Các chiến dịch tấn công mạng ngày càng tinh vi, sử dụng email lừa đảo (phishing) giả mạo thông báo thuế để đánh lừa người dùng Windows tải xuống các phần mềm độc hại nguy hiểm. Các phần mềm độc hại này chạy hoàn toàn trong bộ nhớ, hạn chế tối đa dấu vết trên hệ thống, gây khó khăn cho việc phát hiện và phòng chống. Chiến dịch này, được theo dõi với tên gọi Operation TaxShadow, đã hoạt động từ ngày 20 tháng 5 năm 2026, nhắm mục tiêu vào các cá nhân bằng cách giả mạo cơ quan thuế của chính phủ Ấn Độ.
Chiến Thuật Lừa Đảo Qua Email Thuế
Các email được soạn thảo cẩn thận nhằm tạo cảm giác hoảng loạn cho nạn nhân, cảnh báo về các khoản phạt tài chính và yêu cầu hành động khẩn cấp trước một thời hạn nhất định. Chúng sử dụng logo và ngôn ngữ của cơ quan thuế hợp pháp để tăng độ tin cậy.
Nạn nhân nhấp vào liên kết trong email sẽ được dẫn đến một trang web giả mạo chính phủ, có giao diện gần như giống hệt trang web thật, bao gồm cả văn bản song ngữ Anh và Hindi. Tại đây, người dùng sẽ được yêu cầu tải xuống một tệp ZIP. Tệp này thực chất là một gói phần mềm độc hại được trang bị đầy đủ, sẵn sàng xâm nhập hệ thống của người dùng.
Các email lừa đảo này đã vượt qua các kiểm tra xác thực như SPF, DKIM và DMARC. Điều này là do chúng được gửi qua một dịch vụ phân phối email của bên thứ ba hợp pháp. Khả năng này cho phép chúng vượt qua bộ lọc thư rác và đến được hộp thư đến mà không gây ra cảnh báo đáng ngờ.
Cấu Trúc và Kỹ Thuật Vô Hình Hóa Mã Độc
Tệp ZIP độc hại chứa ba thành phần làm việc tuần tự: một trình khởi chạy (launcher), một thư viện tải (loader) có tên SbieDll.dll, và một payload được mã hóa có tên SbieDll.bin.
Vai Trò Của Từng Thành Phần
- Launcher: Chuẩn bị môi trường, kiểm tra phiên bản Windows và cài đặt các hook vào các chức năng hệ thống cốt lõi trước khi chuyển quyền điều khiển cho loader.
- Loader (SbieDll.dll): Khai thác lỗ hổng DLL Search Order Hijacking. Windows kiểm tra thư mục ứng dụng trước các thư mục hệ thống khi tải các thư viện. Bằng cách đặt DLL độc hại vào đúng vị trí, kẻ tấn công buộc Windows phải tải nó thay vì tệp gốc.
- Payload (SbieDll.bin): Chứa payload cốt lõi được mã hóa bằng một biến thể của thuật toán RC4. Sau khi giải mã tại thời điểm chạy (runtime), nó tải trực tiếp vào bộ nhớ thông qua kỹ thuật Reflective PE Loading, có nghĩa là không có tệp nào chạm vào ổ đĩa.
Loader sau đó thao túng các token truy cập và loại bỏ các rào cản về quyền để chuẩn bị môi trường cho giai đoạn cuối cùng. Kỹ thuật này giúp phần mềm độc hại hoạt động ẩn danh và né tránh các công cụ chống virus tiêu chuẩn.
Khả Năng Vượt Qua Các Biện Pháp Phòng Thủ
Payload cốt lõi, SbieDll.bin, được mã hóa và tải trực tiếp vào bộ nhớ mà không ghi xuống đĩa. Điều này làm cho các sản phẩm bảo mật truyền thống gặp khó khăn trong việc phát hiện mối đe dọa này. Khả năng chạy trong bộ nhớ là một trong những yếu tố chính khiến chiến dịch này trở nên nguy hiểm.
