Phi Vũ
New member
Nghiên cứu chung của Acronis và Hunt.io chỉ ra rằng các nhóm tấn công do nhà nước Bắc Triều Tiên hậu thuẫn như Lazarus và Kimsuky để lộ những mẫu hoạt động qua hạ tầng mạng. Phân tích ở cấp độ hạ tầng — chứ không chỉ mã độc — là chìa khóa để phát hiện và theo dõi chiến dịch lâu dài.
Các đội phòng thủ thường tập trung vào phân tích payload và nhận diện phần mềm độc hại, nhưng payload dễ biến đổi để né hệ thống phát hiện theo chữ ký. Ngược lại, hạ tầng phản ánh thói quen vận hành: cấu hình lặp lại, triển khai theo mẫu và kênh liên lạc được tái sử dụng qua nhiều chiến dịch.
Các thư mục HTTP công khai từng chứa hàng ngàn tập tin gồm công cụ thu thập thông tin đăng nhập, công cụ truy cập từ xa, nhịp xuất dữ liệu và thành phần tạo kênh tunnelling. Môi trường như vậy giống kho công cụ hoạt động trực tiếp hơn là một nơi thả mã độc đơn lẻ.
Đầu tư vào phân tích hạ tầng không thay thế hoàn toàn bảo vệ điểm cuối, nhưng nó mang lại tầm nhìn chiến lược lâu dài: phát hiện hành vi lặp lại, ngăn chặn kẻ tấn công tận dụng hạ tầng đã được chuẩn bị sẵn và giảm rủi ro từ các chiến dịch kéo dài của nhóm do nhà nước hậu thuẫn.
Nguồn: Techradar
Hạ tầng là tín hiệu bền vững hơn mã độc
Nhiều nhóm tấn công của Bắc Triều Tiên (DPRK) như Lazarus và Kimsuky thực hiện chiến dịch kết hợp gián điệp, tội phạm tài chính và phá hoại, nhắm vào từ startup tới cơ quan chính phủ và hạ tầng công nghệ thông tin quan trọng.Các đội phòng thủ thường tập trung vào phân tích payload và nhận diện phần mềm độc hại, nhưng payload dễ biến đổi để né hệ thống phát hiện theo chữ ký. Ngược lại, hạ tầng phản ánh thói quen vận hành: cấu hình lặp lại, triển khai theo mẫu và kênh liên lạc được tái sử dụng qua nhiều chiến dịch.
Phát hiện từ điều tra hạ tầng
Cuộc điều tra chung giữa Acronis Threat Research Unit và Hunt.io phát hiện việc tái sử dụng hạ tầng kéo dài: chứng chỉ dùng chung trên nhiều địa chỉ IP, các node Fast Reverse Proxy (FRP) giống hệt xuất hiện trên nhiều máy chủ, cùng các máy chủ staging công khai chứa gigabyte công cụ vận hành.Các thư mục HTTP công khai từng chứa hàng ngàn tập tin gồm công cụ thu thập thông tin đăng nhập, công cụ truy cập từ xa, nhịp xuất dữ liệu và thành phần tạo kênh tunnelling. Môi trường như vậy giống kho công cụ hoạt động trực tiếp hơn là một nơi thả mã độc đơn lẻ.
Tunnelling và mẫu triển khai lặp lại
Tunnelling cung cấp minh chứng rõ ràng cho việc tái sử dụng hạ tầng: các node FRP cấu hình giống nhau chạy trên cùng cổng ở nhiều host cho thấy dùng mẫu triển khai thay vì thiết lập tạm bợ. Điều này tạo cơ hội cho nhà phòng thủ nhận diện và theo dõi dựa trên đặc điểm hạ tầng thay vì chỉ dựa vào chữ ký mã độc.Hậu quả cho đội phòng thủ
Tập trung quá mức vào payload có thể khiến hoạt động chuẩn bị tấn công (recon, staging, provisioning) bị bỏ sót cho tới khi xâm nhập đã diễn ra. Vì vậy kẻ tấn công có thể tái dùng hạ tầng trong nhiều năm, kể cả sau các sự cố chuỗi cung ứng lớn, nếu họ không bị giám sát ở cấp hạ tầng.Khuyến nghị thực tế
- Thiết lập thu thập và phân tích telemetry ở cấp hạ tầng: giám sát chứng chỉ, cấu hình tunnelling, port bất thường và thư mục HTTP công khai.
- Quét và cảnh báo thư mục hoặc máy chủ staging lộ dữ liệu, đặc biệt khi chứa công cụ vận hành hoặc tệp thực thi lớn.
- Theo dõi các mẫu cấu hình giống nhau (templated deployments) trên nhiều host để phát hiện việc triển khai lại của kẻ tấn công.
- Kết hợp phân tích hạ tầng vào quy trình threat hunting song song với phân tích mã độc.
Đầu tư vào phân tích hạ tầng không thay thế hoàn toàn bảo vệ điểm cuối, nhưng nó mang lại tầm nhìn chiến lược lâu dài: phát hiện hành vi lặp lại, ngăn chặn kẻ tấn công tận dụng hạ tầng đã được chuẩn bị sẵn và giảm rủi ro từ các chiến dịch kéo dài của nhóm do nhà nước hậu thuẫn.
Nguồn: Techradar
Bài viết liên quan
