Mã độc SocGholish, được điều hành bởi nhóm tác nhân đe dọa TA569, đã củng cố vai trò của mình như một nhà cung cấp Malware-as-a-Service (MaaS) nổi bật. Hoạt động như một nhà môi giới truy cập ban đầu (Initial Access Broker – IAB), nhóm này bán quyền truy cập vào các hệ thống bị xâm nhập cho nhiều khách hàng tội phạm mạng khác nhau.
Kể từ khi xuất hiện vào khoảng năm 2017-2018, họ sử dụng chiêu trò lừa đảo cập nhật trình duyệt giả mạo để khởi tạo các cuộc tải xuống tự động (drive-by downloads). Họ thường tiêm mã JavaScript độc hại vào các trang web đã bị xâm nhập, lợi dụng sự tin tưởng của người dùng vào các bản cập nhật phần mềm định kỳ cho trình duyệt (như Chrome, Firefox) và các ứng dụng (như Adobe Flash Player hoặc Microsoft Teams).
Kỹ Thuật Lây Nhiễm và Hạ Tầng Phân Phối
Hạ tầng tinh vi của TA569 khai thác các hệ thống phân phối lưu lượng (Traffic Distribution Systems – TDSs) như Parrot TDS và Keitaro TDS. Mục tiêu là lọc và chuyển hướng nạn nhân dựa trên việc nhận dạng dấu vân tay chi tiết, bao gồm địa chỉ IP, loại trình duyệt và cấu hình thiết bị. Điều này đảm bảo việc phân phối các tải trọng độc hại một cách có mục tiêu, đồng thời né tránh sự phát hiện.
Cách tiếp cận này không chỉ tối đa hóa giá trị của các vụ lây nhiễm bằng cách ưu tiên các mục tiêu có giá trị cao mà còn hỗ trợ một hệ sinh thái tội phạm mạng rộng lớn hơn, nơi quyền truy cập được môi giới cho các nhóm triển khai ransomware, phần mềm đánh cắp thông tin (information stealers) và Trojan truy cập từ xa (Remote Access Trojans – RATs).
Chuỗi Lây Nhiễm Chi Tiết
Chuỗi lây nhiễm bắt đầu bằng việc các trang web bị xâm nhập tiêm mã JavaScript độc hại. Mã này thường được định tuyến thông qua Parrot TDS hoặc Keitaro TDS, thực hiện việc lập hồ sơ nạn nhân rộng rãi để điều hướng lưu lượng truy cập đến các trang cập nhật giả mạo.
- Parrot TDS: Được xác định vào năm 2022, sử dụng các mã JavaScript tiêm độc đáo và proxy để tải nội dung độc hại.
- Keitaro TDS: Được Apliteni (có trụ sở tại Delaware, nhưng có liên hệ đáng chú ý với Nga) quảng bá như một công cụ quảng cáo hợp pháp. Tuy nhiên, Keitaro TDS đã bị liên đới trong các chiến dịch thông tin sai lệch và các hoạt động mối đe dọa mạng phức tạp.
Khi người dùng tương tác, họ sẽ gặp phải các giao diện cập nhật giả mạo được tạo động, bắt chước các lời nhắc phần mềm hợp pháp. Điều này dẫn đến việc tải xuống một tác nhân cụ thể cho Windows, thường được ngụy trang dưới dạng tệp .js hoặc .zip với các tên như LatestVersion.js hoặc UpdateInstaller.zip.
Cơ Chế Điều Khiển & Chỉ Huy (C2) và Hệ Sinh Thái
Theo báo cáo của SilentPush, tác nhân này giao tiếp với các máy chủ điều khiển và chỉ huy (Command-and-Control – C2) thông qua các đường dẫn bị xáo trộn. Kỹ thuật này sử dụng che giấu tên miền (domain shadowing) và xoay vòng tên miền thường xuyên để duy trì sự bền bỉ và cản trở việc theo dõi.
Các cơ chế lọc nâng cao, như phát hiện chuyển động chuột và ràng buộc IP, đảm bảo chỉ những nạn nhân thực sự mới nhận được tải trọng, có khả năng loại bỏ các nhà nghiên cứu hoặc hệ thống tự động.
Để biết thêm thông tin chi tiết về hoạt động của mã độc SocGholish, bạn có thể tham khảo báo cáo chuyên sâu tại SilentPush: SocGholish Deep Dive.
Hệ Sinh Thái Khách Hàng và Liên Kết Nổi Bật
Hệ sinh thái của mã độc SocGholish mở rộng đến các khách hàng khét tiếng như Evil Corp (DEV-0243), nhóm sử dụng các vụ lây nhiễm để triển khai các biến thể ransomware, bao gồm LockBit. Ngoài ra còn có các mối đe dọa mới nổi như MintsLoader để phân phối RATs và phần mềm đánh cắp thông tin (infostealers).
Các kết nối với GRU Unit 29155 của Nga thông qua Raspberry Robin làm nổi bật các yếu tố tiềm tàng được nhà nước bảo trợ. Sự trùng lặp trong mã và chiến thuật cho thấy các mạng lưới tội phạm mạng có tính hợp tác.
Chiến Lược Giảm Thiểu Rủi Ro
Việc giảm thiểu rủi ro từ mã độc SocGholish đòi hỏi sự chủ động trong thu thập và phân tích thông tin tình báo về mối đe dọa mạng (threat intelligence). Các tổ chức cần tập trung vào việc chặn các luồng thông tin Indicators of Future Attack (IOFA) nhắm mục tiêu vào các tên miền và hạ tầng liên quan đến SocGholish.
Điều này bao gồm việc liên tục cập nhật các quy tắc phát hiện và phòng ngừa trên các hệ thống bảo mật, đồng thời tăng cường giáo dục người dùng về các mối đe dọa lừa đảo qua cập nhật phần mềm giả mạo. Việc triển khai các giải pháp bảo mật nhiều lớp và giám sát mạng chặt chẽ là yếu tố then chốt để đối phó hiệu quả với loại hình tấn công mạng này.
