Một chiến dịch phối hợp quy mô lớn, mang tên Operation Endgame, đã giáng một đòn chí mạng vào hệ sinh thái tội phạm mạng, làm tê liệt hoạt động của ba loại mã độc nguy hiểm: StealC, Amadey và SocGholish. Đây là những công cụ phổ biến trong chuỗi cung ứng tội phạm mạng dưới mô hình “crime-as-a-service”.
Chiến dịch Tái cấu trúc Hạ tầng Tội phạm Mạng
Chiến dịch Operation Endgame, với sự tham gia của lực lượng hành pháp từ nhiều quốc gia, tập trung vào việc phá vỡ cơ sở hạ tầng cốt lõi, vốn là nền tảng cho việc triển khai ransomware, đánh cắp thông tin đăng nhập và thực hiện các hoạt động gian lận tài chính quy mô lớn. Đây là một bước tiến chiến lược trong cách tiếp cận của cơ quan thực thi pháp luật đối với tội phạm mạng, chuyển trọng tâm từ việc truy quét các tác nhân riêng lẻ sang việc vô hiệu hóa các hạ tầng hỗ trợ các cuộc tấn công trên quy mô toàn cầu.
Thành phần Tham gia và Mục tiêu Chính
Cuộc hành quân kéo dài hai tuần này có sự góp mặt của các cơ quan thực thi pháp luật từ Canada, Đan Mạch, Đức, Hà Lan, Vương quốc Anh và Hoa Kỳ. Bên cạnh đó, Europol, Eurojust và các đối tác trong khu vực tư nhân như Microsoft, Proofpoint, IBM X-Force, Bitdefender và Shadowserver cũng đóng vai trò quan trọng. Mục tiêu chính là làm suy yếu chuỗi cung ứng “cybercrime-as-a-service” đang hỗ trợ các cuộc tấn công mạng trên phạm vi toàn cầu.
Phân tích Chuyên sâu về các Mã độc Bị Vô hiệu hóa
Chiến dịch đã nhắm mục tiêu cụ thể vào ba họ mã độc chính, mỗi loại đều đóng góp vào bức tranh tổng thể của các mối đe dọa mạng hiện đại.
StealC: Kẻ Đánh cắp Thông tin Đăng nhập Tinh vi
StealC được phân loại là một infostealer với chức năng dropper. Mã độc này được phân phối thông qua nhiều vectơ tấn công khác nhau, được thiết kế để bí mật trích xuất mật khẩu, thông tin đăng nhập lưu trữ, token phiên và danh tính số từ các hệ thống bị xâm nhập. Dữ liệu bị đánh cắp sau đó được chuyển trực tiếp đến các chợ đen trên mạng ngầm, phục vụ cho mục đích gian lận và tái bán.
Dữ liệu về các hệ thống bị xâm nhập bởi StealC và các mã độc liên quan có thể được theo dõi thông qua các báo cáo threat intelligence từ các nhà cung cấp uy tín.
Amadey: Cửa Ngõ Ban Đầu Cho Các Cuộc Tấn công
Amadey hoạt động chủ yếu như một dropper/loader, thường được phát tán thông qua các chiến dịch lừa đảo (phishing). Amadey thiết lập sự hiện diện ban đầu trên thiết bị của nạn nhân, tạo điều kiện cho các hoạt động độc hại khác được thực hiện.
Theo thông tin từ Microsoft, chỉ trong hai tuần đầu tiên của tháng 5 năm 2026, Amadey và StealC đã liên quan đến hơn 140.000 máy tính bị nhiễm trên toàn thế giới. Sự kết hợp giữa Amadey và StealC tạo thành một mắt xích quan trọng trong chuỗi cung ứng tội phạm mạng, nơi Amadey đảm bảo việc xâm nhập ban đầu và StealC thực hiện việc thu thập thông tin nhạy cảm.
SocGholish: Mã Độc Phân phối qua Cập nhật Giả mạo
SocGholish, một loại dropper/loader khác, được phân phối thông qua các cửa sổ pop-up giả mạo yêu cầu cập nhật trình duyệt trên các trang WordPress bị xâm nhập. Mã độc này được cho là có liên quan đến một nhóm tội phạm mạng nổi tiếng, trước đây đã từng chịu trách nhiệm cho các mã độc như Zeus và Dridex, và có liên kết với nhiều hoạt động ransomware và rửa tiền.
Để đối phó với mối đe dọa SocGholish, người dùng cần tránh nhấp vào các thông báo cập nhật trình duyệt bất ngờ. Việc cập nhật chỉ nên được thực hiện thông qua cài đặt hệ thống chính thức hoặc các cửa hàng ứng dụng đã được xác minh.
Hành động Thực thi và Khuyến nghị Bảo mật
Cảnh sát Hà Lan đã nhanh chóng vá các lỗ hổng trên các trang web bị nhiễm và thông báo cho các chủ sở hữu bị ảnh hưởng. Các quản trị viên WordPress được khuyến cáo thực hiện ngay các biện pháp sau:
- Thay đổi ngay lập tức thông tin đăng nhập quản trị.
- Kích hoạt xác thực đa yếu tố (MFA).
- Kiểm tra và xóa các tài khoản quản trị không xác định.
- Luôn cập nhật nền tảng WordPress lên phiên bản mới nhất.
Europol’s European Cybercrime Center (EC3) đã cung cấp hỗ trợ phân tích, theo dõi tiền điện tử và thông báo cho nạn nhân thông qua các nền tảng như HaveIBeenPwned, Spamhaus và Shadowserver. Lực lượng Đặc nhiệm Hành động Tội phạm Mạng Chung (J-CAT) đã điều phối các cuộc điều tra quốc gia dưới một khuôn khổ thống nhất.
Thông báo Nạn nhân và Hỗ trợ Cộng đồng
Việc thông báo cho các nạn nhân đang được triển khai thông qua nhiều kênh khác nhau, bao gồm HaveIBeenPwned, DIVD, Spamhaus, CheckjeHack, NoMoreLeaks, Shadowserver và NL-NCSC. Điều này giúp các tổ chức và cá nhân bị ảnh hưởng nhận biết và có biện pháp khắc phục kịp thời.
Operation Endgame được ghi nhận là hoạt động quốc tế lớn nhất từng được thực hiện nhằm vào các tác nhân hỗ trợ ransomware, với sự tham gia tích cực của hơn 30 đối tác công và tư, đồng thời hỗ trợ các hành động tiếp theo.
Để có thêm thông tin chi tiết về các lỗ hổng CVE và các hoạt động bảo mật mới nhất, độc giả có thể tham khảo các nguồn tin cậy như CISA Alerts.
