Các nhà nghiên cứu an ninh mạng đã phát hiện ra hoạt động của một nhóm trojan nguy hiểm mới có tên GoldPickaxe, một sự phát triển của trojan GoldDigger đã được xác định trước đó. Trong phân tích này, chúng tôi gọi nhóm này là GoldFamily. GoldFamily đặc biệt nhắm mục tiêu đến người dùng iPhone và iPad để đánh cắp dữ liệu nhận dạng khuôn mặt và giành quyền truy cập vào tài khoản ngân hàng của họ. Việc GoldFamily sử dụng AI khiến nó trở nên đặc biệt nguy hiểm vì nó có thể tấn công thành công các quy trình xác thực, chẳng hạn như một số loại sinh trắc học nhất định, trước đây được coi là an toàn.
Để chống lại những mối đe dọa này, điều quan trọng là phải xác định và ngăn chặn chúng càng sớm càng tốt trong chu kỳ tấn công. Chương trình phát hiện sớm DNS của Infoblox sử dụng các kỹ thuật độc quyền để nhanh chóng xác định các miền độc hại tiềm ẩn. Chúng tôi có thể phát hiện sớm những miền độc hại này, rất lâu trước khi chúng có sẵn trong Open Source Intelligence (OSINT) hoặc nguồn cấp dữ liệu thương mại dưới dạng độc hại. Chúng tôi gắn cờ những miền này là đáng ngờ ở giai đoạn sớm nhất và cung cấp chúng để chặn ngay lập tức. Bằng cách áp dụng cách tiếp cận chủ động này, những người bảo vệ có thể ngăn chặn các cuộc tấn công hàng ngày, hàng tuần hoặc thậm chí hàng tháng trước khi chúng xuất hiện trong OSINT hoặc nguồn cấp dữ liệu thông tin về các mối đe dọa.
Các tác nhân đe dọa liên tục điều chỉnh kỹ thuật của họ và thường sử dụng các miền độc hại để khởi động các cuộc tấn công gây thiệt hại và nguy hiểm một cách nhanh chóng. Khi liên kết đến một miền độc hại được nhấp vào, Chuỗi Tiêu diệt có thể nhanh chóng diễn ra và gây bất lợi cho những người bảo vệ. Những miền độc hại này thường bị OSINT và các nguồn cấp dữ liệu intel đe dọa phát hiện và chia sẻ quá muộn.
Chương trình phát hiện sớm DNS của chúng tôi xác định và phân tích các miền có khả năng gây hại, đồng thời tham chiếu chéo các phát hiện của chúng tôi với dữ liệu Thông minh nguồn mở (OSINT) công khai và nguồn cấp dữ liệu thông minh về mối đe dọa thương mại. Trong bài đăng trên blog này, chúng tôi đi sâu vào phân tích các miền bị gắn cờ là độc hại trong OSINT, cung cấp nhiều trường hợp chúng tôi chủ động xác định các miền này là đáng ngờ.
| Chương trình phát hiện sớm DNS của Infoblox sử dụng các kỹ thuật độc quyền để nhanh chóng xác định các miền độc hại tiềm ẩn. Infoblox gắn cờ những miền này là đáng ngờ để những người bảo vệ bạn có thể tự động chặn chúng. |
GoldFamily: Phần mềm độc hại trên Android và iOS hoán đổi khuôn mặt để đánh lừa sinh trắc học
GoldFamily bao gồm một biến thể của trojan Android có tên GoldDigger, được phát hiện lần đầu vào tháng 10 năm 2023. Những kẻ đứng sau mối đe dọa GoldFamily tận dụng các chiến thuật kỹ thuật xã hội để dụ nạn nhân quét khuôn mặt của họ. Sau đó, họ thuyết phục các nạn nhân cung cấp các tài liệu nhận dạng có tính bảo mật cao. Các nạn nhân được nhắm mục tiêu sẽ bị lừa đảo qua email, gửi tin nhắn SMS hoặc tin nhắn trên các nền tảng như ứng dụng LINE. Các thông điệp dường như được viết tốt và mạo danh các cơ quan và dịch vụ của chính phủ một cách thuyết phục.
