Trong bối cảnh tin tức bảo mật liên tục cập nhật, Zscaler ThreatLabz, với sự hợp tác của TibCERT, đã phát hiện hai chiến dịch tấn công liên kết chặt chẽ mang tên Operation GhostChat và Operation PhantomPrayers. Các chiến dịch này được gán ghép với độ tin cậy cao cho một nhóm tác nhân đe dọa dai dẳng (APT) có liên kết với Trung Quốc.
Tổng Quan Chiến Dịch Tấn Công “Operation GhostChat” và “Operation PhantomPrayers”
Hai chiến dịch này nhắm mục tiêu vào cộng đồng người Tây Tạng bằng cách lợi dụng sự gia tăng hoạt động trực tuyến xung quanh sinh nhật lần thứ 90 của Đạt Lai Lạt Ma vào ngày 6 tháng 7 năm 2025. Các kẻ tấn công đã xâm nhập các trang web hợp pháp, chẳng hạn như tibetfund.org, thay thế các liên kết lành tính bằng các chuyển hướng độc hại đến các tên miền phụ dưới niccenter[.]net, vốn mạo danh các nền tảng đáng tin cậy. Đây là một mối đe dọa đáng kể đối với an ninh mạng của các tổ chức và cá nhân.
Kỹ thuật kỹ thuật xã hội này đã lôi kéo nạn nhân tải xuống phần mềm đã bị trojan hóa (trojanized software) theo chủ đề các sự kiện văn hóa Tây Tạng, từ đó khởi tạo các chuỗi lây nhiễm nhiều giai đoạn. Các chuỗi này đã triển khai một trong hai backdoor: Ghost RAT hoặc PhantomNet (còn gọi là SManager).
Các biến thể phần mềm độc hại này, thường liên quan đến các tác nhân được nhà nước Trung Quốc bảo trợ, cho phép duy trì quyền truy cập dai dẳng, đánh cắp dữ liệu và thực thi lệnh trên các hệ thống Windows bị xâm nhập. Các chiến dịch đã sử dụng các kỹ thuật né tránh tiên tiến, bao gồm DLL sideloading, shellcode injection và các payload được mã hóa để vượt qua các giải pháp phát hiện và phản hồi điểm cuối (EDR).
Phân Tích Chi Tiết “Operation GhostChat”
Chuỗi Lây Nhiễm và Kỹ Thuật Né Tránh
Trong Operation GhostChat, nạn nhân được chuyển hướng đến một trang web giả mạo ứng dụng trò chuyện Element. Trang web này lừa người dùng tải xuống một kho lưu trữ ZIP chứa một tệp Element.exe hợp pháp nhưng dễ bị tổn thương, được sử dụng để sideload một tệp ffmpeg.dll độc hại. Đây là một ví dụ điển hình về việc khai thác các điểm yếu trong phần mềm hợp pháp để thiết lập quyền truy cập.
Loader giai đoạn 1 này giải quyết các API một cách linh động bằng cách sử dụng các hàm cấp thấp Nt* và Rtl*. Nó cũng ánh xạ một tệp ntdll.dll mới từ đĩa để ghi đè lên các hook ở chế độ người dùng (user-mode hooks), và sau đó tiêm shellcode 32-bit vào ImagingDevices.exe thông qua các phần bộ nhớ chia sẻ. Kỹ thuật này giúp kẻ tấn công duy trì sự ẩn mình và tránh bị phát hiện bởi các giải pháp phát hiện xâm nhập.
Loader phản chiếu giai đoạn 2 giải nén và thực thi một biến thể của Ghost RAT. Backdoor này giao tiếp với máy chủ C2 của nó tại 104.234.15[.]90:19999 sử dụng một giao thức nhị phân TCP tùy chỉnh được mã hóa bằng thuật toán tương tự RC4. Sự hiện diện của mối đe dọa này yêu cầu các biện pháp phòng vệ an ninh mạng mạnh mẽ.
Backdoor Ghost RAT và Khả Năng Hoạt Động
Plugin mô-đun của Ghost RAT, có tên config.dll, hỗ trợ nhiều lệnh khác nhau, bao gồm thao tác tệp, chụp màn hình, ghi lại thao tác bàn phím (keylogging), ghi âm/ghi hình, và tắt hệ thống. Tất cả các khả năng này đều được suy ra từ phân tích các biến thể tương tự của Ghost RAT, cho thấy một công cụ giám sát và chiếm quyền điều khiển toàn diện. Điều này làm tăng rủi ro bảo mật cho hệ thống bị xâm nhập.
Phân Tích Chi Tiết “Operation PhantomPrayers”
Kỹ Thuật Phân Phối và Duy Trì Quyền Truy Cập
Operation PhantomPrayers đã sao chép phương pháp tiếp cận của GhostChat nhưng phân phối một tệp thực thi dựa trên PyQT5 có tên DalaiLamaCheckin.exe, tự mạo danh là công cụ “kiểm tra cầu nguyện đặc biệt”. Binary này tạo ra một giao diện người dùng đồ họa (GUI) với bản đồ được tạo bởi Folium để tạo vẻ hợp pháp, trong đó ngầm sao chép một tệp VLC.exe dễ bị tổn thương và một tệp libvlc.dll độc hại vào thư mục %appdata%\Birthday để thực hiện DLL sideloading.
