Tin bảo mật mới nhất ghi nhận chiến dịch xâm nhập của Seedworm, còn được theo dõi với tên MuddyWater, đã mở rộng quy mô nhắm mục tiêu vào nhiều tổ chức trên nhiều khu vực trong quý 1 năm 2026. Đây là một mối đe dọa mạng đáng chú ý vì chiến dịch tập trung vào đánh cắp dữ liệu và chiếm đoạt thông tin xác thực thay vì gây ồn ào ở giai đoạn đầu.
Tổng quan chiến dịch
Theo phân tích được công bố bởi Symantec’s Threat Hunter Team, nhóm này đã nhắm tới ít nhất 9 tổ chức ở 9 quốc gia trên 4 châu lục. Danh sách mục tiêu trải rộng qua sản xuất công nghiệp, điện tử, giáo dục, cơ quan chính phủ, dịch vụ tài chính và cả một sân bay quốc tế ở Trung Đông.
Tham khảo nguồn phân tích gốc tại: Symantec Threat Intelligence.
Điểm đáng chú ý của chiến dịch này là cách Seedworm di chuyển trong mạng nội bộ. Nhóm không dùng kỹ thuật gây nhiễu rõ rệt mà phối hợp nhiều công cụ và bước trung gian để duy trì hiện diện, thu thập dữ liệu, rồi rút ra ngoài qua các kênh khó phát hiện hơn. Đây là đặc trưng của một cuộc tấn công mạng có kỷ luật vận hành cao.
Kỹ thuật DLL sideloading trong chiến dịch
Kỹ thuật trung tâm của chiến dịch là DLL sideloading. Kẻ tấn công đặt cạnh nhau một file thực thi hợp lệ đã ký số và một DLL độc hại được thiết kế để bị tải lén khi chương trình hợp lệ chạy. Cách làm này giúp lưu lượng và hành vi ban đầu trông giống ứng dụng bình thường, từ đó gây khó cho cơ chế phát hiện dựa trên chữ ký hoặc đường dẫn.
Hai cặp file được ghi nhận gồm:
- fmapp.exe – tiện ích audio-driver hợp lệ.
- fmapp.dll – DLL độc hại được nạp bởi tiến trình hợp lệ.
- sentinelmemoryscanner.exe – thành phần hợp lệ từ một sản phẩm bảo mật.
- sentinelagentcore.dll – DLL độc hại đi kèm để sideload.
Việc lạm dụng các binary đã ký khiến chuỗi thực thi có vẻ hợp pháp ở bề mặt, đặc biệt khi telemetry chỉ nhìn thấy tiến trình mẹ là file chính thống. Đây là lý do phát hiện tấn công dựa vào hành vi tiến trình cha-con, module load và dấu vết thực thi trở nên quan trọng.
Tiến trình thực thi và dấu hiệu liên quan
Trong mọi trường hợp quan sát được, tiến trình cha khởi chạy các file này là node.exe. Điều này cho thấy một script Node.js đang điều phối toàn bộ chuỗi sideloading thay vì thao tác thủ công. Với môi trường giám sát EDR hoặc SIEM, chuỗi tiến trình bất thường có thể là một IOC quan trọng cho phát hiện xâm nhập.
Các dấu hiệu kỹ thuật cần theo dõi:
- Tiến trình node.exe tạo chuỗi con bất thường.
- DLL được tải từ thư mục không chuẩn trong hệ thống.
- Binary đã ký nhưng sinh hành vi tải module khác thường.
- PowerShell truy cập nội dung từ máy chủ staging bên ngoài.
Hành vi sau xâm nhập và đánh cắp dữ liệu
Sau khi vào được mạng nội bộ, nhóm tấn công nhanh chóng thực hiện thu thập thông tin xác thực và mở rộng quyền truy cập. Registry được chỉnh sửa để chuỗi loader tự khởi chạy khi người dùng đăng nhập lại, giúp duy trì foothold mà không cần tái xâm nhập từ đầu.
Nhóm cũng trích xuất các hive của Windows Registry chứa hash mật khẩu. Dữ liệu này có thể dùng cho cracking ngoại tuyến và hỗ trợ di chuyển ngang trong mạng. Đây là bước đi trực tiếp nhằm tăng khả năng chiếm quyền điều khiển các hệ thống liên quan.