GoldFamily được thiết kế để nhắm mục tiêu đến cả người dùng Android và iOS. Nạn nhân Android bị thao túng để cài đặt trực tiếp ứng dụng độc hại. Thay vào đó, người dùng iOS được hướng dẫn cài đặt cấu hình Quản lý thiết bị di động (MDM) trá hình. Tất nhiên, MDM cho phép cấu hình thiết bị từ xa, cho phép các tác nhân đe dọa cài đặt các ứng dụng độc hại. Trong trường hợp người dùng iOS (iPhone), kẻ đe dọa sẽ hướng họ đến URL TestFlight để cài đặt ứng dụng độc hại.
| Sau khi kẻ đe dọa GoldFamily quét khuôn mặt, chúng sẽ sử dụng trí tuệ nhân tạo để thực hiện hoán đổi khuôn mặt. Kết quả là các hình ảnh được sửa đổi là giả mạo sâu sắc. Những hình ảnh giả sâu này, kết hợp với các tin nhắn SMS bị chặn, sau đó được sử dụng để giành quyền truy cập vào tài khoản ngân hàng của nạn nhân. |
Sau khi cài đặt, GoldFamily hoạt động để thu thập dữ liệu khuôn mặt, chặn tin nhắn SMS đến, yêu cầu và chụp ảnh thẻ ID và dữ liệu xác thực nhạy cảm khác, sau đó hoạt động như một proxy lưu lượng mạng bằng công cụ có tên MicroSocks.
Trên thiết bị iOS, phần mềm độc hại sử dụng kênh ổ cắm web để liên lạc với máy chủ ra lệnh và kiểm soát (C2). Các liên lạc khả dụng được kích hoạt bao gồm chức năng nhịp tim để ping máy chủ C2, chức năng init gửi thông tin thiết bị đến C2, yêu cầu ảnh khuôn mặt cho nạn nhân, thông báo sử dụng thiết bị giả được hiển thị để tránh bị gián đoạn, lệnh album để đồng bộ hóa ảnh thư viện, sau đó lọc vào nhóm đám mây và cuối cùng là lệnh hủy để ngăn chặn trojan.
Các tác nhân đe dọa mạng và các công cụ phần mềm độc hại của chúng luôn đặt ra những thách thức ngày càng tăng cho các nhóm bảo vệ an ninh mạng. Việc GoldFamily sử dụng AI để tạo và triển khai hình ảnh xác thực giả sâu là một bước tiến vượt bậc đối với các tác nhân đe dọa và mức độ tinh vi ngày càng tăng của các công cụ hiện có.
Phân tích và phương pháp luận
Nhiều nguồn xuất bản OSINT đã công bố thông tin tiết lộ về GoldFamily vào ngày 15 và 16 tháng 2 năm 2024. Các liên kết chi tiết được cung cấp ở cuối bài viết này. Các miền bổ sung được xuất bản vào/khoảng ngày 20 tháng 2 năm 2024.
Infoblox đã trích xuất các miền độc hại được xác định trong các nguồn OSINT này. Sau đó, nhóm Infoblox đã phân tích các miền độc hại đã được xác định để xác định xem chúng có được xác định trước đó bởi nguồn cấp dữ liệu miền đáng ngờ của chúng tôi hay không.
| Infoblox đã xác định 70,83% tên miền độc hại GoldFamily là đáng ngờ sớm hơn trung bình 197,7 ngày so với thời điểm OSINT có sẵn. Tương tự, Infoblox đã xác định nhiều miền độc hại trong vòng 2 đến 3 ngày kể từ ngày đăng ký WHOIS. Điều này cho phép khách hàng của chúng tôi dừng việc thực thi Chuỗi tiêu diệt mạng 1 dự định bằng cách tự động chặn quyền truy cập vào các miền nguy hiểm này. |
Nhóm của chúng tôi đã nghiên cứu từng miền độc hại được xác định trong OSINT trên cổng thông tin Infoblox Dossier. Chúng tôi đã xem xét tính năng dòng thời gian của mình để trích xuất những ngày sớm nhất liên quan đến chỉ định đáng ngờ của Infoblox. Chúng tôi cũng trích xuất thông tin WHOIS để biết thêm ngữ cảnh.
