Tin tức bảo mật: UNC1069 lừa đảo nguy hiểm

21/04/2026
4 mins read
Tin tức bảo mật: UNC1069 lừa đảo nguy hiểm

Tin tức bảo mật về chiến dịch UNC1069 cho thấy một chuỗi lừa đảo tinh vi nhắm vào chuyên gia cryptocurrencyWeb3, trong đó nạn nhân bị dụ tham gia cuộc họp trực tuyến giả mạo rồi bị cài malware đánh cắp tài sản số. Kênh tiếp cận ban đầu chủ yếu qua LinkedIn và Telegram, sau đó chuyển sang các nền tảng họp giả được thiết kế giống Zoom, Google Meet và Microsoft Teams.

Nội dung
Chuỗi tấn công và cơ chế lây nhiễm
Môi trường giả mạo và kỹ thuật thu thập dữ liệu
Hành vi trên Windows
Cảnh báo CVE, CVSS và chỉ số nhận diện
IOC hành vi cần theo dõi
Cabbage RAT và biến thể mới
Cơ chế điều khiển và phản hồi
Ảnh hưởng hệ thống và rủi ro an toàn thông tin
Khuyến nghị kiểm tra kỹ thuật
Quan hệ với các chiến dịch liên quan

Chuỗi tấn công và cơ chế lây nhiễm

Nhóm tấn công tạo dựng quan hệ trước bằng cách mạo danh công ty đầu tư mạo hiểm, từ đó xây dựng độ tin cậy với mục tiêu trong thời gian dài. Khi đến giai đoạn thực thi, họ gửi liên kết đặt lịch qua Calendly để đưa nạn nhân vào một môi trường họp giả mạo.

Trong cuộc gọi, kẻ tấn công sử dụng cả tham gia trực tiếp lẫn video deepfake của lãnh đạo thật để tăng độ tin cậy. Khi nạn nhân bước vào phòng họp giả, họ được thông báo microphone hoặc camera gặp sự cố, tạo áp lực phải sửa ngay lập tức.

Đây là thời điểm xuất hiện ClickFix-style prompt, yêu cầu sao chép và chạy một đoạn mã. Khi người dùng làm theo, malware được kích hoạt và thiết bị bị thiết lập foothold ban đầu.

Môi trường giả mạo và kỹ thuật thu thập dữ liệu

Validin cho biết chiến dịch này có hạ tầng hỗ trợ phức tạp và đã phân tích toàn bộ chuỗi tấn công vào tháng 4/2026. Các payload được xây dựng riêng theo hệ điều hành của nạn nhân, gồm Windows, macOSLinux.

Một điểm đáng chú ý là nền tảng họp giả còn dùng API navigator.mediaDevices.getUserMedia để thu âm và ghi hình theo thời gian thực. Dữ liệu được phát về máy chủ do kẻ tấn công kiểm soát qua WebRTCWebSocket.

Footage thu được sau đó được tái sử dụng trong các chiến dịch social engineering tiếp theo để tăng tính thuyết phục khi mạo danh người thật.

Hành vi trên Windows

Trên máy Windows, prompt yêu cầu nhấn Win + X rồi nhấn A để mở terminal với quyền quản trị, sau đó dán và chạy một tập lệnh. Tập lệnh này tải xuống hai PowerShell script từ máy chủ của kẻ tấn công.

Script đầu tiên tải một file VBScript, ghi vào thư mục tạm và thực thi hai lần bằng wscript.exe. Đồng thời, nó thêm thư mục C:\Users vào danh sách loại trừ của Windows Defender và khởi động lại dịch vụ WinDefend để giảm khả năng bị phát hiện.

powershell -c "Add-MpPreference -ExclusionPath 'C:\Users'; Restart-Service WinDefend"

Cảnh báo CVE, CVSS và chỉ số nhận diện

Nội dung gốc không cung cấp CVE, CVSS hay IOC dạng hash/domain/IP cụ thể. Tuy nhiên, nghiên cứu liên quan mô tả đây là một chiến dịch zero-day vulnerability theo cách khai thác hành vi người dùng thay vì dựa trên lỗ hổng phần mềm truyền thống.

