Một kẻ đe dọa có động cơ tài chính đã bị chỉ ra là nhà môi giới truy cập ban đầu (IAB) chuyên bán quyền truy cập vào các tổ chức bị xâm nhập cho các đối thủ khác để thực hiện các cuộc tấn công tiếp theo như ransomware.
Đơn vị chống mối đe dọa SecureWorks (CTU) đã đặt tên cho nhóm tội phạm điện tử Gold Melody , nhóm này còn được biết đến với cái tên Prophet Spider (CrowdStrike) và UNC961 (Mandiant).
Công ty an ninh mạng cho biết : “Nhóm có động cơ tài chính này đã hoạt động ít nhất từ năm 2017, xâm phạm các tổ chức bằng cách khai thác lỗ hổng trong các máy chủ kết nối Internet chưa được vá” .
“Nạn nhân cho thấy các cuộc tấn công cơ hội để thu lợi tài chính hơn là một chiến dịch có mục tiêu được thực hiện bởi một nhóm đe dọa được nhà nước tài trợ nhằm mục đích gián điệp, phá hoại hoặc gây rối.”
Gold Melody trước đây được cho là có liên quan đến các cuộc tấn công khai thác lỗ hổng bảo mật trong JBoss Messaging (CVE-2017-7504), Citrix ADC (CVE-2019-19781), Oracle WebLogic (CVE-2020-14750 và CVE-2020-14882), GitLab ( CVE-2021-22205), Bộ điều khiển vùng lưu trữ Citrix ShareFile (CVE-2021-22941), Atlassian Confluence (CVE-2021-26084), ForgeRock AM (CVE-2021-35464) và Apache Log4j (CVE-2021-44228) may chủ.
Người ta đã quan sát thấy nhóm tội phạm mạng đang mở rộng phạm vi nạn nhân của mình để tấn công các tổ chức bán lẻ, chăm sóc sức khỏe, năng lượng, tài chính và công nghệ cao ở Bắc Mỹ, Bắc Âu và Tây Á kể từ giữa năm 2020.
Mandiant, trong một phân tích được công bố vào tháng 3 năm 2023, cho biết rằng "trong nhiều trường hợp, hoạt động xâm nhập UNC961 đã diễn ra trước việc triển khai phần mềm tống tiền Maze và Egregor từ các tác nhân tiếp theo khác nhau".
Nó còn mô tả nhóm này là “tháo vát ở góc độ cơ hội đối với các hoạt động truy cập ban đầu” và lưu ý rằng nhóm “sử dụng cách tiếp cận hiệu quả về mặt chi phí để đạt được quyền truy cập ban đầu bằng cách khai thác các lỗ hổng được tiết lộ gần đây bằng cách sử dụng mã khai thác có sẵn công khai”.
Bên cạnh việc dựa vào kho vũ khí đa dạng bao gồm web shell, phần mềm hệ điều hành tích hợp và các tiện ích công khai, nó còn sử dụng các trojan truy cập từ xa (RAT) độc quyền và các công cụ đào hầm như GOTROJ (còn gọi là MUTEPUT), BARNWORK, HOLEDOOR, DARKDOOR, AUDITUNNEL, HOLEPUNCH, LIGHTBUNNY và HOLERUN để thực thi các lệnh tùy ý, thu thập thông tin hệ thống và thiết lập đường hầm ngược với địa chỉ IP được mã hóa cứng.
Secureworks, liên kết Gold Melody với 5 cuộc xâm nhập từ tháng 7 năm 2020 đến tháng 7 năm 2022, cho biết các cuộc tấn công này dẫn đến việc lạm dụng một loạt lỗ hổng khác, bao gồm cả những lỗ hổng ảnh hưởng đến Oracle E-Business Suite ( CVE-2016-0545 ), Apache Struts ( CVE- 2017-5638 ), Sitecore XP ( CVE-2021-42237 ) và Flexera FlexNet ( CVE-2021-4104 ) để có quyền truy cập ban đầu.
Một chỗ đứng thành công được thành công nhờ việc triển khai các web shell để duy trì sự tồn tại, sau đó là tạo các thư mục trong máy chủ bị xâm nhập để phân loại các công cụ được sử dụng trong chuỗi lây nhiễm.
Công ty cho biết: “Gold Melody tiến hành quét một lượng đáng kể để hiểu môi trường của nạn nhân”. "Quá trình quét bắt đầu ngay sau khi có được quyền truy cập nhưng được lặp lại và tiếp tục trong suốt quá trình xâm nhập."
Giai đoạn trinh sát mở đường cho việc thu thập thông tin xác thực, di chuyển ngang và lọc dữ liệu. Điều đó nói lên rằng, cả năm cuộc tấn công cuối cùng đều không thành công.
Công ty kết luận: “Gold Melody hoạt động như một IAB có động cơ tài chính, bán quyền truy cập cho các tác nhân đe dọa khác”. “Người mua sau đó kiếm tiền từ quyền truy cập, có thể thông qua việc tống tiền thông qua việc triển khai ransomware.”
"Việc nó phụ thuộc vào việc khai thác các lỗ hổng trong các máy chủ truy cập internet chưa được vá để truy cập đã củng cố tầm quan trọng của việc quản lý bản vá mạnh mẽ."