Các tác nhân đe dọa đang ngày càng tinh vi trong việc khai thác các nền tảng công nghệ hợp pháp để che giấu hoạt động độc hại của chúng. Một ví dụ điển hình là việc lạm dụng nền tảng lưu trữ Vercel để phân phối các trang lừa đảo (phishing pages) và mã độc vũ khí hóa (weaponized malware). Chiến dịch này được thiết kế để nhắm mục tiêu vào người dùng bằng cách lợi dụng sự tin cậy gắn liền với các dịch vụ lưu trữ hợp pháp, triển khai các chiến thuật kỹ thuật xã hội (social engineering) và kỹ thuật tinh vi để vượt qua các lớp phòng thủ bảo mật truyền thống.
Tổng quan Chiến dịch APT/Mã độc
Chiến dịch này tập trung vào việc khai thác Vercel, một nền tảng cloud-hosting phổ biến, để triển khai hạ tầng tấn công. Các tội phạm mạng đã lợi dụng Vercel để lưu trữ các trang lừa đảo, trong khi đó, phần mềm độc hại được phân phối là một biến thể của LogMeIn remote access trojan (RAT) đã được vũ khí hóa. Mục tiêu chính của chiến dịch là đánh cắp thông tin đăng nhập và truy cập trái phép vào tài khoản người dùng, bằng cách sử dụng hạ tầng đáng tin cậy như Vercel để né tránh sự phát hiện.
Các Kỹ thuật, Chiến thuật và Quy trình (TTPs)
Chiến dịch này thể hiện một loạt các TTPs được xây dựng cẩn thận, cho thấy mức độ chuyên nghiệp của các tác nhân đe dọa:
- Lạm dụng dịch vụ cloud-hosting hợp pháp: Kẻ tấn công sử dụng Vercel, một dịch vụ lưu trữ đám mây chính đáng và đáng tin cậy, để triển khai các trang lừa đảo. Việc này giúp các trang độc hại có được độ tin cậy cao hơn và khó bị các giải pháp bảo mật phát hiện ban đầu dựa trên danh tiếng miền.
- Giả mạo thương hiệu: Các trang lừa đảo được thiết kế để bắt chước các thương hiệu đáng tin cậy, cụ thể trong trường hợp này là Meta. Việc sao chép giao diện người dùng (UI) và các yếu tố hình ảnh của Meta nhằm tăng tính thuyết phục và lừa dối nạn nhân.
- Kỹ thuật kỹ thuật xã hội tinh vi:
- Chữ ký email thuyết phục: Các email lừa đảo chứa chữ ký email được sao chép từ thương hiệu Meta, khiến chúng trông rất chân thực.
- Mã định danh ‘Case ID’ đa hình: Một đặc điểm nổi bật là việc sử dụng các ‘Case ID’ đa hình (polymorphic) được tạo động thông qua Google AppSheet cho mỗi email lừa đảo. Kỹ thuật này làm phức tạp hóa quá trình phát hiện dựa trên các chỉ số tĩnh (static indicators), vì mỗi thông điệp mang một “dấu vân tay” duy nhất.
- Lời nhắc nhập thông tin đăng nhập kép: Trang lừa đảo yêu cầu nạn nhân nhập thông tin đăng nhập và mã xác thực hai yếu tố (2FA) hai lần liên tiếp. Lần nhập đầu tiên sẽ bị từ chối giả mạo là “không chính xác”, sau đó nạn nhân được nhắc nhập lại. Điều này không chỉ tăng khả năng thu thập thông tin đăng nhập hợp lệ mà còn gây ra sự nhầm lẫn và cảm giác khẩn cấp cho nạn nhân, khiến họ dễ mắc bẫy hơn.
Nền tảng và Hạ tầng Bị Khai thác
- Nền tảng lưu trữ: Vercel được sử dụng làm cơ sở hạ tầng tin cậy để lưu trữ nội dung độc hại và các trang lừa đảo. Các miền con (subdomains) của
vercel.appcó thể được nhìn thấy trong các URL lừa đảo, mang lại vẻ ngoài hợp pháp. - Tính năng trang lừa đảo:
- Trang giả mạo sao chép logo Meta có hiệu ứng động, tăng tính chân thực.
- Giao diện bắt chước quy trình kháng nghị tài khoản chính thức của Meta, hiển thị thông báo giả mạo về rủi ro hoặc việc xóa tài khoản.
Chỉ số Thỏa hiệp (IOCs) và Phương pháp Phát hiện
Mặc dù không có các hash tệp cụ thể hoặc URL chi tiết được công khai, các đặc điểm của chiến dịch này cung cấp những chỉ dẫn quan trọng cho việc phát hiện và phòng thủ:
Đối với email lừa đảo:
- Các email giả mạo thương hiệu Meta, bao gồm chữ ký email thuyết phục, nhưng cần kiểm tra kỹ các liên kết ở chân trang (footer links) vì chúng thường không hoạt động hoặc dẫn đến các trang không liên quan.
- Chứa các ‘Case ID’ đa hình, duy nhất cho mỗi tin nhắn, được tạo qua Google AppSheet. Sự đa hình này đòi hỏi các giải pháp phát hiện phải dựa vào phân tích hành vi và ngữ cảnh thay vì chỉ dựa vào chữ ký tĩnh.
