Một chiến dịch spearphishing mới đã âm thầm nhắm mục tiêu vào các quan chức chính phủ, nhà nghiên cứu và nhân viên công nghệ tại Cộng hòa Séc và Đài Loan. Các nhà nghiên cứu bảo mật đã truy vết hoạt động này đến một tác nhân đe dọa có liên kết với Trung Quốc, với mẫu đầu tiên được ghi nhận xuất hiện từ Đài Loan vào tháng 3 năm 2026. Chiến dịch, có tên là Operation Dragon Weave, triển khai một chuỗi tấn công đa tầng tinh vi, cuối cùng thả một công cụ truy cập từ xa mạnh mẽ được thiết kế để hòa nhập liền mạch vào cơ sở hạ tầng đám mây đáng tin cậy.
Chi tiết chiến dịch Operation Dragon Weave
Cuộc tấn công bắt đầu bằng một kho lưu trữ ZIP được gửi qua email, chứa các tệp được thiết kế cẩn thận để trông giống như các liên lạc chính thức của chính phủ. Tên tệp được viết bằng tiếng Trung phồn thể và một tài liệu đánh lừa mô phỏng chặt chẽ thông báo bổ nhiệm chính thức từ Cơ quan An sinh Xã hội Séc, kèm theo ngày dự kiến và tham chiếu đến trang web chính thức của chính phủ. Mức độ chi tiết được nhúng trong các mồi nhử này cho thấy một chiến dịch gián điệp có mục tiêu, được tài trợ tốt và có chủ đích chống lại các khu vực cụ thể.
Phân tích kỹ thuật sâu hơn
Các nhà phân tích tại Seqrite, công ty bảo mật đã xác định và điều tra chiến dịch này, đã ghi nhận việc sử dụng hai đường dẫn phân phối riêng biệt trong cùng một kho lưu trữ. Bất kể đường dẫn nào mà nạn nhân chọn, một tệp shortcut độc hại hoặc một tệp thực thi được biên dịch bằng Rust, cuối cùng đều dẫn đến cùng một tải trọng cuối cùng. Seqrite cho biết trong một báo cáo được chia sẻ với Cyber Security News (CSN) rằng cuộc tấn công được cấu trúc sao cho mỗi thành phần âm thầm chuyển quyền kiểm soát cho thành phần tiếp theo mà không gây ra bất kỳ cảnh báo rõ ràng nào trên màn hình của nạn nhân.
Tải trọng RUSTCLOAK và mã hóa nhiều lớp
Sau khi chuỗi lây nhiễm hoàn tất, một bộ tải có tên RUSTCLOAK, được viết bằng Rust, sẽ tiếp quản và giải mã tải trọng cuối cùng thông qua quy trình ba lớp, bao gồm RC4 đã sửa đổi, giải mã Base64 và mã hóa AES-CBC. RUSTCLOAK cũng kiểm tra xem nó có đang chạy trong môi trường sandbox hay không bằng cách so sánh tên máy với danh sách hơn 100 tên hệ thống phân tích đã biết được mã hóa cứng, và sẽ thoát lặng lẽ nếu tìm thấy sự trùng khớp.
AZUREVEIL: Agent C2 tiên tiến
Tải trọng cuối cùng, AZUREVEIL, là một agent chỉ huy và kiểm soát (C2) Adaptix hoàn chỉnh, được biên dịch dưới dạng tệp DLL 64-bit. Thay vì giao tiếp với một máy chủ C2 truyền thống, nó định tuyến tất cả hoạt động thông qua Microsoft Azure Blob Storage, khiến lưu lượng truy cập của nó gần như không thể phân biệt được với việc sử dụng đám mây doanh nghiệp thông thường.