Sự kiên trì (persistence) được thiết lập thông qua một lối tắt trong thư mục Startup. Loader giai đoạn 1 giải mã shellcode được mã hóa hai lớp (RC4 theo sau bởi AES-128 CBC) từ một tệp .tmp. Điều này dẫn đến một loader phản chiếu giai đoạn 2 và cuối cùng là backdoor PhantomNet, củng cố rủi ro bảo mật cho các mục tiêu.
Backdoor PhantomNet và Giao Tiếp C2
PhantomNet kết nối đến 45.154.12[.]93:2233 qua TCP với lưu lượng được mã hóa AES. Nó sử dụng các plugin DLL để cung cấp chức năng mô-đun, bao gồm thu thập thông tin hệ thống và các hoạt động theo thời gian, tương tự như các chiến dịch trước đây như Operation SignSight. Khả năng mã hóa giao tiếp là một dấu hiệu của sự tinh vi, giúp tránh bị phát hiện bởi các giải pháp giám sát mạng và che giấu hoạt động đánh cắp dữ liệu. Đây là một mối đe dọa phức tạp đòi hỏi sự cảnh giác cao độ trong an toàn thông tin.
Các Kỹ Thuật Né Tránh và Gán Ghép (Attribution) Nâng Cao
Sự gán ghép cho các nhóm APT của Trung Quốc bắt nguồn từ đối tượng nạn nhân tập trung vào cộng đồng người Tây Tạng hải ngoại, việc sử dụng độc quyền các công cụ Ghost RAT và PhantomNet vốn liên kết với các tác nhân như TA428, và các chiến thuật, kỹ thuật, thủ tục (TTPs) được điều chỉnh riêng biệt.
Các TTPs quan trọng được quan sát bao gồm:
- Code Injection (T1055.002): Tiêm mã độc vào các tiến trình hợp pháp để thực thi.
- Native API Abuse (T1106): Lạm dụng các hàm API của hệ điều hành để thực hiện các hoạt động độc hại mà không bị phát hiện.
- Obfuscated Payloads (T1027 variants): Mã hóa và làm xáo trộn các payload để che giấu mục đích thực sự và tránh bị phát hiện bởi các phần mềm diệt virus.
- DLL Hijacking / DLL Sideloading (T1574.001): Tải một thư viện DLL độc hại thay vì thư viện hợp pháp, cho phép thực thi mã độc trong ngữ cảnh của một ứng dụng đáng tin cậy.
- Encrypted Channels (T1573.001): Sử dụng các kênh liên lạc được mã hóa cho hoạt động C2, gây khó khăn cho việc phân tích và chặn giao tiếp của kẻ tấn công.
Theo báo cáo của Zscaler, nền tảng của họ phát hiện các mối đe dọa này là Win64.Trojan.PhantomNet và Win32.Backdoor.GhostRAT, phù hợp với các ID MITRE ATT&CK đã đề cập. Sự hợp tác giữa các tổ chức nghiên cứu bảo mật nhấn mạnh việc khai thác các nhạy cảm văn hóa cho các vụ xâm nhập chuỗi cung ứng, nhấn mạnh sự cần thiết của an toàn thông tin web mạnh mẽ và phân tích phần mềm độc hại để đối phó với các cuộc xâm nhập được nhà nước bảo trợ như vậy. Việc cập nhật bản vá thường xuyên và triển khai các giải pháp EDR tiên tiến là cực kỳ quan trọng để giảm thiểu rủi ro bảo mật này, đặc biệt khi đối phó với những mối đe dọa liên tục.
Chỉ Số Thỏa Hiệp (Indicators of Compromise – IOCs)
Dưới đây là các chỉ số thỏa hiệp liên quan đến Operation GhostChat và Operation PhantomPrayers, giúp các chuyên gia an ninh mạng trong việc phát hiện xâm nhập và phòng thủ:
- Tên miền độc hại:
niccenter[.]net(tên miền phụ)
- Địa chỉ IP máy chủ C2:
104.234.15[.]90:19999(Ghost RAT)45.154.12[.]93:2233(PhantomNet)
- Tệp tin độc hại / Tên tệp liên quan:
ffmpeg.dll(độc hại, được sideload bởi Element.exe)libvlc.dll(độc hại, được sideload bởi VLC.exe)DalaiLamaCheckin.exe
- Đường dẫn file:
%appdata%\Birthday
- Tên phát hiện phần mềm độc hại (Zscaler):
Win64.Trojan.PhantomNetWin32.Backdoor.GhostRAT
- Các trang web bị xâm nhập:
tibetfund.org