Hơn nữa, nỗ lực nghiên cứu của chúng tôi cũng rất thành công trong việc theo đuổi GoldFamily. Những nỗ lực này đã tạo ra thêm các tên miền đáng ngờ trước nhiều tháng so với những tên miền được công bố trên OSINT vào tháng 2. Chúng tôi đã xác định được nhiều miền đáng ngờ không được tìm thấy trong các nguồn OSINT mà chúng tôi quy cho hoạt động của GoldFamily và được chỉ định là IoC.
Mối đe dọa GoldFamily đã hoạt động từ lâu trước khi dữ liệu OSINT bị phát tán. Việc xác định sớm các miền này của chúng tôi đã cung cấp dữ liệu dòng thời gian hấp dẫn. Nhóm của chúng tôi nhận thấy rằng, trong nhiều trường hợp, các tác nhân đe dọa đã tăng cường hoạt động ngay sau khi chúng tôi chỉ định đáng ngờ và rất lâu trước khi công khai rộng rãi thông qua tính khả dụng của OSINT.
| Một số miền được tìm thấy trong đám mây dữ liệu của chúng tôi đã được truy vấn trong vòng vài ngày đến vài tuần sau lần chỉ định đáng ngờ ban đầu của chúng tôi. Vì vậy, các tác nhân đe dọa đã hoạt động và có khả năng thành công nhiều tháng trước khi có thông tin OSINT trừ khi bạn đang sử dụng nguồn cấp dữ liệu tên miền đáng ngờ của Infoblox. |
Mặc dù đã xác định sớm thành công hoạt động của GoldFamily bằng cách sử dụng các tên miền độc hại, chúng tôi vẫn lo ngại rằng chiến dịch này có thể mở rộng. Một số truy vấn mà chúng tôi tìm thấy trong dữ liệu đám mây của mình đến từ các tổ chức tài chính. Tại thời điểm này, có thể những kẻ đe dọa này hiện đang nhắm mục tiêu vào các tổ chức tài chính trên phạm vi địa lý rộng hơn, không chỉ ở Thái Lan và Việt Nam. Tiếp tục cảnh giác vẫn cần thiết trong tương lai.
Kết luận phân tích của chúng tôi minh họa những lợi ích tiềm ẩn của nguồn cấp dữ liệu tên miền đáng ngờ:
- 70,83% miền GoldFamily được Infoblox xác định là đáng ngờ trung bình là 197,7 ngày (6,5 tháng) trước khi bị OSINT chỉ định là độc hại.
- Chương trình phát hiện sớm DNS của chúng tôi xác định các miền đáng ngờ hàng tuần đến hàng tháng, như trong trường hợp này, trước khi xác định OSINT là độc hại.
- Thường có một khoảng thời gian kéo dài từ khi có sẵn thông qua OSINT cho đến khi hệ sinh thái an ninh mạng và chiến lược phòng thủ chuyên sâu của bạn sử dụng. Việc chỉ định các miền đáng ngờ của Infoblox có thể liên kết với tự động hóa để chặn chúng ngay lập tức.
- Trong bối cảnh đó, 64,71% miền GoldFamily đã bị chặn do đáng ngờ trong vòng 2 đến 3 ngày sau ngày đăng ký miền WHOIS.
Ngày xuất bản OSINT đôi khi có thể không rõ ràng hoặc thiếu chính xác. Ngày của các bài viết được xuất bản bởi các bên thứ 3 có uy tín có thể không phải lúc nào cũng phản ánh chính xác tính sẵn có của OSINT của từng tên miền. Điểm quan trọng là ngay cả khi bạn có dữ liệu OSINT, dữ liệu đó vẫn phải lan truyền qua các nguồn cấp dữ liệu về mối đe dọa mà bạn sử dụng và hệ sinh thái an ninh mạng của bạn để hỗ trợ các chính sách có thể thực hiện được. Tất cả điều đó đều được tự động hóa với tính năng Phát hiện và phản hồi DNS của Infoblox (DNSDR) và dữ liệu miền đáng ngờ của chúng tôi.