Đối với trang web lừa đảo được lưu trữ trên Vercel:
- Thiết kế sao chép hoàn chỉnh với logo Meta có hiệu ứng động.
- Yêu cầu nạn nhân nhập mật khẩu và mã 2FA hai lần liên tiếp dưới chiêu bài lần thử đầu tiên bị lỗi. Các bất thường về hành vi như nhiều lời nhắc 2FA liên tiếp từ cùng một phiên hoặc tác nhân người dùng (user agent) có thể là dấu hiệu cảnh báo.
- Các URL sẽ phân giải trong các miền
vercel.app, phục vụ giao diện thương hiệu đã được sao chép. Cần theo dõi các miền convercel.appđáng ngờ được liên kết từ các chiến dịch spear-phishing nhắm mục tiêu.
Đối với payload mã độc:
- Phần mềm độc hại được phân phối là LogMeIn RAT đã được vũ khí hóa. Tổ chức cần triển khai các giải pháp EDR (Endpoint Detection and Response) và AV (Antivirus) có khả năng phát hiện RAT và các hành vi đáng ngờ liên quan đến truy cập từ xa.
Các tổ chức cần đặc biệt chú ý đến các email nhắm mục tiêu (spear-phishing) dẫn đến các miền vercel.app và giám sát chặt chẽ các hành vi bất thường của người dùng trên các cổng thông tin nhạy cảm.
Ánh xạ với Các Kỹ thuật MITRE ATT&CK
Dựa trên mô tả về các hành vi của chiến dịch, có thể ánh xạ một số kỹ thuật MITRE ATT&CK có liên quan, cung cấp khung phân tích tiêu chuẩn cho các nhóm bảo mật:
| ID Kỹ thuật | Tên Kỹ thuật | Mô tả Áp dụng |
|---|---|---|
| T1566 | Phishing (Lừa đảo) | Sử dụng email spear-phishing giả mạo thương hiệu đáng tin cậy để lừa người dùng. |
| T1192 | Spearphishing Link (Liên kết Spear-phishing) | Chứa liên kết độc hại trong email dẫn đến trang thu thập thông tin đăng nhập. |
| T1078 | Valid Accounts (Tài khoản Hợp lệ) | Thu thập thông tin đăng nhập hợp lệ của người dùng, bao gồm cả mã 2FA. |
| T1204.002 | User Execution: Malicious Link (Thực thi bởi Người dùng: Liên kết Độc hại) | Nạn nhân nhấp vào liên kết độc hại, dẫn đến việc thu thập thông tin đăng nhập. |
Việc hiểu rõ các kỹ thuật MITRE ATT&CK giúp các nhóm SOC và các nhà phân tích bảo mật xây dựng các quy tắc phát hiện hiệu quả hơn và tăng cường khả năng phòng thủ dựa trên hành vi của kẻ tấn công.
Ngữ cảnh Bổ sung và Hàm ý Bảo mật
Việc lạm dụng các nền tảng đám mây hợp pháp như Vercel đặt ra một thách thức đáng kể cho các biện pháp phòng thủ truyền thống. Các dịch vụ này được xây dựng để cung cấp tốc độ, khả năng mở rộng và độ tin cậy, điều mà các tác nhân đe dọa có thể khai thác. Các chính sách của Vercel về kiểm thử thâm nhập (penetration testing) cũng chỉ cho phép đối với các khách hàng Pro/Enterprise để kiểm thử ứng dụng của chính họ, và việc nhắm mục tiêu vào cơ sở hạ tầng cơ bản là bị cấm. Điều này nhấn mạnh rằng nền tảng không được thiết kế để chống lại các cuộc tấn công lạm dụng từ chính người dùng, mà phụ thuộc vào việc báo cáo và gỡ bỏ khi bị phát hiện.
Mặc dù Vercel cung cấp các biện pháp kiểm soát giảm thiểu DDoS (ví dụ: quy tắc WAF cho khách hàng Pro/Enterprise), chúng chủ yếu tập trung vào việc bảo vệ tính khả dụng của dịch vụ, chứ không phải nội dung độc hại được lưu trữ bởi người dùng độc hại. Việc lạm dụng Google AppSheet để tạo ra các ‘Case ID’ đa hình cũng là một ví dụ về việc các tác nhân đe dọa sáng tạo trong việc sử dụng các dịch vụ hợp pháp để phục vụ mục đích độc hại, gây khó khăn cho việc phát hiện dựa trên các chỉ báo tĩnh.
Để đối phó với các chiến dịch như vậy, các tổ chức cần tăng cường nhận thức về bảo mật cho người dùng, triển khai các giải pháp bảo mật email tiên tiến có khả năng phân tích hành vi và URL động, và thực hiện giám sát liên tục các hoạt động mạng. Việc ưu tiên xác thực đa yếu tố (MFA) và kiểm tra kỹ lưỡng các yêu cầu thông tin nhạy cảm, đặc biệt là khi có dấu hiệu bất thường như lời nhắc nhập thông tin đăng nhập kép, là rất quan trọng. Bằng cách kết hợp các biện pháp kỹ thuật và nhận thức, các tổ chức có thể nâng cao khả năng phòng thủ trước các mối đe dọa khai thác hạ tầng hợp pháp.
