Nhóm ransomware Anubis và The Gentlemen gia tăng tấn công qua lỗ hổng Citrix Bleed 2 và kỹ thuật BYOVD
Các nhóm ransomware như Anubis và The Gentlemen đang thay đổi chiến thuật, tận dụng lỗ hổng Citrix Bleed 2, kỹ thuật BYOVD và các lỗ hổng chuỗi cung ứng để xâm nhập hệ thống doanh...
Các nhóm tội phạm mạng liên quan đến chiến dịch ransomware Anubis đang tích cực khai thác lỗ hổng Citrix Bleed 2 (CVE-2025-5777) để giành quyền truy cập ban đầu vào hệ thống mục tiêu. Theo báo cáo từ Arctic Wolf, dù phương thức tấn công của các chi nhánh (affiliates) có sự khác biệt, nhưng điểm chung là việc lạm dụng các công cụ quản trị từ xa (RMM) hợp pháp như ScreenConnect, Zoho Assist, và UltraVNC để ngụy trang hoạt động độc hại dưới danh nghĩa quản trị IT.
Table Of Content
Chiến thuật của Anubis: Áp lực từ tính năng hủy dữ liệu
Anubis, một nhóm hoạt động theo mô hình Ransomware-as-a-Service (RaaS), đã thu hút sự chú ý với chính sách chia sẻ lợi nhuận lên tới 80% cho các chi nhánh. Điểm đáng ngại nhất là tính năng /WIPEMODE, cho phép kẻ tấn công biến các tệp tin thành 0 KB, gây áp lực buộc nạn nhân phải trả tiền chuộc trước khi dữ liệu bị phá hủy hoàn toàn. Ngoài khai thác lỗ hổng Citrix, nhóm này còn sử dụng thông tin đăng nhập VPN hợp lệ để xâm nhập, sau đó thực hiện di chuyển ngang (lateral movement) qua RDP và PsExec, đồng thời thiết lập các đường hầm Cloudflare để duy trì kết nối.
The Gentlemen và kỹ thuật BYOVD nguy hiểm
Trong một diễn biến khác, nhóm The Gentlemen đang sử dụng một backdoor dựa trên ngôn ngữ Go để thực thi lệnh từ xa và thiết lập proxy SOCKS. Đặc biệt, nhóm này đã vũ khí hóa một lỗ hổng zero-day trong driver của bên thứ ba (ktapi.sys của Kontron) để thực hiện kỹ thuật BYOVD (Bring Your Own Vulnerable Driver). Kỹ thuật này cho phép kẻ tấn công giành quyền truy cập cấp kernel, vô hiệu hóa các giải pháp bảo mật endpoint hiện đại của Microsoft, ESET, Palo Alto Networks và SentinelOne ngay cả trên các phiên bản Windows mới nhất.
Sự trỗi dậy của tấn công chuỗi cung ứng
Báo cáo từ Sophos cũng chỉ ra mối quan hệ hợp tác giữa hai nhóm VECT và TeamPCP. Sự kết hợp giữa việc đánh cắp thông tin đăng nhập thông qua các cuộc tấn công chuỗi cung ứng (như Trivy và LiteLLM) với mô hình RaaS đang tạo ra một mô hình tấn công công nghiệp hóa, hạ thấp rào cản gia nhập cho các tội phạm mạng. Dù VECT từng gặp lỗi kỹ thuật khiến tệp tin bị phá hủy thay vì mã hóa, nhưng sự liên kết này cho thấy xu hướng các nhóm ransomware đang ngày càng chuyên nghiệp hóa và mở rộng phạm vi tấn công.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.