Tin tức bảo mật: Tấn công mạng LNK cực nguy hiểm

27/04/2026
3 mins read
Tin tức bảo mật: Tấn công mạng LNK cực nguy hiểm

Tin tức bảo mật mới ghi nhận một chiến dịch tấn công mạng nhắm vào các công ty dược phẩm kê đơn, trong đó tệp mồi được ngụy trang thành tài liệu Excel nhưng thực chất là một file shortcut Windows .lnk chứa nhiều payload ẩn.

Nội dung
LNK disguised as Excel trong chiến dịch tấn công mạng
Chuỗi thực thi: LNK, XML, JavaScript, PowerShell
CVE và cảnh báo CVE không được nêu trong mẫu tấn công này
Cơ chế tải, giải mã và lưu payload
Scheduled task giả mạo và liên lạc Dropbox
IOC của chiến dịch tấn công mạng
Ảnh hưởng hệ thống và rủi ro bảo mật
Biện pháp phát hiện xâm nhập và giảm thiểu

LNK disguised as Excel trong chiến dịch tấn công mạng

Tệp độc hại có tên White Life Science ERP Specification.lnk, được thiết kế để trông như một bảng tính thông thường. Khi người dùng mở tệp, chuỗi thực thi ẩn sẽ chạy nền mà không có dấu hiệu nhiễm rõ ràng.

Cơ chế này tận dụng kỹ thuật lừa đảo đơn giản nhưng hiệu quả để tạo nguy cơ bảo mật cho môi trường doanh nghiệp, đặc biệt ở các tổ chức xử lý dữ liệu nghiên cứu, hồ sơ bệnh nhân và công thức thuốc độc quyền.

Phân tích kỹ thuật từ Wezard4u cho thấy file .lnk hoạt động như một container đa payload, gồm:

  • một file Excel mồi;
  • một script PowerShell;
  • một file JavaScript;
  • một XML của Windows Task Scheduler.

Tổng kích thước của shortcut là 23,079 byte.

Chuỗi thực thi: LNK, XML, JavaScript, PowerShell

Khi nạn nhân mở tài liệu giả, cmd.exe gọi PowerShell qua đường dẫn SysWOW64. Cách này buộc hệ thống chạy PowerShell 32-bit trên máy 64-bit, vốn là một kỹ thuật thường được dùng để né một số cơ chế giám sát chỉ theo dõi tiến trình 64-bit.

Toàn bộ chuỗi thực thi diễn ra theo thứ tự LNK → XML → JavaScript → PowerShell. Điều này khiến việc phát hiện ở từng bước riêng lẻ trở nên khó khăn hơn, nhất là khi các thành phần được tách nhỏ và khởi chạy gián tiếp.

CVE và cảnh báo CVE không được nêu trong mẫu tấn công này

Nội dung gốc không đề cập lỗ hổng CVE, CVE nghiêm trọng hay mã khai thác cụ thể. Đây là một chiến dịch tấn công mạng dựa trên tệp mồi và thực thi script, không phải khai thác một zero-day vulnerability đã được định danh.

Vì vậy, trọng tâm phòng thủ nằm ở kiểm soát an toàn thông tin, giám sát tiến trình bất thường và phát hiện chuỗi thực thi liên quan đến remote code execution ở cấp người dùng cuối.

Cơ chế tải, giải mã và lưu payload

Script PowerShell giải mã payload nhúng bằng XOR 0xC7 rồi thả các tệp vào thư mục ẩn C:\sysconfigs, tên thư mục được đặt để giống một thư mục hệ thống hợp lệ.

Hai tệp chính được ghi ra đĩa là:

  • opakib.ps1 — payload PowerShell chính;
  • copa08o.js — trình khởi chạy JavaScript.

Đây là dấu hiệu quan trọng để nhóm vận hành phát hiện xâm nhập dựa trên đường dẫn và tên tệp bất thường trong môi trường Windows.

Scheduled task giả mạo và liên lạc Dropbox

File JavaScript sau đó được đăng ký thành một scheduled task có tên “Avast Secure Browser VPS Differential Update Ex”. Mục đích là giả mạo một quy trình cập nhật hợp lệ để duy trì thực thi dai dẳng.

Khi hoạt động, opakib.ps1 kết nối tới Dropbox API và dùng dịch vụ này như một kênh command-and-control. Nó thu thập các thông tin sau:

  • tên miền của máy;
  • tên người dùng;
  • phiên bản hệ điều hành;
  • địa chỉ IP công khai;
  • danh sách tiến trình đang chạy.

Dữ liệu được mã hóa bằng RC4Base64 trước khi tải lên Dropbox. Sau đó, kẻ tấn công có thể đặt một file lệnh tùy chỉnh vào kho lưu trữ, để mã độc tải xuống và thực thi âm thầm trên máy bị xâm nhập.

IOC của chiến dịch tấn công mạng

Các chỉ số nhận diện có thể dùng ngay trong hệ thống giám sát và IDS gồm:

  • Filename: White Life Science ERP Specification.lnk
  • MD5: 5c3bf036ab8aadddb2428d27f3917b86
  • SHA-1: e9c16aa2e322a65fc2621679ca8e7414ebcf89c0
  • SHA-256: d4c184f4389d710c8aefe296486d4d3e430da609d86fa6289a8cea9fde4a1166

Nhóm vận hành có thể đối chiếu các hash này với EDR, sandbox và nền tảng phát hiện tấn công để cô lập hệ thống nhiễm sớm.

Ảnh hưởng hệ thống và rủi ro bảo mật

Chiến dịch này đặc biệt nguy hiểm vì nhắm trực tiếp vào các tổ chức có dữ liệu nhạy cảm. Nếu kẻ tấn công thiết lập được chỗ đứng ban đầu, chúng có thể:

  • đánh cắp dữ liệu nghiên cứu nội bộ;
  • theo dõi trao đổi của nhân sự trong thời gian dài;
  • duy trì xâm nhập trái phép mà khó bị phát hiện;
  • ẩn lưu lượng điều khiển bên trong các kết nối Dropbox hợp lệ.

Đây là một dạng rủi ro an toàn thông tin điển hình khi hạ tầng doanh nghiệp không kiểm soát chặt file shortcut, PowerShell và scheduled task.

Biện pháp phát hiện xâm nhập và giảm thiểu

Để giảm nguy cơ bảo mật, hệ thống cần bật hiển thị phần mở rộng tệp trong Windows để người dùng không nhầm .lnk với .xlsx.

Cần giám sát và giới hạn việc chạy PowerShell từ đường dẫn SysWOW64, vì đây là điểm đáng chú ý trong tấn công mạng này.

Đội ngũ an ninh nên kiểm tra định kỳ Windows Scheduled Tasks để phát hiện các mục lạ, đặc biệt những tên tiến trình mô phỏng cập nhật hợp lệ. Đồng thời, cần gắn cờ các kết nối bất thường tới Dropbox API trong mạng nội bộ.

Tham khảo thêm tài liệu kỹ thuật về scheduled task trên Microsoft Learn: https://learn.microsoft.com/en-us/windows/win32/taskschd/task-scheduler-start-page.

Cuối cùng, việc đưa các hash IOC vào nền tảng EDR và hệ thống phát hiện xâm nhập sẽ giúp nhận diện nhanh các máy trạm bị ảnh hưởng, từ đó hỗ trợ cập nhật bản vá cấu hình và cô lập endpoint kịp thời.