Nhiều công cụ đánh cắp thông tin xác thực được triển khai liên tiếp để dự phòng khi một phương pháp bị chặn. Một công cụ tạo cửa sổ đăng nhập giả của Windows để thu mật khẩu và lưu ra file văn bản thuần. Một công cụ khác tự động trích xuất Kerberos ticket mà không cần mật khẩu của quản trị miền.
Tool liên quan
Các DLL độc hại mang theo ChromElevator, một công cụ hậu khai thác có khả năng lấy mật khẩu, cookie và dữ liệu thẻ thanh toán từ trình duyệt dựa trên Chromium. Đây là dấu hiệu cho thấy chiến dịch không chỉ dừng ở việc vào mạng mà còn hướng mạnh đến rò rỉ dữ liệu và đánh cắp thông tin xác thực.
Kênh exfiltration và che giấu lưu lượng
Để đẩy dữ liệu ra ngoài, nhóm dùng sendit[.]sh, một dịch vụ chuyển file công khai. Việc đi qua nền tảng cloud tiêu dùng giúp lưu lượng độc hại hòa lẫn với hoạt động internet thông thường, làm khó các bộ lọc chỉ dựa trên tên miền hay danh mục dịch vụ.
Trong bối cảnh giám sát an toàn thông tin, đây là kiểu hành vi cần được theo dõi tại lớp proxy, DNS, CASB và endpoint. Các tổ chức nên kiểm tra mọi lần truyền file bất thường ra ngoài từ thư mục nhạy cảm và phát hiện các đường dẫn xuất dữ liệu không chuẩn.
IOC và dấu vết cần chú ý
Phần nội dung gốc không liệt kê đầy đủ IP hay hash cụ thể, nhưng có một số IOC ở mức kỹ thuật vận hành như sau:
- Process tree: node.exe khởi chạy chuỗi sideloading.
- Legitimate binary: fmapp.exe, sentinelmemoryscanner.exe.
- Malicious DLL: fmapp.dll, sentinelagentcore.dll.
- Exfiltration service: sendit[.]sh.
- Credential theft tool: ChromElevator.
Do IOC IP và domain đã được làm mờ trong nguồn gốc, việc re-fang chỉ nên thực hiện trong môi trường kiểm soát như MISP, VirusTotal hoặc SIEM nội bộ.
Khuyến nghị phát hiện xâm nhập
Để giảm rủi ro bảo mật từ kiểu tấn công này, cần chú ý đến các tín hiệu thực thi không bình thường thay vì chỉ dựa vào danh tiếng file. Giám sát IDS và EDR nên ưu tiên quan sát hành vi nạp DLL, cây tiến trình và hoạt động đăng nhập tự động.
Một số điểm cần kiểm tra thường xuyên:
- Module load từ thư mục người dùng hoặc vị trí tạm.
- Run keys trong Registry để phát hiện persistence.
- Lưu lượng ra ngoài tới dịch vụ chia sẻ file công khai.
- PowerShell tải nội dung từ server staging không xác định.
- Tiến trình hợp lệ nhưng sinh hành vi ngoài mô hình thông thường.
Trong môi trường Windows, việc rà soát registry persistence và cập nhật rule phát hiện cho EDR có thể giảm đáng kể thời gian tồn tại của mối đe dọa trong hệ thống. Với chiến dịch như vậy, cập nhật bản vá và kiểm soát ứng dụng hợp lệ bị lạm dụng là yếu tố then chốt cho an ninh mạng.
Liên hệ với nguồn tham chiếu kỹ thuật
Để đối chiếu thêm về các quan sát phân tích, có thể tham khảo tài liệu công khai từ Symantec và các nguồn cảnh báo kỹ thuật liên quan. Các nguồn này hữu ích cho việc dựng rule phát hiện, truy vấn SIEM và đối chiếu hành vi trong môi trường thực tế.
Tham khảo thêm tại NVD: NVD – National Vulnerability Database.
Bài phân tích gốc nhấn mạnh rằng chiến dịch này không chỉ dựa vào một kỹ thuật đơn lẻ. Seedworm kết hợp binary đã ký, DLL độc hại, script Node.js, persistence qua registry và exfiltration qua dịch vụ công khai để duy trì hoạt động lâu dài mà vẫn giảm khả năng bị phát hiện.
