Các nhà nghiên cứu của Kaspersky đã phát hiện các vụ tấn công có chủ đích nhằm vào các tập đoàn công nghiệp bắt đầu từ năm 2018 – hiếm thấy hơn rất nhiều so với các tin tặc phát tán các vụ tấn công có chủ đích nhằm vào các nhà ngoại giao và các nhà chính trị cấp cao khác. Bộ công cụ được sử dụng (ban đầu được tác giả của mã độc đặt tên là MT3) đã được Kaspersky đặt tên mới là “MontysThree”. Bộ công cụ này sử dụng nhiều kỹ thuật để tránh bị phát hiện, bao gồm cả việc ẩn lưu lượng truyền thông trong máy chủ điều khiển và các dịch vụ điện toán đám mây công cộng, đồng thời che giấu mô-đun mã độc chính bằng kỹ thuật giấu tin (steganography).

Các cơ quan chính phủ, nhà ngoại giao và nhà mạng viễn thông dường như là những đích tấn công ưa thích của các vụ tấn công có chủ đích (APT), bởi vì các cá nhân và tổ chức này thường quản lý và xử lý nhiều thông tin mật, nhạy cảm về chính trị. Các chiến lược tấn công do thám có chủ đích sẽ ít nhằm vào các cơ sở công nghiệp hơn, nhưng cũng giống như bất kỳ vụ tấn công nào khác, chúng vẫn có thể gây ra những hậu quả nghiêm trọng đối với doanh nghiệp. Đó chính là lý do tại sao, khi phát hiện hoạt động của MontysThree, các nhà nghiên cứu của Kaspersky đã rất quan tâm.

Để thực hiện hoạt động do thám, MontysThree triển khai một chương trình mã độc bao gồm bốn mô-đun. Mô-đun thứ nhất – Trình tải (loader) – là bước lây lan ban đầu thông qua sử dụng các file RAR SFX (self-extracted archives – file lưu trữ tự giải nén) có chứa các tên gọi (names) trong danh sách nhân viên, tài liệu kỹ thuật và kết quả chẩn đoán y tế để đánh lừa nhân viên tải file về – một kỹ thuật lừa đảo (spearphishing) rất phổ biến. Trình Loader chủ yếu chịu trách nhiệm đảm bảo rằng mã độc không bị phát hiện trên hệ thống; để thực hiện điều đó, nó triển khai một kỹ thuật được gọi là steganography (kỹ thuật giấu tin).

Steganography được sử dụng để giấu đi thực tế rằng dữ liệu đang bị khai thác. Với trường hợp của MontysThree, payload (phần dữ liệu được truyền đi) của mã độc chính được ngụy trang bằng một file hình ảnh theo định dạng bitmap (một định dạng để lưu trữ hình ảnh số). Nếu nhập vào đúng câu lệnh, trình Loader sẽ sử dụng một thuật toán đặc biệt để giải mã nội dung ma trận điểm ảnh và chạy payload mã độc.

Payload mã độc chính là sử dụng một số kỹ thuật mã hóa để tránh bị phát hiện, cụ thể là sử dụng một thuật toán RSA để mã hóa lưu lượng truyền thông với máy chủ chỉ huy điều khiển và giải mã các “tác vụ” chính mà mã độc ấn định cho nó. Điều đó bao gồm việc tìm kiếm các tài liệu có phần mở rộng nhất định nằm trong các thư mục cụ thể của công ty. MontysThree được thiết kế để tấn công các tài liệu Microsoft và Adobe Acrobat; nó còn có thể chụp ảnh màn hình và  “lấy dấu vây tay – fingerprint” của  đích tấn công (nghĩa là thu thập thông tin về tham số cài đặt mạng, tên máy chủ, v.v…) để đánh giá xem đích đó có hấp dẫn với tin tặc hay không.

Sau đó, thông tin thu thập được và các nội dung truyền thông khác với máy chủ chỉ huy điều khiển được đặt trên các dịch vụ điện toán đám mây công cộng như là Google, Microsoft và Dropbox. Điều đó làm cho lưu lượng truyền thông trở nên khó bị phát hiện dưới dạng mã độc và bởi vì không có phần mềm diệt vi-rút nào chặn các dịch vụ này, nó đảm bảo rằng máy chủ chỉ huy điều khiển có thể thực hiện các câu lệnh một cách liên tục.

