Nhóm hacktivist DragonForce Malaysia đã phát hành một khai thác cho phép Windows Server leo thang đặc quyền cục bộ (LPE) cấp quyền truy cập vào các khả năng của bộ định tuyến phân phối cục bộ (LDR). Nó cũng thông báo rằng họ đang bổ sung các cuộc tấn công ransomware vào kho vũ khí của mình.
Nhóm đã đăng bằng chứng về khái niệm (PoC) về việc khai thác trên kênh Telegram của mình vào ngày 23 tháng XNUMX, sau đó đã được đăng tải. được phân tích bởi CloudSEK tuần này. Mặc dù không có CVE nào được biết đến về lỗi này, nhóm tuyên bố rằng việc khai thác có thể được sử dụng để vượt qua xác thực “từ xa trong một giây” nhằm truy cập vào lớp LDR, được sử dụng để kết nối các mạng cục bộ tại nhiều vị trí khác nhau của một tổ chức.
Nhóm này cho biết họ sẽ sử dụng lỗ hổng này trong các chiến dịch nhắm vào các doanh nghiệp hoạt động ở Ấn Độ, nằm ngay trong phạm vi điều hành của nhóm. Trong ba tháng qua, DragonForce Malaysia đã phát động một số chiến dịch nhắm vào nhiều cơ quan và tổ chức chính phủ trên khắp Trung Đông và Châu Á.
Daniel Smith, người đứng đầu bộ phận nghiên cứu bộ phận tình báo mối đe dọa mạng của Radware, cho biết: “DragonForce Malaysia đang có thêm một năm đáng nhớ vì tình trạng bất ổn địa chính trị”. “Kết hợp với những kẻ tấn công khác, nhóm đe dọa đã lấp đầy thành công khoảng trống mà Anonymous để lại trong khi vẫn độc lập trong thời kỳ trỗi dậy của những kẻ tấn công liên quan đến chiến tranh Nga/Ukraina.”
Gần đây nhất, có tên là “OpsPatuk” và ra mắt vào tháng 100, đã chứng kiến một số cơ quan và tổ chức chính phủ trên khắp đất nước trở thành mục tiêu của các vụ rò rỉ dữ liệu và tấn công từ chối dịch vụ, với số lượng tấn công phá hoại lên tới XNUMX trang web.
Smith cho biết: “DragonForce Malaysia dự kiến sẽ tiếp tục xác định và phát động các chiến dịch phản động mới dựa trên các liên kết xã hội, chính trị và tôn giáo của họ trong tương lai gần”. “Các hoạt động gần đây của DragonForce Malaysia… nên nhắc nhở các tổ chức trên toàn thế giới rằng họ nên duy trì cảnh giác trong thời gian này và nhận thức được rằng các mối đe dọa tồn tại bên ngoài hiện tại. xung đột mạng ở Đông Âu".
Tại sao LPE nên có mặt trên Radar vá lỗi
Mặc dù không hào nhoáng như thực thi mã từ xa (RCE), Khai thác LPE cung cấp đường dẫn từ người dùng bình thường đến HỆ THỐNG, về cơ bản là mức đặc quyền cao nhất trong môi trường Windows. Nếu bị khai thác, lỗ hổng LPE không chỉ cho phép kẻ tấn công đột nhập mà còn cung cấp đặc quyền quản trị viên cục bộ — và quyền truy cập vào dữ liệu nhạy cảm nhất trên mạng.
Với mức truy cập nâng cao này, kẻ tấn công có thể sửa đổi hệ thống, khôi phục thông tin xác thực từ các dịch vụ được lưu trữ hoặc khôi phục thông tin xác thực từ những người dùng khác đang sử dụng hoặc đã xác thực với hệ thống đó. Việc khôi phục thông tin xác thực của những người dùng khác có thể cho phép kẻ tấn công mạo danh những người dùng đó, cung cấp đường dẫn cho các chuyển động ngang trên mạng.
Với các đặc quyền được nâng cao, kẻ tấn công cũng có thể thực hiện các tác vụ quản trị viên, thực thi phần mềm độc hại, đánh cắp dữ liệu, thực thi cửa sau để có quyền truy cập liên tục, v.v.
Darshit Ashara, nhà nghiên cứu mối đe dọa chính của CloudSEK, đưa ra một kịch bản tấn công mẫu.
Ashara cho biết: “Kẻ tấn công trong nhóm có thể dễ dàng khai thác bất kỳ lỗ hổng dựa trên ứng dụng Web đơn giản nào để giành được chỗ đứng ban đầu và đặt một cửa hậu dựa trên Web”. “Thông thường, máy chứa máy chủ Web sẽ có đặc quyền của người dùng. Đó là nơi việc khai thác LPE sẽ cho phép kẻ đe dọa đạt được các đặc quyền cao hơn và xâm phạm không chỉ một trang web mà còn các trang web khác được lưu trữ trên máy chủ.”
