Tin tức bảo mật: Phishing giả mạo sự kiện nguy hiểm

07/05/2026
5 mins read
Tin tức bảo mật: Phishing giả mạo sự kiện nguy hiểm

Tin tức bảo mật về chiến dịch phishing quy mô lớn này cho thấy kẻ tấn công đang lợi dụng lời mời sự kiện giả mạo để đánh cắp thông tin đăng nhập, mã OTP và triển khai công cụ quản trị từ xa trên thiết bị nạn nhân.

Nội dung
Chiến dịch phishing dùng lời mời sự kiện giả mạo
Cách thức hoạt động của cuộc tấn công mạng
Lựa chọn công cụ quản trị từ xa để né phát hiện
Phạm vi, thời gian và xu hướng triển khai
Chuỗi yêu cầu và dấu hiệu nhận diện
Luồng đánh cắp thông tin đăng nhập
Luồng phân phối công cụ quản trị từ xa
IOC và dấu hiệu cần theo dõi
Khuyến nghị phân tích và săn tìm
Điểm cần giám sát trong hạ tầng

Chiến dịch phishing dùng lời mời sự kiện giả mạo

Chiến dịch này nhắm vào nhiều tổ chức bằng cách gửi liên kết có vẻ hợp lệ, đóng vai trò như một lời mời tham dự sự kiện hoặc buổi gặp mặt. Thay vì đính kèm tệp đáng ngờ hay đường dẫn lừa đảo lộ liễu, email ban đầu được thiết kế để trông bình thường hơn.

Sau khi người dùng nhấp vào liên kết, họ được chuyển qua trang có kiểm tra CAPTCHA, thường qua Cloudflare, rồi đến trang sự kiện được dàn dựng rất giống thật. Mục tiêu của tin tức bảo mật này là cho thấy cách chuỗi tấn công được che giấu ngay từ các bước đầu tiên.

Cách thức hoạt động của cuộc tấn công mạng

Ở nhánh đánh cắp thông tin, trang giả hiển thị biểu mẫu đăng nhập email. Nếu người dùng chọn Google, họ bị chuyển hướng sang form ủy quyền giả mạo giống Google. Thông tin đăng nhập được gửi qua yêu cầu POST tới các endpoint như /pass.php/mlog.php.

Với các dịch vụ khác, trang thu thập email và mật khẩu, sau đó cố tình hiển thị thông báo “Incorrect Password” để buộc nạn nhân nhập lại. Cách này giúp kẻ tấn công lấy được cả hai lần nhập và tăng xác suất thu được dữ liệu hợp lệ.

Khi người dùng nhập mã OTP, mã này cũng được chuyển tiếp âm thầm về phía kẻ tấn công. Đây là dấu hiệu điển hình của một mối đe dọa mạng nhắm vào xác thực đa yếu tố bằng cách chặn và tái sử dụng mã xác minh.

Lựa chọn công cụ quản trị từ xa để né phát hiện

Ở nhánh thứ hai, trang lời mời sự kiện giả có thể kích hoạt tải xuống công cụ quản trị từ xa hợp lệ như ScreenConnect, ITarian, Datto RMM, ConnectWise hoặc LogMeIn Rescue. Một số trang hiển thị nút tải xuống, số khác tự động bắt đầu tải mà không cần thao tác tiếp theo.

Vì đây là các công cụ hợp pháp và phổ biến, phần mềm bảo mật có thể không coi việc cài đặt là hành vi nguy hiểm ngay lập tức. Điều này khiến hệ thống bị xâm nhập ở trạng thái rất dễ bị bỏ qua nếu chỉ dựa vào kiểm tra bề mặt.

Trong bối cảnh tin tức an ninh mạng, mô hình này đáng chú ý vì nó kết hợp social engineering với việc triển khai phần mềm hợp lệ để giảm tín hiệu cảnh báo.

Phạm vi, thời gian và xu hướng triển khai

Phân tích cho thấy chiến dịch được phát hiện vào ngày 22/04/2026 khi các nhà phân tích ghi nhận hoạt động nhắm vào thông tin đăng nhập dịch vụ email, đồng thời có trường hợp phân phối phần mềm quản trị từ xa.

Đến ngày 27/04, gần 160 liên kết đáng ngờ đã được gửi lên sandbox, và khoảng 80 tên miền phishing đã được nhận diện. Phần lớn tên miền được đăng ký dưới miền .de, bắt đầu từ tháng 12/2025.

Các lĩnh vực bị ảnh hưởng nhiều gồm Education, Banking, Government, TechnologyHealthcare. Đây là những môi trường phụ thuộc mạnh vào email và công cụ điều khiển từ xa, nên chỉ một tài khoản bị lộ cũng có thể mở rộng tác động sang nhiều hệ thống khác.

Chuỗi yêu cầu và dấu hiệu nhận diện

Chiến dịch này có cấu trúc request khá nhất quán, giúp hỗ trợ phát hiện xâm nhập sớm thông qua hunting hoặc threat intelligence.