MontysThree còn sử dụng một phương pháp đơn giản để duy trì sự ẩn nấp dai dẳng trên hệ thống bị lây nhiễm – một công cụ chỉnh sửa (modifier) phần thanh công cụ chạy ứng dụng nhanh Windows Quick Launch. Người dùng vô tình chạy mô-đun ban đầu của mã độc mỗi khi chạy các ứng dụng chính thống, khi sử dụng thanh công cụ Quick Launch.

Kaspersky chưa phát hiện ra bất kỳ điểm tương đồng nào trong mã độc hay trong cơ sở hạ tầng với bất kỳ APT đã biết nào.

“MontysThree là mã độc thú vị vì thực tế là nó không chỉ nhằm vào các tập đoàn công nghiệp, mà còn vì đó là một tổ hợp của các TTP tinh vi và hơi “a-ma-tơ” một chút. Nói chung, mức độ tinh vi là khác nhau giữa các mô-đun, nhưng vẫn không thể so sánh được với mức độ mà các APT tinh vi sử dụng. Tuy nhiên, chúng sử dụng các tiêu chuẩn mã hóa mạnh và trên thực tế có đưa ra một số quyết định chi tiết về công nghệ, bao gồm cả kỹ thuật giấu tin tùy biến. Có thể điều quan trọng nhất là ở chỗ, rõ ràng là tin tặc đã đầu tư nhiều công sức vào việc phát triển bộ công cụ MontysThree, và điều đó cho thấy rằng, chúng quyết tâm đạt được mục tiêu – và điều đó không có nghĩa rằng đó là một chiến dịch chỉ diễn ra trong thời gian ngắn,” ông Denis Legezo, nghiên cứu viên cao cấp thuộc Nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky chia sẻ.

Để bảo vệ tổ chức của bạn trước các vụ tấn công như là MontysThree, các chuyên gia Kaspersky khuyến nghị: 

• Cung cấp cho nhân viên của bạn chương trình đào tạo cơ bản về an ninh mạng, bởi vì rất nhiều vụ tấn công có chủ đích bắt đầu từ kỹ thuật lừa đảo hoặc đánh lừa. Thực hiện mô phỏng một vụ tấn công lừa đảo (Phishing Attacks) tương tự để đảm bảo rằng họ biết cách nhận biết các email lừa đảo.
• Cung cấp cho bộ phận SOC của bạn khả năng truy cập vào những thông tin cập nhật nhất về mối đe dọa bảo mật (threat intelligence). Cổng thông tin về nguy cơ an ninh bảo mật của Kaspersky là đầu mối truy cập thông tin về nguy cơ an ninh bảo mật của công ty, cung cấp thông tin và dữ liệu về các vụ tấn công an ninh mạng được Kaspersky thu thập trong suốt hơn 20 năm qua.
• Để phát hiện, điều tra và khắc phục sự cố kịp thời ở cấp độ thiết bị đầu cuối, hãy triển khai các giải pháp EDR, như là Giải pháp phát hiện và ứng phó dành cho thiết bị đầu cuối của Kaspersky.
• Ngoài việc sử dụng các giải pháp bảo mật thiết bị đầu cuối cần thiết, hãy triển khai giải pháp bảo mật ở cấp độ doanh nghiệp để phát hiện các vụ tấn công có chủ đích ở cấp độ mạng ngay từ sớm, như là Nền tảng giải pháp chống tấn công có chủ đích của Kaspersky.
• Hãy đảm bảo rằng bạn bảo vệ cả thiết bị đầu cuối công nghiệp cũng như là các thiết bị của doanh nghiệp. Giải pháp An ninh mạng công nghiệp của Kaspersky bao gồm chức năng bảo vệ riêng cho thiết bị đầu cuối và giám sát mạng để phát hiện bất kỳ hoạt động khả nghi và độc hại nào trong mạng công nghiệp.