TAX#TRIDENT là một chiến dịch tin tức bảo mật nhắm vào người dùng Windows bằng cách ngụy trang tệp độc hại thành tài liệu thuế thu nhập chính thức của Ấn Độ. Chiến dịch này không dựa trên lỗ hổng CVE, mà khai thác niềm tin của nạn nhân vào tài liệu giả mạo để kích hoạt chuỗi lây nhiễm.
Chiến dịch lừa đảo bằng tài liệu thuế giả
Nhóm nghiên cứu theo dõi hoạt động này dưới tên TAX#TRIDENT. Điểm đáng chú ý của chiến dịch là khả năng thay đổi nhiều đường phát tán nhưng vẫn giữ nguyên mồi nhử thuế nhất quán. Điều này khiến nguy cơ bảo mật tăng cao, vì nạn nhân có thể đến từ các vai trò tài chính, pháp lý, nhân sự hoặc điều hành.
Trang giả mạo được thiết kế giống trang tra cứu thuế, kèm nút tải xuống một thông báo có vẻ hợp lệ. Khi người dùng bấm tải, tệp độc hại được phát tán dưới dạng tài liệu chính phủ. Một trong các điểm truy cập được ghi nhận là miền giả mạo zyisykm.shop.
Phạm vi và đặc điểm kỹ thuật
Điều làm chiến dịch này khó bị chặn là việc nó sử dụng phần mềm đã ký số và nhìn có vẻ hợp lệ thay vì các tệp độc hại lộ liễu. Hai trong ba nhánh kết thúc bằng một client quản trị từ xa có chữ ký số tên ClientSetup, cho phép kẻ tấn công duy trì truy cập lâu dài vào máy bị xâm nhập.
Nhánh thứ ba không dùng ClientSetup mà bí mật đăng ký thiết bị nạn nhân vào một tác nhân ManageEngine UEMS hợp lệ, nhưng trỏ về máy chủ do kẻ tấn công kiểm soát. Cách làm này làm giảm hiệu quả của các công cụ chỉ dựa trên chữ ký tệp.
Ba chuỗi lây nhiễm trong TAX#TRIDENT
Theo báo cáo của Securonix Threat Research, chiến dịch có ba chuỗi lây nhiễm riêng biệt. Cả ba đều bắt đầu từ cùng một chủ đề thuế giả, sau đó tách thành các đường thực thi khác nhau để tăng khả năng sống sót khi một nhánh bị chặn.
Từ khóa SEO: cảnh báo CVE không phù hợp ở đây vì không có CVE cụ thể; thay vào đó, nội dung thuộc nhóm mối đe dọa mạng và an ninh mạng dựa trên kỹ thuật lừa đảo.
Nhánh 1: ZIP giả mạo chứa bộ cài ClientSetup
Người dùng tải xuống một tệp ZIP có tên Assessment Letter.zip. Bên trong là một file thực thi Windows đã được ký số, có nhiệm vụ cài đặt một client quản trị từ xa đầy đủ.
Kẻ tấn công nhúng luôn địa chỉ máy chủ vào tên file, để bộ cài tự đọc tên của chính nó và ghi giá trị đó vào cấu hình cục bộ. Sau khi thực thi, bộ cài tạo một thư mục ẩn trong thư mục hệ thống Windows, rồi thả một bản sao giả mạo của svchost.exe cùng các driver có tên YtMiniFilter và ytdisk.
Nhánh 2: VBScript và cùng một payload
Đường tấn công thứ hai sử dụng file VBScript tên Assessment_Order.vbs, được phân phối qua nhiều miền giả mạo khác nhau. Script này tự khởi chạy lại một cách im lặng, hiển thị ảnh mồi nhử liên quan đến thuế, sau đó cài đặt cùng payload ClientSetup trong nền.