Tham chiếu kỹ thuật bổ sung có thể xem tại Validin: I can’t hear you — UNC1069.

IOC hành vi cần theo dõi

  • LinkedInTelegram dùng làm kênh tiếp cận ban đầu.
  • Liên kết đặt lịch qua Calendly dẫn tới phòng họp giả.
  • Miền/hạ tầng giả mạo mô phỏng tên gọi của Zoom, Google MeetMicrosoft Teams.
  • Prompt yêu cầu chạy lệnh trong terminal khi đang họp video.
  • Thư mục tạm chứa script không ký số.
  • Thiết lập ngoại lệ bất thường trong Windows Defender.

Cabbage RAT và biến thể mới

Theo phân tích, payload VBScript là một biến thể cập nhật của Cabbage RAT, còn được gọi là CageyChameleon. Mã độc bắt đầu bằng việc thu thập thông tin hệ thống gồm username hiện tại, hostname, phiên bản hệ điều hành và các tiện ích mở rộng trình duyệt đã cài.

Việc bổ sung thu thập extension của Google Chrome cho thấy mục tiêu rõ ràng là xác định các ví lưu trữ tiền mã hóa đang có trên máy nạn nhân.

Một thay đổi đáng chú ý khác là file shortcut .lnk được đặt trong thư mục Startup của Windows để đảm bảo malware tự chạy mỗi khi người dùng đăng nhập.

Cơ chế điều khiển và phản hồi

RAT giao tiếp với máy chủ command-and-control và chờ các phản hồi mã hóa:

  • 20: kích hoạt payload thứ cấp đã mã hóa.
  • 21: kết thúc thực thi.
  • 22: tín hiệu keep-alive.

Ảnh hưởng hệ thống và rủi ro an toàn thông tin

Chiến dịch không chỉ dừng ở việc chiếm quyền điều khiển thiết bị mà còn mở rộng sang thu thập dữ liệu âm thanh, hình ảnh và thông tin trình duyệt. Điều này làm tăng rủi ro bảo mật cho môi trường làm việc sử dụng họp trực tuyến, đặc biệt khi người dùng chấp nhận chạy lệnh trong lúc đang trao đổi.

Với các tổ chức hoạt động trong lĩnh vực cryptocurrency và Web3, dấu hiệu đáng chú ý gồm script không ký số, quyền quản trị bất thường, loại trừ Defender mới, và kết nối ra ngoài đến các miền giả danh dịch vụ họp trực tuyến. Những dấu hiệu này phù hợp để đưa vào quy trình phát hiện xâm nhập và giám sát IDS.

Khuyến nghị kiểm tra kỹ thuật

  • Xác minh người tổ chức cuộc họp qua kênh ngoài băng thông trước khi tham gia.
  • Giám sát việc chạy unsigned scripts từ thư mục tạm.
  • Kiểm tra thay đổi trong cấu hình Windows Defender.
  • Theo dõi kết nối ra ngoài đến miền có tên gần giống Zoom/Meet/Teams.
  • Rà soát các file .lnk bất thường trong Startup.

Quan hệ với các chiến dịch liên quan

Nghiên cứu còn ghi nhận mối liên hệ với vụ xâm phạm gói Axios NPM gần đây và các điểm chồng lấn kỹ thuật với một cụm đe dọa đã được Mandiant công bố trước đó. Các quan sát này giúp củng cố bức tranh threat intelligence về hạ tầng, mã độc và mô hình phát tán của chiến dịch.

Trong phạm vi phân tích hiện có, trọng tâm của tin bảo mật mới nhất này vẫn là chuỗi lừa đảo họp trực tuyến giả, payload tùy biến theo hệ điều hành, và hành vi thu thập dữ liệu để hỗ trợ đánh cắp tài sản số.