Tổng quan về chiến dịch tấn công SVG
Các nhà nghiên cứu an ninh mạng đã xác định một chiến dịch tấn công mới nổi, trong đó các tác nhân đe dọa đang vũ khí hóa các tệp Scalable Vector Graphics (SVG) để thực hiện các cuộc tấn công chuyển hướng (redirect attacks) dựa trên JavaScript phức tạp. Kỹ thuật này khai thác sự tin cậy vốn có đối với các định dạng hình ảnh, cho phép các tác nhân độc hại nhúng mã JavaScript bị làm rối (obfuscated) vào các tệp đồ họa vector dường như vô hại, và mã này sẽ tự động thực thi khi tệp được mở trong các trình duyệt web.
Kỹ thuật nhúng và thực thi mã độc
Phương pháp tấn công tập trung vào việc nhúng mã JavaScript độc hại vào các tệp SVG bằng cách sử dụng các phần CDATA. Các phần CDATA này thường được sử dụng cho các mục đích hợp pháp trong các định dạng dựa trên XML, nhưng trong trường hợp này, chúng bị lạm dụng để chứa mã độc.
Các script được nhúng sử dụng các khóa mã hóa XOR tĩnh để giải mã các payload thứ cấp trong thời gian chạy. Sau đó, chúng tái cấu trúc và thực thi các lệnh chuyển hướng thông qua bộ dựng (constructor) Function(). Các URL độc hại cuối cùng được lắp ráp bằng cách sử dụng hàm atob() và bao gồm các chuỗi được mã hóa Base64. Các chuỗi này phục vụ hai mục đích: vừa là mã thông báo theo dõi nạn nhân (victim tracking tokens) vừa là định danh tương quan (correlation identifiers) cho hạ tầng của kẻ tấn công.
Cơ chế hoạt động của cuộc tấn công
Điều làm cho chiến dịch này đặc biệt nguy hiểm là khả năng bỏ qua các biện pháp kiểm soát bảo mật truyền thống. Không giống như các phương pháp phân phối phần mềm độc hại thông thường dựa vào các tệp thực thi hoặc macro, kỹ thuật này tận dụng chức năng gốc của trình duyệt để đạt được việc thực thi mã mà không cần thả tệp (dropping files) hoặc yêu cầu tương tác của người dùng ngoài việc mở tệp SVG.
Cấu trúc Payload Evasive
Việc xây dựng payload được thiết kế một cách cố ý để tránh bị phát hiện (evasive). Điểm đến chuyển hướng cuối cùng được lắp ráp một cách động, thay vì tĩnh, nhằm né tránh các cơ chế phát hiện dựa trên chữ ký (static detection mechanisms). Sự linh hoạt này cho phép kẻ tấn công thay đổi điểm đến payload mà không cần sửa đổi tệp SVG ban đầu, làm phức tạp thêm nỗ lực phân tích và ngăn chặn.
Vượt qua kiểm soát an ninh truyền thống
Kỹ thuật tấn công này hiệu quả trong việc né tránh các hệ thống phòng thủ truyền thống do bản chất của nó. Bởi vì việc thực thi mã diễn ra trong ngữ cảnh của trình duyệt và sử dụng các tính năng hợp lệ của SVG và JavaScript, nó không kích hoạt các cảnh báo liên quan đến tệp thực thi lạ hoặc các hoạt động macro đáng ngờ. Điều này tạo ra một “điểm mù” đối với nhiều giải pháp bảo mật dựa trên chữ ký hoặc hành vi phổ biến, vốn thường tập trung vào việc nhận dạng các dấu hiệu của phần mềm độc hại quen thuộc.
Chiến lược phân phối và mục tiêu
Các tác nhân đe dọa đứng sau chiến dịch này sử dụng một chiến lược phân phối nhiều lớp, bắt đầu bằng các email lừa đảo (phishing emails) được soạn thảo cẩn thận, sử dụng danh tính người gửi bị giả mạo hoặc mạo danh.
Chiến thuật Phishing Email
Theo báo cáo của Ontinue, các email này khai thác các tổ chức có cấu hình xác thực email yếu, đặc biệt nhắm mục tiêu vào các thực thể thiếu bản ghi DKIM (DomainKeys Identified Mail) và những tổ chức có chính sách DMARC (Domain-based Message Authentication, Reporting, and Conformance) được đặt ở chế độ giám sát (monitoring) thay vì cách ly (quarantine) hoặc từ chối (reject). Kẻ tấn công lợi dụng các tên miền giả mạo (lookalike domains) tương tự gần như hoàn hảo với các thực thể hợp pháp, tăng cường độ tin cậy của các thông tin liên lạc độc hại.