Điểm quan trọng là dù khác miền và khác giá trị máy chủ, hai file thực thi vẫn có cùng SHA256 hash. Điều này xác nhận cùng một payload lõi được dùng lại giữa các chuỗi lây nhiễm.
Nhánh 3: Tác nhân UEMS hợp lệ bị chuyển hướng
Nhánh thứ ba bỏ qua ClientSetup và chuyển sang một URL có vẻ là PHP tại xhxz.info/download.php. URL này trả về VBScript thay vì trang web thông thường, sau đó kéo các file tiếp theo từ các bucket Amazon S3.
Một file tên uacMC.png thực chất không phải ảnh mà là script dùng để hạ thấp thiết lập UAC, loại bỏ các lời nhắc nâng quyền trước khi payload cuối cùng chạy. Chuỗi này tải xuống toàn bộ agent ManageEngine UEMS và cài đặt lặng lẽ, không hiển thị giao diện.
File cấu hình DCAgentServerInfo.json trỏ agent hợp lệ đến máy chủ của kẻ tấn công tại 202.61.160.201 trên cổng 8383. Agent vẫn được ký số và hợp lệ, nhưng đích kết nối đã bị chiếm quyền điều khiển, biến một công cụ quản trị tin cậy thành kênh truy cập từ xa bí mật.
Dấu hiệu phát hiện và chỉ báo hành vi
Chiến dịch này cho thấy trọng tâm phát hiện phải dựa vào hành vi thay vì chỉ nhìn vào tên miền hoặc hash. Đặc biệt, các công cụ phòng thủ nên chú ý đến những dấu hiệu sau trong bối cảnh lỗ hổng zero-day không phải nguyên nhân tấn công:
- Tên file chứa địa chỉ IP.
- Thư mục ẩn được tạo trong đường dẫn hệ thống Windows.
- svchost.exe chạy từ vị trí không chuẩn.
- Lưu lượng ra ngoài trên các cổng 6671, 6681 và 6683.
- Script engine xử lý file có phần mở rộng kiểu web.
- Thay đổi chính sách UAC khi ConsentPromptBehaviorAdmin được đặt về 0.
IOC cần theo dõi
Các chỉ báo dưới đây được trích xuất trực tiếp từ mô tả chiến dịch. Khi đưa vào hệ thống threat intelligence, cần re-fang theo môi trường kiểm soát để tránh phân giải nhầm.
- zyisykm[.]shop
- xhxz[.]info/download[.]php
- 202[.]61[.]160[.]201
- Assessment Letter.zip
- Assessment_Order.vbs
- uacMC.png
- DCAgentServerInfo.json
- ClientSetup
- YtMiniFilter
- ytdisk
Khuyến nghị giám sát và phản ứng
Đội ngũ an toàn thông tin cần ưu tiên phát hiện tệp script chạy từ nguồn không rõ, đặc biệt khi đi kèm giao diện giả dạng tài liệu thuế hoặc thông báo chính phủ. Việc chặn theo danh sách miền hay tên file đơn lẻ sẽ kém hiệu quả vì chiến dịch này liên tục thay đổi hạ tầng trong khi giữ nguyên kỹ thuật cốt lõi.
Ngoài ra, cần giám sát các thay đổi cấu hình UAC, tiến trình khởi chạy từ thư mục bất thường, và các kết nối bất thường tới máy chủ ngoài tổ chức. Với mối đe dọa mạng kiểu này, phát hiện dựa trên hành vi sẽ hiệu quả hơn việc chỉ dựa trên chữ ký tệp.
Không nên cho phép người dùng tải xuống tệp từ liên kết thuế hoặc phạt không được yêu cầu, ngay cả khi chúng trông hợp lệ. Trong môi trường doanh nghiệp, các cảnh báo về remote code execution không phải trọng tâm chính; vấn đề nằm ở kỹ thuật ngụy trang, cài đặt lén lút và duy trì truy cập hợp lệ thông qua thành phần đã ký số.