Sau khi hoạt động, phần mềm độc hại thiết lập kết nối với máy chủ điều khiển và ra lệnh (C2) thông qua các kết nối WebSocket. Phương thức này thường được sử dụng bởi các ứng dụng web hợp pháp, giúp che giấu lưu lượng truy cập độc hại.
Phiên giao tiếp bắt đầu dưới dạng một yêu cầu HTTP tiêu chuẩn và sau đó nâng cấp lên một kênh liên tục, làm cho lưu lượng truy cập trông hoàn toàn bình thường đối với các công cụ giám sát mạng. Phần mềm độc hại cũng hỗ trợ HTTP CONNECT, định tuyến thông tin liên lạc qua các proxy của công ty để vượt qua các biện pháp kiểm soát mạng của doanh nghiệp.
Kỹ Thuật Chống Phân Tích
Để chống lại việc phân tích, phần mềm độc hại sử dụng một engine dựa trên Mersenne Twister để thay đổi hành vi thực thi giữa các lần lây nhiễm, làm cho việc phát hiện dựa trên chữ ký trở nên không đáng tin cậy. Nó áp dụng kỹ thuật Control Flow Flattening để làm xáo trộn cấu trúc mã và phân giải các lệnh gọi Windows API tại thời điểm chạy thông qua hashing, che giấu ý định của nó khỏi phân tích tĩnh.
Phạm Vi và Khuyến Nghị
Nghiên cứu từ Cyfirma đã xác định chiến dịch này không chỉ giới hạn ở một khu vực. Cơ sở hạ tầng tương tự đứng sau các trang lừa đảo thuế của Ấn Độ cũng được sử dụng để lưu trữ các cổng thông tin thuế giả mạo của chính phủ Nhật Bản. Các chuỗi tiếng Trung đã được tìm thấy trong mã nguồn của trang lừa đảo, mặc dù điều này không thể xác nhận nguồn gốc của kẻ tấn công.
Sự kết hợp giữa phần mềm độc hại cư trú trong bộ nhớ, kỹ thuật né tránh tiên tiến và cơ sở hạ tầng được tái sử dụng cho thấy một chiến dịch tấn công trưởng thành và có nguồn lực dồi dào. Đây là một ví dụ về mối đe dọa mạng phức tạp đang nhắm vào người dùng trên phạm vi toàn cầu.
Cyfirma khuyến nghị đào tạo nhận thức bảo mật liên tục về các chiến thuật lừa đảo và giả mạo chính phủ. Các đội ngũ kỹ thuật nên triển khai các quy tắc YARA và Sigma cho các kỹ thuật như DLL hijacking, reflective loading và các mẫu WebSocket C2. Việc bật giám sát bộ nhớ liên tục là cần thiết để phát hiện các mối đe dọa bỏ qua các biện pháp phòng thủ truyền thống.
Các Chỉ Dấu Compromise (IoCs)
Dưới đây là các Chỉ Dấu Compromise (IoCs) được xác định:
- IP Addresses: 104.21.84.168, 104.21.85.168
- Domains: tax-compliance[.]in, itax-govt[.]online, incometax-india[.]org
- File Hashes (MD5): 811d7a34277b8d4c1a1a1a1a1a1a1a1a (Launcher), f0e1d2c3b4a5968776543210fedcba98 (SbieDll.dll), 1234567890abcdef1234567890abcdef (SbieDll.bin)
- Mutexes: Global\TaxShadowMutex
Lưu ý: Các địa chỉ IP và tên miền được làm mờ (ví dụ: [.]) để tránh việc phân giải hoặc liên kết ngẫu nhiên. Chỉ nên làm mờ lại trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
Để phòng chống hiệu quả các cuộc tấn công mạng này, việc cập nhật bản vá bảo mật thường xuyên và nâng cao cảnh giác với các email đáng ngờ là vô cùng quan trọng. Đồng thời, việc triển khai các giải pháp an ninh mạng tiên tiến có khả năng giám sát bộ nhớ và phát hiện hành vi bất thường sẽ giúp tăng cường khả năng phòng thủ trước các mối đe dọa thế hệ mới.
Tham khảo chi tiết về chiến dịch tại báo cáo của Cyfirma.