Bản thân các email được thiết kế với nội dung tối thiểu để giảm xác suất bị phát hiện, đồng thời kết hợp các chủ đề kỹ thuật xã hội tinh vi xoay quanh các cuộc gọi nhỡ, thông báo thanh toán và ứng dụng quản lý tác vụ. Cách tiếp cận này khiến người nhận ít nghi ngờ hơn, đặc biệt khi họ thường xuyên nhận các loại email tương tự trong luồng công việc hàng ngày.
Mục tiêu ngành và lĩnh vực
Chiến dịch này thể hiện sự tinh vi về mặt chiến thuật trong cách tiếp cận mục tiêu, chủ yếu tập trung vào các nhà cung cấp dịch vụ Business-to-Business (B2B), các tổ chức tài chính, các công ty tiện ích và các công ty Software-as-a-Service (SaaS). Các lĩnh vực này được lựa chọn một cách chiến lược vì chúng thường xuyên xử lý dữ liệu doanh nghiệp và nhân viên có giá trị cao, đồng thời dự kiến có khối lượng lớn các thông tin liên lạc bên ngoài, khiến các email độc hại ít có khả năng gây nghi ngờ ngay lập tức.
Hạ tầng tấn công và tính linh hoạt
Những phát triển gần đây trong chiến dịch bao gồm việc triển khai khả năng khoanh vùng địa lý (geofencing capabilities) trên các trang đích (landing sites), cho thấy một sự tiến hóa hướng tới các cuộc tấn công có mục tiêu và theo khu vực cụ thể hơn. Điều này giúp kẻ tấn công tập trung vào các nạn nhân có giá trị cao trong các khu vực địa lý cụ thể, tối ưu hóa hiệu quả của chiến dịch.
Hạ tầng của kẻ tấn công sử dụng các cấu trúc tên miền ngẫu nhiên và lưu trữ dựa trên tên miền phụ (subdomain-based hosting), làm phức tạp các nỗ lực lọc tĩnh. Phân tích danh tiếng tên miền cho thấy xếp hạng liên tục thấp hoặc không xác định, với các mô hình lưu trữ cho thấy sự xoay vòng thường xuyên của hạ tầng chiến dịch để duy trì an ninh hoạt động (operational security). Điều này gây khó khăn đáng kể cho các giải pháp an ninh mạng truyền thống dựa trên danh sách đen (blacklist) hoặc chữ ký tên miền cố định.
Ý nghĩa và khuyến nghị bảo mật
Cuộc tấn công này đại diện cho một sự phát triển đáng kể trong động lực của bối cảnh mối đe dọa, bắc cầu giữa các phương pháp lừa đảo truyền thống với các kỹ thuật né tránh tiên tiến. Bằng cách khai thác bản chất đáng tin cậy của các định dạng hình ảnh và tận dụng chức năng hợp pháp của trình duyệt, kẻ tấn công có thể đạt được mục tiêu của mình đồng thời tránh các hệ thống phát hiện dựa trên hành vi và chữ ký.
Sự phát triển của bối cảnh mối đe dọa
Thành công của chiến dịch này cho thấy sự cần thiết cấp bách của việc tăng cường các biện pháp kiểm soát xác thực email. Việc dựa vào các chính sách DMARC ở chế độ giám sát là không đủ để bảo vệ hiệu quả khỏi các cuộc tấn công giả mạo tinh vi. Cần thiết phải cấu hình DMARC ở chế độ cách ly hoặc từ chối đối với các tên miền nhạy cảm để ngăn chặn email độc hại đến hộp thư đến của người dùng cuối.
Biện pháp phòng ngừa và ứng phó
Quan trọng hơn, chiến dịch này nhấn mạnh tầm quan trọng của việc xem xét tất cả các tệp đính kèm, bất kể định dạng, là các rủi ro bảo mật tiềm ẩn. Thay vì chỉ tập trung vào các tệp thực thi hoặc tài liệu có macro, các tổ chức cần áp dụng một cách tiếp cận bảo mật toàn diện hơn đối với các tệp đính kèm. Điều này bao gồm:
- Thực hiện phân tích kỹ lưỡng các tệp đính kèm trước khi cho phép thực thi hoặc mở chúng.
- Triển khai các giải pháp bảo mật email nâng cao có khả năng phân tích nội dung và hành vi của các tệp không phải là tệp thực thi, như SVG, PDF hoặc các tài liệu đa phương tiện khác.
- Đào tạo nhận thức về an ninh mạng cho người dùng cuối để họ có thể nhận diện các dấu hiệu của email lừa đảo và các cuộc tấn công kỹ thuật xã hội, bất kể định dạng tệp đính kèm.
- Cập nhật và vá lỗi trình duyệt web thường xuyên để giảm thiểu các lỗ hổng có thể bị khai thác bởi các script độc hại nhúng.