Khai thác LPE thường không được vá
Tim McGuffin, giám đốc kỹ thuật đối nghịch tại LARES Consulting, một công ty tư vấn bảo mật thông tin, giải thích rằng hầu hết các tổ chức đều chờ đợi để vá các lỗ hổng LPE vì họ thường yêu cầu quyền truy cập ban đầu vào mạng hoặc điểm cuối ngay từ đầu.
Ông nói: “Rất nhiều nỗ lực được đặt vào việc ngăn chặn quyền truy cập ban đầu, nhưng bạn càng tiến sâu vào chuỗi tấn công, thì nỗ lực dành cho các chiến thuật như leo thang đặc quyền, di chuyển ngang và kiên trì càng ít”. “Các bản vá này thường được ưu tiên và vá hàng quý và không sử dụng quy trình 'bản vá ngay' khẩn cấp."
Nicole Hoffman, nhà phân tích tình báo mối đe dọa mạng cấp cao tại Digital Shadows, lưu ý rằng tầm quan trọng của mỗi lỗ hổng là khác nhau, cho dù đó là LPE hay RCE.
“Không phải tất cả các lỗ hổng đều có thể bị khai thác, nghĩa là không phải mọi lỗ hổng đều cần được chú ý ngay lập tức. Đó là tùy từng trường hợp cụ thể,” cô nói. “Một số lỗ hổng LPE có các yếu tố phụ thuộc khác, chẳng hạn như cần tên người dùng và mật khẩu để thực hiện cuộc tấn công. Điều đó không phải là không thể đạt được nhưng đòi hỏi mức độ phức tạp cao hơn.”
Hoffman cho biết thêm, nhiều tổ chức cũng tạo tài khoản quản trị cục bộ cho người dùng cá nhân để họ có thể thực hiện các chức năng CNTT hàng ngày như cài đặt phần mềm của riêng họ trên máy của riêng họ.
Cô nói: “Nếu nhiều người dùng có đặc quyền quản trị viên cục bộ thì việc phát hiện các hành động độc hại của quản trị viên cục bộ trong mạng sẽ khó khăn hơn”. “Kẻ tấn công sẽ dễ dàng trà trộn vào các hoạt động bình thường do các biện pháp bảo mật kém được sử dụng rộng rãi.”
Cô giải thích, bất cứ khi nào một khai thác được phát tán ra ngoài tự nhiên, sẽ không mất nhiều thời gian trước khi tội phạm mạng với mức độ tinh vi khác nhau lợi dụng và thực hiện các cuộc tấn công cơ hội.
Cô lưu ý: “Việc khai thác sẽ loại bỏ một số công việc hợp lý này. “Trên thực tế, có khả năng việc quét hàng loạt lỗ hổng này đã được thực hiện.”
Hoffman cho biết thêm rằng việc leo thang đặc quyền theo chiều dọc đòi hỏi sự phức tạp hơn và thường phù hợp hơn với các phương pháp luận về mối đe dọa dai dẳng (APT) nâng cao.
Kế hoạch của DragonForce chuyển sang ransomware
Trong một video và thông qua các kênh truyền thông xã hội, nhóm hacktivist cũng đã công bố kế hoạch bắt đầu tiến hành các cuộc tấn công ransomware hàng loạt. Các nhà nghiên cứu nói rằng đây có thể là một sự hỗ trợ cho các hoạt động hacktivist của nó hơn là một sự khởi đầu.
Hoffman giải thích: “DragonForce đã đề cập đến việc thực hiện các cuộc tấn công ransomware trên diện rộng, tận dụng lợi thế khai thác mà họ đã tạo ra”. “Cuộc tấn công ransomware WannaCry là một ví dụ tuyệt vời về việc các cuộc tấn công ransomware lan rộng cùng lúc đang gặp thách thức như thế nào nếu mục tiêu cuối cùng là lợi ích tài chính.”
Cô cũng chỉ ra rằng không có gì lạ khi thấy những thông báo này từ các nhóm đe dọa tội phạm mạng vì nó thu hút sự chú ý đến nhóm này.
Tuy nhiên, từ quan điểm của McGuffin, thông báo công khai về sự thay đổi chiến thuật là “sự tò mò”, đặc biệt đối với một nhóm hacktivist.
Ông nói: “Động cơ của họ có thể xoay quanh việc phá hủy và từ chối dịch vụ chứ không phải xoay quanh việc kiếm lợi nhuận như các nhóm ransomware thông thường, nhưng họ có thể đang sử dụng nguồn tài trợ để nâng cao khả năng hacktivist hoặc nhận thức về mục đích của mình”.
Ashara đồng ý rằng sự thay đổi theo kế hoạch của DragonForce đáng được nêu bật, vì động cơ của nhóm là gây ra nhiều tác động nhất có thể, thúc đẩy hệ tư tưởng và truyền bá thông điệp của họ.
Ông nói: “Do đó, động cơ của nhóm khi công bố ransomware không phải vì lý do tài chính mà là để gây thiệt hại”. “Trước đây, chúng tôi đã từng thấy các phần mềm độc hại xóa sạch tương tự, chúng sử dụng ransomware và giả vờ động cơ là tài chính, nhưng động cơ cốt lõi là thiệt hại.”
