Một nhóm tin tặc khét tiếng đã nhắm mục tiêu các nhà đầu tư chứng khoán thông qua một cuộc tấn công chuỗi cung ứng, chiếm quyền điều khiển một nền tảng phần mềm đầu tư phổ biến để triển khai một backdoor mạnh mẽ. Cuộc tấn công này đánh dấu một sự thay đổi đáng chú ý trong chiến thuật của nhóm khi tập trung ngày càng nhiều vào các mục tiêu nội địa.
Phân tích Cuộc tấn công Chuỗi cung ứng Tinh vi
Cuộc tấn công nhắm vào FireAnt MetaKit, một công cụ phân phối dữ liệu thị trường chứng khoán được sử dụng rộng rãi. Kẻ tấn công đã xâm phạm máy chủ cập nhật của FireAnt MetaKit và thay thế các bản cập nhật phần mềm hợp pháp bằng một payload độc hại. Bản cập nhật bị trojan hóa này cuối cùng đã triển khai SPECTRALVIPER, một backdoor đặc trưng của nhóm.
Khoảng thời gian diễn ra cuộc tấn công, từ tháng 10 năm 2025 đến tháng 3 năm 2026, cũng mang ý nghĩa địa chính trị quan trọng. Các nhà chức trách Việt Nam đang tiến hành các cuộc điều tra tài chính sâu rộng sau những tiết lộ về việc khoảng 80 công ty lớn báo cáo sai lệch về việc bán trái phiếu, gây ra sự sụt giảm 5,5% trên chỉ số chứng khoán chính của quốc gia.
Các nhà nghiên cứu tin rằng nhóm tin tặc có thể đã hỗ trợ các nỗ lực điều tra nội địa này, hoạt động như một cánh tay kỹ thuật số của bộ máy giám sát nhà nước. Điều này cho thấy một chiến lược tấn công mạng có chủ đích và có định hướng.
Cơ chế Khai thác Lỗ hổng Chuỗi cung ứng
Cấu hình cập nhật của FireAnt MetaKit thiếu cơ chế xác thực tính toàn vẹn. Điều này có nghĩa là không có biện pháp nào được triển khai để xác minh xem phần mềm được cung cấp có phải là bản gốc hay không. Do đó, metakit.exe đã âm thầm thực thi trình tải xuống độc hại như một bản cập nhật thông thường.
Trình tải xuống này sau đó đã lập hồ sơ máy chủ và gửi dữ liệu đó đến một máy chủ trung gian để yêu cầu payload giai đoạn tiếp theo. Cơ sở hạ tầng của kẻ tấn công đã phát triển trong suốt chiến dịch. Các máy chủ chỉ huy và kiểm soát (C2) ban đầu sử dụng địa chỉ IP 139.162.11[.]152 trước khi chuyển sang 142.91.98[.]77.
SPECTRALVIPER sau đó được phân phối thông qua kỹ thuật DLL side-loading, sử dụng một tệp có tên DtlCrashCatch.dll cùng với một tệp thực thi được đổi tên gọi IntelAudioService.exe. Tệp này đã thực hiện việc tiêm backdoor vào tiến trình OneDrive.Sync.Service.exe.
Mặc dù các cuộc tấn công chuỗi cung ứng có phạm vi ảnh hưởng rộng lớn, chỉ một tập hợp nhỏ người dùng thực sự nhận được SPECTRALVIPER. Việc phân phối có chọn lọc này cho thấy kẻ tấn công nhắm vào các cá nhân cụ thể, có thể liên quan đến các cuộc điều tra chống tham nhũng và giám sát thị trường tài chính đang diễn ra tại Việt Nam. Mức độ chính xác này cho thấy kỷ luật hoạt động khiến nhóm này trở nên nguy hiểm.
SPECTRALVIPER: Backdoor Mạnh mẽ và Đa năng
SPECTRALVIPER hoạt động như một backdoor đầy đủ tính năng, giao tiếp với máy chủ chỉ huy và kiểm soát qua HTTPS. Nó gửi một tín hiệu ban đầu đến một URL được mã hóa cứng, nhúng thông tin máy chủ được mã hóa bên trong tiêu đề HTTP Cookie.
Trong chiến dịch này, backdoor đã sử dụng tên miền financemachinelearning[.]com, được tạo ra cẩn thận để hòa mình vào lưu lượng mạng liên quan đến hoạt động thị trường chứng khoán. Điều này giúp che giấu hoạt động độc hại khỏi các công cụ giám sát mạng.
Khả năng và Kỹ thuật Hoạt động
Malware hỗ trợ di chuyển ngang thông qua một mô hình điều phối, trong đó một phiên bản hoạt động như một bộ điều khiển và phân phối các lệnh đến các máy bị nhiễm khác thông qua các kênh named pipe. Điều này cho phép kẻ tấn công lan rộng sự kiểm soát trong mạng của nạn nhân.
SPECTRALVIPER cũng có khả năng tiêm các binary hoặc shellcode bổ sung nhận được từ máy chủ vào các tiến trình mục tiêu. Đáng chú ý, một sai sót trong bảo mật hoạt động đã để lại các tên lớp nội bộ còn nguyên vẹn trong một mẫu phân tích, cung cấp cho các nhà nghiên cứu một cái nhìn hiếm hoi về kiến trúc cơ bản của backdoor.
Các tổ chức sử dụng các công cụ đầu tư của bên thứ ba nên xác minh tính toàn vẹn của các bản cập nhật phần mềm mà họ nhận được, đặc biệt là khi các ứng dụng đó thiếu các giao thức cập nhật dựa trên HTTPS. Cơ chế cập nhật của FireAnt MetaKit không sử dụng mã hóa TLS, khiến nó dễ bị chặn.
Các bản cập nhật phần mềm không được ký và không được xác minh nên luôn được xem xét với sự thận trọng tương tự như các tệp đính kèm email đáng ngờ. Việc thiếu xác thực trong quá trình cập nhật là một lỗ hổng bảo mật nghiêm trọng có thể dẫn đến việc xâm nhập hệ thống.
Chỉ số Khai thác (IoCs)
Các chỉ số chính về một cuộc tấn công tiềm năng bao gồm:
- URL Cập nhật Độc hại:
http://metakit.fireant[.]vn/Software/setup.exe - Máy chủ C2 Ban đầu:
139.162.11[.]152 - Máy chủ C2 Thay thế:
142.91.98[.]77 - Tên Tệp DLL Độc hại:
DtlCrashCatch.dll - Tên Tệp Thực thi Đổi tên:
IntelAudioService.exe - Tiến trình Bị Tiêm:
OneDrive.Sync.Service.exe - Tên Miền C2:
financemachinelearning[.]com
Lưu ý: Các địa chỉ IP và tên miền được cung cấp ở định dạng defanged (ví dụ: [.]) để ngăn chặn việc phân giải hoặc liên kết ngoài ý muốn. Chỉ nên phục hồi định dạng gốc trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
Việc hiểu rõ các chỉ số này là cần thiết để phát hiện và ứng phó với các cuộc tấn công tương tự. Các biện pháp bảo mật mạng cần được tăng cường để đối phó với các mối đe dọa ngày càng tinh vi.