AZUREVEIL sử dụng phương pháp mà các nhà nghiên cứu gọi là dead-drop resolver, có nghĩa là kẻ tấn công và hệ thống bị lây nhiễm không bao giờ giao tiếp trực tiếp với nhau. Cả hai bên tương tác với cùng một vùng chứa lưu trữ Azure, nơi kẻ tấn công đặt các lệnh dưới dạng blob được mã hóa và thu thập kết quả từ vị trí được chia sẻ đó. Phương pháp này làm cho việc phát hiện ở cấp độ mạng trở nên khó khăn hơn đáng kể, vì tất cả lưu lượng truy cập xuất hiện dưới dạng hoạt động đám mây Azure thông thường đối với các công cụ giám sát bảo mật.
Khả năng và cấu hình của AZUREVEIL
Agent hỗ trợ 36 lệnh hậu khai thác, bao gồm các hoạt động tệp, thực thi shell, liệt kê tiến trình, chuyển tiếp cổng và chạy các tệp Beacon Object hoàn toàn trong bộ nhớ mà không chạm vào đĩa. AZUREVEIL phân giải khoảng 87 API Windows tại thời điểm chạy bằng phương pháp băm dựa trên djb2. Một token Shared Access Signature (SAS) được mã hóa cứng được tìm thấy bên trong cấu hình cấp quyền truy cập đọc, ghi và xóa đầy đủ, có hiệu lực từ tháng 3 năm 2026 đến tháng 3 năm 2027, cho thấy kẻ tấn công đã lên kế hoạch cho quyền truy cập kéo dài.
Các giai đoạn lây nhiễm
Quá trình lây nhiễm trải qua bốn giai đoạn, mỗi giai đoạn âm thầm bàn giao quyền kiểm soát cho giai đoạn tiếp theo. Giai đoạn một sử dụng một trong hai: một shortcut LNK độc hại hoặc một bộ thả dựa trên Rust. Giai đoạn hai liên quan đến một chuỗi VBScript và PowerShell giải mã và thả tệp nhị phân RuntimeBroker_update.exe. Giai đoạn ba kích hoạt RUSTCLOAK thông qua DLL sideloading bằng một tệp có tên UnityPlayer.dll. Giai đoạn bốn khởi chạy AZUREVEIL trực tiếp trong bộ nhớ, hầu như không để lại dấu vết nào trên đĩa cho các nhà điều tra tìm thấy.
Điểm yếu và khuyến nghị bảo mật
Một điểm yếu vận hành đáng chú ý cũng đã được phát hiện trong quá trình phân tích. Một đường dẫn xây dựng Rust chứa tên người dùng Windows “dell2” đã được để lại dưới dạng văn bản thuần trong tệp nhị phân RUSTCLOAK, điều này có thể hỗ trợ các nỗ lực truy nguyên trong tương lai. Các tổ chức nên giám sát lưu lượng HTTPS đi ra tới blob.core.windows.net để tìm các mẫu bất thường, thực thi các chính sách thực thi nghiêm ngặt cho PowerShell và VBScript, và vô hiệu hóa việc thực thi tệp LNK từ bên trong các kho lưu trữ nén.
Việc triển khai các công cụ phát hiện điểm cuối có khả năng xác định việc thực thi mã trong bộ nhớ cũng được khuyến nghị mạnh mẽ. Các cơ quan chính phủ và các tổ chức nghiên cứu nằm trong các khu vực nhạy cảm về địa chính trị nên áp dụng sự kiểm tra kỹ lưỡng đối với bất kỳ tệp đính kèm email bất ngờ nào nhận được. Việc cập nhật bản vá và các biện pháp phòng ngừa chủ động là rất quan trọng để đối phó với các mối đe dọa mạng ngày càng tinh vi.
Chỉ số xâm nhập (IoCs)
- Lưu ý: Địa chỉ IP và tên miền được làm mất dấu một cách có chủ ý (ví dụ: [.]) để ngăn chặn việc phân giải hoặc siêu liên kết ngẫu nhiên. Chỉ phục hồi dấu vết bên trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
