Chiến Dịch Sorillus RAT (SambaSpy): Mối Đe Dọa Bảo Mật Nhắm Vào Tổ Chức Châu Âu

18/06/2025
3 mins read
Nội dung
Chiến dịch Sorillus RAT (SambaSpy) nhắm vào các tổ chức châu Âu: Thông tin kỹ thuật và biện pháp ứng phó
Tổng quan về chiến dịch Sorillus RAT (SambaSpy)
Chiến thuật, kỹ thuật và quy trình (TTPs)
Cơ sở hạ tầng và kỹ thuật mã độc
Indicators of Compromise (IOCs)
Chi tiết kỹ thuật về mã độc Sorillus RAT
Khuyến nghị ứng phó dành cho SOC và quản trị hệ thống
Tóm tắt thông tin cho tích hợp SOC/TIP

Chiến dịch Sorillus RAT (SambaSpy) nhắm vào các tổ chức châu Âu: Thông tin kỹ thuật và biện pháp ứng phó

Chiến dịch mã độc Sorillus Remote Access Trojan (RAT), còn được gọi là SambaSpy, đang tích cực tấn công các tổ chức tại châu Âu. Với các email lừa đảo theo chủ đề hóa đơn được viết bằng nhiều ngôn ngữ châu Âu, chiến dịch này nhắm đến các doanh nghiệp tại Tây Ban Nha, Bồ Đào Nha, Ý, Pháp, Bỉ và Hà Lan. Bài viết này cung cấp thông tin chi tiết về kỹ thuật, cơ sở hạ tầng, Indicators of Compromise (IOCs) và các khuyến nghị ứng phó dành cho các chuyên gia bảo mật và quản trị hệ thống.

Tổng quan về chiến dịch Sorillus RAT (SambaSpy)

Sorillus RAT, hay còn gọi là SambaSpy, là một mã độc Remote Access Trojan (RAT) tinh vi, đã được rao bán trên thị trường từ năm 2019 cho đến tháng 1/2025, khi cơ sở hạ tầng chính thức của nó bị triệt phá. Chiến dịch hiện tại sử dụng các email lừa đảo theo chủ đề hóa đơn để phát tán mã độc, đồng thời tận dụng các kỹ thuật ẩn mình để duy trì kết nối Command and Control (C2).

Chiến thuật, kỹ thuật và quy trình (TTPs)

Dựa trên các phân tích, chiến dịch Sorillus RAT (SambaSpy) sử dụng các TTPs sau để tiến hành tấn công:

  • Phishing: Sử dụng email lừa đảo theo chủ đề hóa đơn, được trình bày bằng nhiều ngôn ngữ châu Âu, làm vector tấn công chính.
  • Domain Compromise: Tận dụng các tên miền bị xâm phạm từ các doanh nghiệp vừa và nhỏ địa phương để tăng tính thuyết phục và vượt qua các bộ lọc bảo mật ban đầu.
  • Tunneling Services: Sử dụng các dịch vụ tunneling phổ biến như ngrok, localto.net và ply.gg để duy trì kết nối Command and Control (C2) và tránh bị phát hiện.

Cơ sở hạ tầng và kỹ thuật mã độc

Chiến dịch này dựa trên một số nền tảng hợp pháp và kỹ thuật mã hóa để thực hiện và ẩn giấu hoạt động:

  • Cloud Services: Tận dụng các dịch vụ đám mây hợp pháp để né tránh các biện pháp bảo mật truyền thống.
  • Decryption: Cấu hình của mã độc được nhúng dưới dạng tài nguyên có tên “checksum” và được giải mã bằng thuật toán AES ECB.

Indicators of Compromise (IOCs)

Danh sách các IOCs liên quan đến chiến dịch Sorillus RAT (SambaSpy) được tổng hợp dưới đây để hỗ trợ việc phát hiện và ngăn chặn:

  • URLs/Infrastructure Details:
    ngrok
localto.net
ply.gg

Chi tiết kỹ thuật về mã độc Sorillus RAT

  • Malware Family: Sorillus RAT (SambaSpy) là một Remote Access Trojan (RAT) tinh vi, cho phép kẻ tấn công truy cập và điều khiển hệ thống từ xa.
  • Persistence: Mã độc thiết lập khả năng duy trì trên hệ thống thông qua việc sửa đổi Windows Registry.
  • Command and Control (C2): Sorillus RAT sử dụng các dịch vụ tunneling để thiết lập kết nối C2 với máy chủ của kẻ tấn công, ẩn sau các nền tảng như ngrok, localto.net và ply.gg.

Khuyến nghị ứng phó dành cho SOC và quản trị hệ thống

Để giảm thiểu nguy cơ từ chiến dịch Sorillus RAT (SambaSpy), các tổ chức được khuyến nghị áp dụng các biện pháp sau:

  • Tự động hóa phản ứng mối đe dọa: Sử dụng các nguồn TI Feeds (Threat Intelligence Feeds) như của ANY.RUN để làm giàu thông tin cảnh báo và chặn các địa chỉ IP độc hại trên tất cả các endpoint.
  • Tăng cường biện pháp bảo mật: Triển khai các giải pháp bảo mật mạnh mẽ nhằm phát hiện và ngăn chặn tấn công phishing, bao gồm cập nhật định kỳ và giám sát các bộ lọc bảo mật.
  • Giám sát dịch vụ tunneling: Theo dõi chặt chẽ các dịch vụ tunneling như ngrok, localto.net và ply.gg để phát hiện hoạt động bất thường.

Tóm tắt thông tin cho tích hợp SOC/TIP

Dưới đây là tóm tắt thông tin về chiến dịch Sorillus RAT (SambaSpy) được định dạng để dễ dàng tích hợp vào quy trình làm việc của SOC, TIP, SIEM hoặc quản trị hệ thống:

  • Tổng quan: Sorillus RAT (SambaSpy) là một Remote Access Trojan (RAT) nhắm vào các tổ chức châu Âu thông qua email lừa đảo theo chủ đề hóa đơn.
  • TTPs:
    • Phishing: Sử dụng email hóa đơn bằng nhiều ngôn ngữ châu Âu.
    • Domain Compromise: Tận dụng tên miền bị xâm phạm từ các doanh nghiệp địa phương.
    • Tunneling Services: Sử dụng các dịch vụ như ngrok, localto.net và ply.gg cho kết nối C2.
  • Cơ sở hạ tầng:
    • Cloud Services: Dựa vào dịch vụ đám mây hợp pháp để né tránh phát hiện.
    • Decryption: Sử dụng mã hóa AES ECB để giải mã file cấu hình.
  • IOCs:
    • URLs/Infrastructure Details:
      ngrok
localto.net
ply.gg
  • Khuyến nghị:
    • Tự động hóa phản ứng mối đe dọa với TI Feeds để chặn IP độc hại.
    • Tăng cường bảo mật để phát hiện và ngăn chặn phishing.
    • Giám sát các dịch vụ tunneling để phát hiện hoạt động bất thường.

Thông tin trên cung cấp cái nhìn toàn diện về chiến dịch Sorillus RAT (SambaSpy), hỗ trợ các đội ngũ bảo mật và quản trị hệ thống triển khai các biện pháp ứng phó kịp thời. Hãy đảm bảo hệ thống của bạn được cập nhật và giám sát liên tục để giảm thiểu rủi ro từ các mối đe dọa tương tự.