Giới thiệu

Vào ngày 29 tháng 8 năm 2025, công ty an ninh mạng Huntress đã phát hiện ra một loại ransomware mới có tên gọi Obscura. Điều đáng lo ngại không chỉ nằm ở việc không có thông tin công khai trước đó về loại malware này mà còn ở cách thức lây lan của nó: thông qua thư mục NETLOGON trên một máy chủ miền, cho phép nó tự động mở rộng ra khắp mạng lưới của nạn nhân.

Trường hợp Obscura phản ánh rõ ràng cách mà các kẻ tấn công tiếp tục đổi mới các chiến thuật về ngụy trang, duy trì và áp lực tâm lý, gia tăng rủi ro cho các tổ chức không có khả năng quan sát toàn diện về hạ tầng của họ.

Bối cảnh phát hiện

Huntress đã quan sát thấy rằng mã độc này chạy trên nhiều máy chủ trong mạng lưới bị xâm nhập. Việc triển khai các tác nhân bảo mật tại nạn nhân là hạn chế, điều này đã hạn chế khả năng phát hiện và phản ứng của Trung tâm điều hành an ninh (SOC). Điều này đã khiến việc xác định vectơ truy cập ban đầu trở nên khó khăn.

Tuy nhiên, ransomware đã được xác nhận là lưu trữ trên máy chủ miền tại đường dẫn:

C:\WINDOWS\sysvol\sysvol[dominio].local\scripts\

Để thực hiện ngụy trang, file thực thi mang cùng tên với miền của nạn nhân. Phân tích sau đó cho thấy nó được viết bằng Go, với một Go build ID được nhúng và các tham chiếu đến các thư mục phát triển địa phương, ví dụ:

/run/media/veracrypt1/Backups/Obscura/Locker/windows/locker/
/run/media/veracrypt1/Locker Deps/go1.15.linux-amd64/go/src/os/exec

Lây lan và duy trì

Chìa khóa để lây lan của Obscura nằm ở việc tận dụng thư mục NETLOGON, nơi đồng bộ hóa các máy chủ miền. Khi đưa mã nhị phân vào đây, nó đã tự động sao chép sang nhiều hệ thống khác.

Để đảm bảo duy trì, các kẻ tấn công đã tạo ra các tác vụ đã lên lịch, bao gồm:

• SystemUpdate: chịu trách nhiệm thực thi mã nhị phân từ thư mục chia sẻ NETLOGON.
• iJHcEkAG: được thiết kế để kích hoạt truy cập từ xa RDP thông qua tường lửa với lệnh:

cmd.exe /C netsh firewall set service type = remotedesktop mode = enable > \\Windows\\Temp\\SJYfXB 2>&1

Ngoài ra, ransomware còn thực thi việc xóa các bản sao lưu cục bộ:

cmd.exe /c vssadmin delete shadows /all /quiet

Phân tích kỹ thuật

• Ngôn ngữ: Go
• Chiến lược ngụy trang: tên giống hệt miền nạn nhân
• Lây lan: thư mục NETLOGON (sao chép tự động)
• Duy trì: tạo các tác vụ đã lên lịch
• Hành động hủy hoại: xóa shadow copies
• Chỉ số phát triển: các đường dẫn nhúng với Veracrypt1 và các phụ thuộc của Go

Cho đến nay, chưa có nhóm nào được biết đến đứng sau Obscura, cũng như không phát hiện được các trang web rò rỉ (leak sites) liên quan.

Ghi chú tiền chuộc (bản dịch nguyên văn)

Tệp: README_Obscura.txt

Xin chào! Doanh nghiệp của bạn đã thất bại trong một bài kiểm tra xâm nhập đơn giản.

Mạng lưới của bạn đã bị mã hóa hoàn toàn bởi phần mềm của chúng tôi.

Virus ransomware của chúng tôi sử dụng công nghệ mã hóa tiên tiến sẽ khiến việc phục hồi thông tin của bạn trở nên rất khó khăn.

Tất cả thông tin đã bị đánh cắp.

Chúng tôi đã chiếm đoạt tất cả dữ liệu từ mạng của bạn, bao gồm NAS: hộ chiếu của nhân viên, tài liệu nội bộ, tài liệu tài chính, v.v.

