Tin tức bảo mật gần đây ghi nhận một chiến dịch phần mềm độc hại nhắm vào nhân viên chính phủ, sử dụng spear-phishing email được tạo thủ công để che giấu chuỗi phát tán và né tránh công cụ bảo vệ.
Chuỗi tấn công và kỹ thuật lừa đảo
Chiến dịch được gửi đến nhân sự thuộc Punjab Safe Cities Authority (PSCA) và PPIC3. Đối tượng tấn công mạo danh một tư vấn viên nội bộ và viện dẫn dự án “Safe Jail Project” để tăng độ tin cậy của email.
Cách tiếp cận này cho thấy chiến thuật dùng tên đơn vị quen thuộc để tạo cảm giác hợp lệ, từ đó tăng khả năng người dùng mở tệp đính kèm và kích hoạt mã độc.
Hai tệp độc hại được phát tán trong cùng một email:
- CAD Reprot.doc — tài liệu Word có lỗi chính tả cố ý.
- ANPR Reprot.pdf — tệp PDF hiển thị lỗi giả của Adobe Reader để dụ tải xuống tệp độc hại.
Cả hai tệp đều kéo payload từ cùng hạ tầng lưu trữ trên BunnyCDN, khiến lưu lượng khó bị bộ lọc an ninh mạng phát hiện.
Kết quả phân tích và mức độ nguy hiểm
Phân tích sandbox xác định toàn bộ chuỗi hành vi độc hại với độ tin cậy cao. Tệp Word bị chấm điểm 100/100 cho hành vi độc hại, trong khi tổng thể chiến dịch được đánh giá với mức 95% confidence.
Dấu hiệu phát hiện từ Suricata, Sigma, YARA, ReversingLabs và VirusTotal đều củng cố kết luận rằng đây là một chiến dịch có chủ đích nhằm duy trì truy cập từ xa bền vững trên máy bị xâm nhập.
Các mã phân tích liên quan gồm Web ID 1903908, 1903907 và 1903906, bao phủ từng giai đoạn từ email đến tệp PDF cuối cùng.
Tham chiếu thêm về phân tích threat intelligence có thể xem tại Joe Sandbox.
Kỹ thuật né phát hiện trong chiến dịch
Điểm kỹ thuật đáng chú ý nhất của chiến dịch là việc kết hợp nhiều lớp che giấu để vượt qua cơ chế phát hiện xâm nhập. Tệp Word sử dụng VBA stomping, trong đó mã macro hiển thị đã bị loại bỏ hoàn toàn, chỉ còn compiled p-code bên dưới.
Nhiều công cụ chống mã độc kiểm tra phần macro đọc được trong tài liệu Word, vì vậy khi phần hiển thị trống, logic độc hại có thể chạy mà không kích hoạt cảnh báo.
Ngay khi nạn nhân chọn “Enable Content”, hàm DownloadAndExfil được kích hoạt âm thầm ở nền.
Hàm này dùng đối tượng HTTP dựa trên COM để tải code.exe từ tên miền adobe-pdfreader.b-cdn.net và ghi xuống thư mục tạm của hệ thống bằng ADODB.Stream.
Chuỗi tải xuống qua PDF giả mạo
Tệp PDF đi theo nhánh tấn công khác. Khi người dùng bấm nút giả “Update PDF Reader”, hệ thống tự động tải xuống một unsigned .NET ClickOnce manifest giả danh phần mềm Adobe.
Hai nhánh này cùng trỏ về một hạ tầng, tạo thêm một cơ hội xâm nhập trái phép nếu một trong hai con đường vượt qua được cơ chế kiểm soát.
Chiến dịch này không khớp với bất kỳ họ mã độc phổ biến nào trong Malpedia, cho thấy bộ công cụ được xây dựng riêng cho mục tiêu cụ thể.
Hạ tầng điều khiển và dấu vết hành vi
Điểm đáng lưu ý trong cảnh báo CVE hay điều tra mối đe dọa mạng kiểu này là kênh điều khiển không dùng hạ tầng C2 truyền thống. Thay vào đó, tác nhân sử dụng VS Code tunnel service hợp lệ của Microsoft như một kênh command-and-control ẩn.
Khi code.exe được thả vào thư mục tạm và thực thi, lưu lượng sẽ đi qua hạ tầng của Microsoft, khiến kết nối trông giống hoạt động lập trình bình thường.
Đối tượng tấn công cũng dùng Discord webhooks để nhận thông báo tức thời mỗi khi một hệ thống bị xâm nhập. Cách này giúp giảm dấu vết trên lớp giám sát mạng truyền thống.
IOC và chỉ dấu cần theo dõi
- Tệp đính kèm Word: CAD Reprot.doc
- Tệp đính kèm PDF: ANPR Reprot.pdf
- Tên miền phân phối payload: adobe-pdfreader.b-cdn.net
- Hạ tầng lưu trữ: BunnyCDN
- Kênh điều khiển ẩn: Microsoft VS Code tunnel service
- Thông báo xâm nhập: Discord webhooks
- Web IDs: 1903908, 1903907, 1903906
Khuyến nghị phát hiện và giảm thiểu
Trong bối cảnh lỗ hổng CVE chưa phải yếu tố chính của chiến dịch này, trọng tâm phòng thủ cần đặt vào kiểm soát hành vi người dùng và giám sát lưu lượng bất thường. Môi trường doanh nghiệp nên coi mọi tài liệu yêu cầu bật macro hoặc cài cập nhật phần mềm là dấu hiệu rủi ro bảo mật.
Các biện pháp có thể áp dụng gồm:
- Chặn các domain CDN không nằm trong danh sách dịch vụ được phê duyệt.
- Theo dõi hoạt động bất thường của VS Code tunnel trên endpoint doanh nghiệp.
- Gắn cảnh báo với kết nối Discord webhook phát sinh từ ứng dụng không phải trình duyệt.
- Phát hiện macro có dấu hiệu VBA stomping trong tài liệu Office.
- Kiểm tra các file tải về vào thư mục tạm, đặc biệt là code.exe và manifest .NET ClickOnce không ký số.
Với các tệp Word và PDF được ngụy trang tốt, việc kiểm tra chuỗi tải xuống, hành vi thực thi và kết nối ra ngoài sẽ hiệu quả hơn so với chỉ dựa vào chữ ký tĩnh. Đây là điểm quan trọng trong phát hiện tấn công và giảm rủi ro an toàn thông tin ở lớp endpoint.
Tham khảo thêm các chỉ số và mô tả kỹ thuật trên NVD để đối chiếu theo dõi khi cần chuẩn hóa dữ liệu sự cố và kiểm tra liên hệ với cảnh báo CVE khác trong môi trường.
