Một chiến dịch tấn công mạng gián điệp tinh vi đã nhắm mục tiêu vào các tổ chức hạ tầng trọng yếu. Cụ thể, một nhà máy lọc dầu, một tập đoàn viễn thông và một tổ chức nhà nước đã trở thành nạn nhân. Các cuộc tấn công này diễn ra trong khoảng thời gian từ tháng 11 năm 2025 đến tháng 2 năm 2026, cho thấy một nỗ lực xâm nhập có chủ đích.
Chiến dịch này đã phát tán AsyncRAT, một công cụ truy cập từ xa (Remote Access Trojan – RAT) mã nguồn mở. Việc sử dụng AsyncRAT, vốn đã được các nhóm tấn công do nhà nước bảo trợ sử dụng, đã làm dấy lên những lo ngại nghiêm trọng về an ninh của hạ tầng trọng yếu bị nhắm mục tiêu.
AsyncRAT: Công cụ Gián điệp Đa Năng trong các cuộc Tấn công mạng
AsyncRAT là một công cụ truy cập từ xa mã nguồn mở, đã trở nên phổ biến trong cả giới tội phạm mạng và các nhóm tấn công do nhà nước bảo trợ. Lý do chính là kiến trúc mô-đun và khả năng giám sát rộng lớn của nó. Công cụ này cung cấp khả năng điều khiển từ xa toàn diện cho kẻ tấn công.
Các tính năng chính của AsyncRAT bao gồm:
- Ghi lại thao tác bàn phím (keylogging): Thu thập mọi phím gõ của người dùng.
- Chụp ảnh màn hình: Ghi lại hoạt động trên màn hình hệ thống bị nhiễm.
- Thực thi lệnh từ xa: Cho phép kẻ tấn công chạy các lệnh trên hệ thống từ xa.
Những khả năng này làm cho AsyncRAT trở thành một công cụ cực kỳ hiệu quả cho việc thu thập thông tin tình báo kéo dài. Vì nó có sẵn công khai và không gắn liền với một tác nhân cụ thể, việc xác định nguồn gốc các cuộc tấn công sử dụng nó thường rất khó khăn cho các nhà điều tra.
Phân tích Chiến dịch và Mục tiêu Địa chính trị
Các nhà nghiên cứu của Symantec đã xác định chiến dịch này thông qua phân tích pháp y các mạng lưới bị xâm nhập. Trong quá trình điều tra, họ phát hiện các tài liệu mồi nhử (lure documents) có liên quan đến các sự kiện chính trị trong khu vực bị nhắm mục tiêu. Một tài liệu đáng chú ý có tiêu đề “Leaked CCTV footage – Saif al-Gaddafi’s assassination.gz”.
Tài liệu này đã lợi dụng sự kiện ám sát Saif al-Gaddafi vào ngày 3 tháng 2 năm 2026. Saif al-Gaddafi là con trai thứ hai của cựu lãnh đạo Muammar Gaddafi. Tính chất mục tiêu của các tài liệu mồi nhử này cho thấy rõ ràng rằng kẻ tấn công đã nhắm đến các tổ chức cụ thể.
Ngành năng lượng trong khu vực đã trở nên ngày càng quan trọng, với sản lượng dầu thô đạt 1,37 triệu thùng mỗi ngày vào năm trước – mức cao nhất trong khoảng 12 năm. Trong bối cảnh xung đột leo thang và lo ngại giá dầu vượt quá 200 USD một thùng, việc nhắm mục tiêu vào một nhà máy lọc dầu mang ý nghĩa địa chính trị rõ ràng.
Các cuộc đụng độ tại eo biển Hormuz, nơi khoảng 20% nguồn cung dầu toàn cầu đi qua, đã làm chao đảo thị trường năng lượng thế giới. Điều này đã thu hút sự chú ý ngày càng tăng đối với các nhà sản xuất dầu ngoài khu vực. Việc này cho thấy mối liên hệ chặt chẽ giữa các tấn công mạng và tình hình địa chính trị.
Các tập tin trên VirusTotal cho thấy chiến dịch này có thể đã bắt đầu từ tháng 4 năm 2025. Nhiều tập tin mang tên có chủ đề liên quan đến khu vực, cho thấy một nỗ lực nhắm mục tiêu kéo dài và tập trung. Kẻ tấn công được cho là đã duy trì quyền truy cập liên tục vào mạng lưới của công ty dầu mỏ từ tháng 11 năm 2025 đến giữa tháng 2 năm 2026. Hoạt động bổ sung cũng được ghi nhận vào tháng 12 năm 2025, tiết lộ ý định rõ ràng là duy trì một chỗ đứng kín đáo để thu thập thông tin tình báo.
Để biết thêm chi tiết về phân tích chiến dịch này, có thể tham khảo báo cáo từ Symantec: AsyncRAT Used in Targeted Campaign Against Libyan Entities.
Chuỗi Tấn công và Cơ chế Chiếm quyền điều khiển
Quy trình lây nhiễm bắt đầu bằng một email spear-phishing chứa tài liệu mồi nhử có chủ đề liên quan đến địa phương. Mục đích là thu hút sự chú ý của mục tiêu. Tài liệu này được thiết kế để kích hoạt các bước tiếp theo trong chuỗi tấn công.
