweave đã phát triển thành Arweave AO, nhằm hỗ trợ các mạng blockchain có thể mở rộng với các thành phần mô-đun cho hợp đồng thông minh, nhằm mục đích ra mắt mạng chính vào năm 2024 để cạnh tranh với Ethereum.
AlexCách tiếp cận thận trọng của SEC đối với các quỹ ETF tiền điện tử đặt ra những thách thức cho việc phê duyệt của họ, với những bất ổn xung quanh việc phân loại pháp lý và rủi ro của nhà đầu tư. Bất chấp các phê duyệt Bitcoin ETF gần đây, sự không chắc chắn về quy định vẫn tồn tại, cản trở việc áp dụng tiền điện tử rộng rãi hơn và làm nản lòng các nhà đầu tư đang tìm kiếm sự rõ ràng cho các quyết định đầu tư tự tin.
AnaisKhả năng mở rộng của Tron, tốc độ của Solana và mô hình thương mại điện tử phi tập trung của Pushd đang định hình lại bối cảnh blockchain. Bất chấp những tranh cãi, hành trình hướng tới việc áp dụng phổ biến mang lại cả hứa hẹn và thách thức.
AnaisNhóm hacker "Capital Killer" đã xâm nhập trang web của A16Z, liên kết với $AVAV trên Avalanche, báo hiệu một chiến dịch chống lại chủ nghĩa tư bản, với cựu Tổng thống Obama theo sau họ. A16Z vẫn ngoại tuyến.
AlexAlexNgười phụ nữ Singapore Ho Kai Xin bị cáo buộc biển thủ 4,2 triệu USD từ một công ty tiền điện tử, phải đối mặt với các cáo buộc bao gồm gian lận và rửa tiền. Phán quyết của Tòa án Tối cao công nhận tài sản tiền điện tử là tài sản đặt ra tiền lệ pháp lý trong bối cảnh các cáo buộc và phản tố.
JoyAlex