Bạn có khoảng 240 giờ để phản hồi.

Nếu không làm như vậy, toàn bộ thông tin sẽ được phát tán.

Nếu bạn quyết định liên hệ với chúng tôi, chúng tôi sẽ sẵn lòng thương lượng một mức giá chuộc. Khi thanh toán, bạn sẽ nhận được:

một báo cáo về cách chúng tôi đã xâm nhập vào mạng của bạn

hướng dẫn và phần mềm để giải mã các tệp

sự hỗ trợ của chúng tôi trong việc phục hồi

Họ sẽ không giúp bạn; họ là kẻ thù của bạn.

Các cơ quan phục hồi, cảnh sát và các dịch vụ khác sẽ KHÔNG GIÚP ĐỠ. Họ muốn tiền của bạn, nhưng không biết cách thương lượng.

Tác động chiến lược

Chiến dịch Obscura nêu bật một số bài học quan trọng:

1. Các máy chủ miền là mục tiêu ưu tiên. Khi xâm nhập vào NETLOGON, các kẻ tấn công đạt được sự lây lan nhanh chóng và rộng rãi.
2. Tầm nhìn một phần có giá trị cao. Việc triển khai không đầy đủ các tác nhân SOC giảm khả năng phản ứng.
3. Áp lực tâm lý vẫn là một phần của trò chơi. Âm điệu của ghi chú tiền chuộc nhằm cô lập nạn nhân khỏi bất kỳ hỗ trợ bên ngoài nào.
4. Sự chuyên nghiệp của ransomware là điều hiển nhiên. Sử dụng Go, các tác vụ đã lên lịch và các kỹ thuật cổ điển được kết hợp trong một cuộc tấn công duy nhất.

Thực hành tốt nhất

• Triển khai giám sát và phản ứng: Đảm bảo có đủ công cụ và nhân lực để phát hiện và phản ứng kịp thời với các mối đe dọa.
• Thực hiện phân đoạn mạng: Giảm thiểu rủi ro bằng cách phân đoạn mạng để cô lập các phần nhạy cảm.
• Giáo dục nhân viên: Đào tạo nhân viên về các mối đe dọa và cách nhận diện chúng.

Cạm bẫy thường gặp

• Phụ thuộc vào một lớp bảo vệ: Không nên chỉ dựa vào một công cụ hoặc phương pháp duy nhất để bảo vệ.
• Thiếu kiểm tra thường xuyên: Không thực hiện kiểm tra định kỳ để đánh giá tình trạng bảo mật.

Mẹo hiệu suất

• Sử dụng giải pháp bảo mật đa lớp: Kết hợp nhiều công cụ bảo mật để tăng cường khả năng phòng thủ.
• Cập nhật thường xuyên: Đảm bảo mọi phần mềm đều được cập nhật để bảo vệ trước các lỗ hổng mới nhất.

Khắc phục sự cố

• Xác minh các nhật ký: Kiểm tra các nhật ký hệ thống để phát hiện dấu hiệu xâm nhập.
• Sử dụng công cụ phân tích mã độc: Phân tích mã độc để xác định cách thức hoạt động và tìm ra giải pháp khắc phục.

Kết luận

Ransomware Obscura không chỉ là một cái tên mới trong danh sách các mối đe dọa: nó nhắc nhở chúng ta rằng việc thiếu giám sát sâu và phân đoạn mạng có thể bị khai thác bởi các tác nhân độc hại để làm tê liệt các cơ sở hạ tầng quan trọng.

Trong khi nguồn gốc của nó chưa được biết đến hoặc có liên quan đến các nhóm ransomware đã thành lập, cộng đồng an ninh mạng cần phải chú ý đến các mẫu và chiến thuật mới.

Phát hiện này nhấn mạnh tầm quan trọng của việc triển khai một hệ thống phòng thủ đa lớp, củng cố giám sát các máy chủ miền và không phụ thuộc hoàn toàn vào một lớp bảo vệ duy nhất.

Tài nguyên tham khảo

• BleepingComputer - Nguồn gốc của bài viết.
• Tài liệu về an ninh mạng và phòng chống ransomware.
• Các khóa học về bảo mật thông tin để nâng cao kỹ năng và kiến thức.