Giai đoạn 1: Tải xuống VBS Downloader
Một công cụ tải xuống VBS (VBS downloader) mang tên tệp liên quan đến chính trị, ví dụ như video_saif_gadafi_2026.vbs, đã được tìm thấy trên các máy bị ảnh hưởng. Tệp này được tải từ KrakenFiles, một nền tảng lưu trữ tệp dựa trên đám mây. Đây là khởi đầu của một cuộc xâm nhập nhiều giai đoạn được dàn dựng cẩn thận.
Giai đoạn 2: Kích hoạt PowerShell Dropper và Duy trì Quyền truy cập
Sau khi tệp VBS được thực thi, nó sẽ tải xuống một PowerShell dropper ẩn dưới tên tệp image.png. Sau đó, PowerShell dropper này tạo một tác vụ theo lịch trình của Windows (Windows scheduled task) có tên là “devil”. Tác vụ này được cấu hình từ một tệp XML được lưu trữ tại đường dẫn:
C:\Users\Public\Music\Googless.xmlTác vụ này đảm bảo rằng dropper sẽ chạy vào một thời điểm đã định trước. Sau khi hoàn thành, tác vụ này sẽ bị xóa để loại bỏ dấu vết hiện diện và né tránh các công cụ phát hiện thông thường. Cơ chế này là một ví dụ điển hình về việc duy trì quyền truy cập và tránh bị phát hiện trong các cuộc tấn công mạng.
Giai đoạn 3: Triển khai Payload AsyncRAT
AsyncRAT là payload cuối cùng được phân phối sau chuỗi các bước trên. Việc triển khai thành công AsyncRAT cấp cho kẻ tấn công toàn quyền kiểm soát từ xa đối với hệ thống bị nhiễm. Khả năng ghi lại thao tác bàn phím, chụp ảnh màn hình và thực thi lệnh của AsyncRAT, cùng với bản chất mô-đun của nó, cho phép kẻ tấn công âm thầm đẩy các bản cập nhật khả năng mà không làm gián đoạn hoạt động đang diễn ra. Sự kết hợp giữa tính linh hoạt và khả năng ẩn mình này đã làm cho AsyncRAT trở thành một công cụ lý tưởng cho một chiến dịch được thúc đẩy bởi việc thu thập thông tin tình báo dài hạn.
Các Chỉ số Nhận diện Tấn công (IOCs)
Dựa trên phân tích chiến dịch, các tổ chức có thể sử dụng các chỉ số sau để tăng cường khả năng phát hiện và ứng phó:
- Tên tệp VBS downloader:
video_saif_gadafi_2026.vbs - Tên tệp PowerShell dropper:
image.png - Đường dẫn tệp cấu hình tác vụ theo lịch trình:
C:\Users\Public\Music\Googless.xml - Tên tác vụ theo lịch trình Windows:
devil - Nguồn tải xuống tệp độc hại:
KrakenFiles(cần theo dõi các kết nối đến nền tảng này, đặc biệt là từ các tệp thực thi).
Biện pháp Phòng ngừa và Tăng cường An ninh mạng
Các tổ chức trong ngành năng lượng, cùng với các cơ quan chính phủ và viễn thông, cần tăng cường phòng thủ chống lại các cuộc tấn công spear-phishing. Đặc biệt là những cuộc tấn công sử dụng các chiến thuật mồi nhử theo chủ đề chính trị, gắn liền với các sự kiện hiện tại.
Tăng cường Nhận thức và Đào tạo
- Đào tạo nhân viên để nhận biết các chiến thuật mồi nhử dựa trên chủ đề chính trị.
- Thực hiện các bài kiểm tra phishing định kỳ để nâng cao khả năng phản ứng của người dùng.
Giám sát và Phát hiện Nâng cao
- Thiết lập các quy tắc giám sát cho việc tạo tác vụ theo lịch trình bất thường. Đặc biệt chú ý đến các tác vụ liên kết với tệp XML được đặt trong các thư mục công khai, vì điều này phản ánh trực tiếp phương pháp duy trì quyền truy cập được sử dụng trong chiến dịch này.
- Hạn chế thực thi các tệp VBS và các tệp script khác từ các nguồn không đáng tin cậy hoặc bên ngoài.
- Giới hạn việc sử dụng PowerShell cho các quy trình được ủy quyền và giám sát. Điều này nhằm cắt đứt loại phân phối dropper nhiều giai đoạn như đã thấy.
Triển khai Công cụ Phát hiện Điểm cuối
Triển khai các công cụ phát hiện điểm cuối (Endpoint Detection and Response – EDR) có khả năng xác định các mẫu hành vi của AsyncRAT là rất quan trọng. Các hành vi này bao gồm:
- Ghi lại thao tác bàn phím trái phép.
- Hoạt động chụp ảnh màn hình.
- Các kết nối command-and-control (C2) ra bên ngoài không được ủy quyền.
Việc này là cần thiết cho bất kỳ tổ chức nào hoạt động trong lĩnh vực rủi ro cao để tăng cường an ninh mạng toàn diện.