So sánh với dữ liệu WHOIS
Ngày phát hành dữ liệu OSINT luôn có thể được tranh luận. Luôn có một nguồn mà bạn có thể đã bỏ lỡ. Nhưng tất cả những người dùng dễ bị tổn thương ngoài kia cũng vậy!
Dữ liệu WHOIS vạch ra một ranh giới và đưa bạn đến gần nhất có thể với dữ liệu cứng. Việc so sánh với dữ liệu WHOIS sẽ cho bạn biết hệ thống thông tin về mối đe dọa của bạn đang hoạt động như thế nào. Để cung cấp bối cảnh về hiệu suất của nguồn cấp dữ liệu intel về mối đe dọa đáng ngờ, chúng tôi đã trích xuất ngày WHOIS và nhận thấy rằng 64,71% miền GoldFamily đã bị chặn do đáng ngờ trong vòng 2 đến 3 ngày sau ngày đăng ký miền WHOIS. Ngày tháng của WHOIS tương đối chính xác và cung cấp một góc nhìn khác về giá trị cao và hiệu suất tương đối của nội dung nguồn cấp dữ liệu intel có mối đe dọa DNS đáng ngờ.
Những kẻ đứng đằng sau hầu hết các chiến dịch đã học cách liên tục tạo và thay đổi miền mà chúng sử dụng để ngụy trang cho các hoạt động độc hại của mình. Bất kỳ tên miền chính nào được sử dụng để duy trì các chiến dịch GoldFamily đều có thể bị ngừng hoạt động bất kỳ lúc nào và được thay thế bằng cơ sở hạ tầng mới. Thông tin về mối đe dọa phát hiện DNS sớm của Infoblox mang lại những lợi thế rõ ràng cho tổ chức của bạn.
Sự cần thiết của tốc độ
Phát hiện sớm DNS của Infoblox bằng cách sử dụng các nguồn cấp dữ liệu đáng ngờ của chúng tôi có thể giúp SOC của bạn di chuyển nhanh hơn để xác định và chặn các mối đe dọa nguy hiểm tiềm tàng như GoldFamily. Mối đe dọa của Infoblox Công nghệ độc quyền của Intel có thể phát hiện các miền đáng ngờ nhanh hơn các phương pháp hiện tại của ngành.
| Nhu cầu về tốc độ là có thật. Dữ liệu tên miền đáng ngờ của Infoblox giúp nhóm SOC của bạn đưa ra quyết định tốt hơn và nhanh hơn. Nó có thể giúp bảo vệ tổ chức của bạn khỏi sự vi phạm dữ liệu thảm khốc. |
Nguồn cấp dữ liệu tên miền đáng ngờ mang lại lợi thế đáng kể trong việc phát triển và sử dụng thông tin tình báo về mối đe dọa DNS. Với dữ liệu miền đáng ngờ của Infoblox, các nhóm hoạt động bảo mật có thể nhận được thông tin kịp thời mà họ cần để ngăn chặn và chống lại các mối đe dọa mới trước khi chúng gây ra bất kỳ thiệt hại nào.
Để biết thêm thông tin chi tiết
Nhóm Infoblox Threat Intel cung cấp quyền truy cập nhanh vào các báo cáo và cảnh báo mối đe dọa theo ngữ cảnh, chính xác từ các nhóm nghiên cứu thời gian thực của chúng tôi. Nguồn cấp dữ liệu Miền đáng ngờ được giới thiệu dưới dạng sản phẩm độc quyền của Infoblox vào ngày 10 tháng 11 năm 2022 và kể từ đó, đã cung cấp thành công cho hàng nghìn khách hàng thông tin nâng cao nhằm chặn các miền cuối cùng trở thành độc hại từ rất lâu trước khi hầu hết các nguồn thông tin về mối đe dọa khác xác định chúng là độc hại . Infoblox cho phép nhóm của bạn tận dụng giá trị cao của thông tin về mối đe dọa tên miền đáng ngờ trong khi vẫn đảm bảo chính sách bảo mật thống nhất trên toàn bộ cơ sở hạ tầng bảo mật của bạn. Dữ liệu về mối đe dọa của Infoblox giảm thiểu các kết quả dương tính giả, vì vậy bạn có thể tin tưởng vào những gì mình đang chặn.