  • GET tới root của trang.
  • Yêu cầu tới /favicon.ico.
  • Yêu cầu tới /blocked.html.
  • Yêu cầu tới đường dẫn ảnh dạng /Image/*.png.

Các tổ chức có thể dùng chuỗi truy vấn sau trong nền tảng phân tích để tìm domain liên quan:

url:"/blocked.html" AND url:"/favicon.ico" AND url:"/Image/*.png"

Đây là một mẫu phù hợp cho threat intelligence khi cần nối kết các domain cùng hạ tầng, đặc biệt trong giai đoạn chiến dịch chưa gây ra sự cố lớn.

Chi tiết nền tảng phân tích từ bên thứ ba có thể tham khảo thêm tại ANY.RUN cybersecurity blog.

Luồng đánh cắp thông tin đăng nhập

Trong biến thể thu thập thông tin, người dùng được dẫn tới một trang đăng nhập giả của dịch vụ email. Sau khi chọn nhà cung cấp, họ thấy form ủy quyền hoặc form đăng nhập có giao diện rất giống thật.

Với Google, dữ liệu được gửi đi ngay khi người dùng submit biểu mẫu. Với các dịch vụ còn lại, trang chủ động tạo lỗi “Incorrect Password” để ép nhập lại, từ đó thu được nhiều hơn một bộ thông tin.

Nếu nạn nhân tiếp tục nhập mã OTP, mã đó cũng bị chuyển đi. Về mặt kỹ thuật, đây là một dạng rủi ro bảo mật liên quan đến chiếm đoạt session và vượt qua lớp xác thực nhiều yếu tố bằng lừa đảo thời gian thực.

Luồng phân phối công cụ quản trị từ xa

Trong biến thể còn lại, trang đích được dùng như một điểm trung gian để phát tán phần mềm remote management. Tên công cụ thường là các giải pháp quản trị hợp pháp, làm cho hoạt động tải xuống ít gây chú ý hơn so với một payload độc hại thông thường.

Hành vi này có thể dẫn đến remote code execution ở mức vận hành nếu kẻ tấn công có được quyền truy cập hợp lệ vào máy nạn nhân sau khi công cụ được cài đặt và cấu hình.

Với góc nhìn an toàn thông tin, rủi ro chính nằm ở việc công cụ hợp lệ bị lạm dụng trong một cuộc tấn công mạng, khiến quá trình phát hiện dựa trên chữ ký trở nên khó khăn hơn.

IOC và dấu hiệu cần theo dõi

Indicators of Compromise trong nội dung gốc chủ yếu là hành vi và đường dẫn hạ tầng hơn là IP hoặc hash cụ thể. Do vậy, IOC nên được trích xuất theo mẫu:

  • Đường dẫn POST: /pass.php
  • Đường dẫn POST: /mlog.php
  • Đường dẫn tài nguyên: /blocked.html
  • Đường dẫn tài nguyên: /favicon.ico
  • Mẫu ảnh: /Image/*.png
  • Hành vi: CAPTCHA trước nội dung giả mạo
  • Hành vi: thu thập OTP qua form giả
  • Hành vi: tải công cụ quản trị từ xa hợp lệ

Do IOC trong nội dung được chia sẻ ở trạng thái defang, việc xử lý chỉ nên thực hiện trong môi trường phân tích hoặc nền tảng IDS và SIEM phù hợp.

Khuyến nghị phân tích và săn tìm

Khi điều tra, nên ưu tiên quan sát toàn bộ chuỗi truy cập của liên kết trong sandbox thay vì chỉ đánh giá trang đích. Cách này giúp phân biệt nhanh giữa trang mời sự kiện giả, form thu thập credentials và trang phân phối công cụ remote management.

Việc phân tích trong môi trường cách ly giúp đội ngũ phát hiện tấn công sớm hơn trước khi credentials bị dùng lại hoặc công cụ từ xa tạo foothold trên máy trạm.

Để đối chiếu các domain liên quan và hành vi tương tự, có thể tham khảo thêm nguồn chính thống về phát hiện lỗ hổng và cảnh báo kỹ thuật tại NVD – National Vulnerability Database, đặc biệt khi tích hợp thông tin sự cố vào quy trình threat intelligence.

Điểm cần giám sát trong hạ tầng

  • Lưu lượng đến các domain mới đăng ký trong cùng giai đoạn.
  • Chuỗi request có /favicon.ico, /blocked.html/Image/*.png.
  • Yêu cầu POST tới /pass.php hoặc /mlog.php.
  • Hoạt động tải xuống hoặc cài đặt công cụ remote management bất thường.
  • Đăng nhập email thất bại lặp lại sau khi người dùng nhập lại mật khẩu và OTP.

Trong các kịch bản tin bảo mật mới nhất như vậy, việc kết hợp IOC hành vi và chuỗi request sẽ hiệu quả hơn chỉ dựa vào tên miền đơn lẻ.