Từ tháng 5 năm 2025, một tác nhân đe dọa tài chính, được biết đến với tên gọi Storm-2561, đã tiến hành một chiến dịch đánh cắp thông tin đăng nhập tinh vi. Chiến dịch này thao túng thứ hạng trên các công cụ tìm kiếm để phát tán phần mềm VPN giả mạo, nhắm mục tiêu vào người dùng doanh nghiệp. Đây là một mối đe dọa mạng nghiêm trọng đòi hỏi sự cảnh giác cao độ.
Kẻ tấn công sử dụng các kỹ thuật lừa đảo tinh vi, từ việc giả mạo website đến việc ký số độc hại, nhằm che giấu ý đồ thực sự và đánh lừa nạn nhân cài đặt phần mềm độc hại.
Tấn Công Mạng Qua Kỹ Thuật SEO Poisoning Đánh Cắp Thông Tin Đăng Nhập
Chiến dịch của Storm-2561 nhắm vào các nhân viên đang tìm kiếm các công cụ VPN phổ biến như Pulse Secure, Fortinet và Ivanti. Kẻ tấn công chuyển hướng họ đến các trang web giả mạo cung cấp gói tải xuống chứa mã độc.
Để thực hiện điều này, chúng đã sử dụng kỹ thuật SEO poisoning. Kỹ thuật này giúp đẩy các trang web lừa đảo lên vị trí hàng đầu trong kết quả tìm kiếm. Các truy vấn mục tiêu bao gồm “Pulse VPN download” hoặc “Pulse Secure client”.
Người dùng nhấp vào các kết quả này sẽ được đưa đến các trang được xây dựng để trông giống hệt cổng thông tin của các nhà cung cấp VPN thực sự. Các trang này được trang bị logo và nút tải xuống tương tự.
Các tệp ZIP độc hại chứa mã độc đã được lưu trữ trên các kho lưu trữ GitHub, nhưng hiện tại đã bị gỡ bỏ.
Các trojan này được ký điện tử bằng một chứng chỉ cấp cho “Taiyuan Lihua Near Information Technology Co., Ltd.”. Chứng chỉ này đã bị thu hồi sau khi bị phát hiện.
Các chuyên gia của Microsoft Defender Experts đã xác định chiến dịch này vào giữa tháng 1 năm 2026. Họ quy cho Storm-2561, nhận thấy đây là một phần của mô hình phân phối mã độc đã biết thông qua lạm dụng SEO và giả mạo phần mềm. Thông tin chi tiết về chiến dịch từ Microsoft cho thấy rõ bản chất tài chính của nhóm này.
Việc kết hợp các trang web giả mạo thực tế với chữ ký số trông hợp pháp cho thấy nỗ lực có chủ đích. Mục tiêu là giảm sự nghi ngờ của người dùng và mở rộng phạm vi của chiến dịch này, tạo ra một mối đe dọa mạng khó lường.
Phân Tích Kỹ Thuật và Cơ Chế Hoạt Động Của Mã Độc Infostealer Hyrax
Sau khi nạn nhân cài đặt phần mềm giả mạo, nó sẽ âm thầm thu thập thông tin đăng nhập VPN. Dữ liệu này sau đó được gửi đến các máy chủ do kẻ tấn công kiểm soát mà không kích hoạt bất kỳ cảnh báo nào.
Điều làm cho mối đe dọa mạng này khó phát hiện là những gì xảy ra ngay sau khi đánh cắp thông tin đăng nhập. Ứng dụng VPN giả mạo hiển thị một thông báo lỗi thuyết phục. Sau đó, nó hướng dẫn nạn nhân tải xuống phần mềm VPN thật từ trang web chính thức của nhà cung cấp.
Nếu ứng dụng VPN hợp pháp được cài đặt và kết nối bình thường, nạn nhân sẽ không có lý do để nghi ngờ thông tin đăng nhập của họ đã bị đánh cắp. Không có dấu hiệu thỏa hiệp rõ ràng và hầu hết các nạn nhân hoàn toàn không hay biết.
Cuộc tấn công truyền tải payload của nó thông qua một gói Windows Installer (MSI). Gói này được ẩn trong một tệp ZIP.
Khi nạn nhân chạy tệp MSI giả mạo, được ngụy trang thành trình cài đặt Pulse Secure, nó sẽ thả Pulse.exe cùng với hai tệp DLL độc hại: dwmapi.dll và inspector.dll. Tất cả các tệp này được cài đặt dưới thư mục %CommonFiles%\Pulse Secure để bắt chước đường dẫn cài đặt hợp pháp.
Tệp dwmapi.dll hoạt động như một trình nạp trong bộ nhớ. Nó thực thi shellcode để tải inspector.dll, vốn là một biến thể của mã độc infostealer Hyrax.
Hyrax có chức năng thu thập thông tin đăng nhập VPN được nhập qua màn hình đăng nhập giả mạo. Ngoài ra, nó đọc dữ liệu cấu hình đã lưu từ C:\ProgramData\Pulse Secure\ConnectionStore\connectionstore.dat.
Tất cả thông tin này sau đó được gửi đến máy chủ C2 của kẻ tấn công tại địa chỉ 194.76.226[.]93:8080.
Để duy trì quyền truy cập trên hệ thống bị xâm nhập, mã độc thêm Pulse.exe vào khóa registry Windows RunOnce. Điều này đảm bảo rằng mã độc sẽ tự động chạy mỗi khi thiết bị khởi động lại.
Các chữ ký số trên các tệp độc hại đã giúp chúng vượt qua các cảnh báo bảo mật tiêu chuẩn của Windows. Đồng thời, chúng cũng có thể bỏ qua một số chính sách cho phép ứng dụng (application allowlisting).
Microsoft đã tìm thấy các tệp bổ sung mang cùng chứng chỉ số này. Các tệp này bao gồm trình cài đặt giả mạo cho GlobalProtect VPN và Sophos Connect. Điều này cho thấy chiến dịch không chỉ giới hạn ở một thương hiệu VPN bị giả mạo duy nhất.
Rủi Ro Bảo Mật Nghiêm Trọng và Tác Động Doanh Nghiệp
Tác động rộng lớn của chiến dịch này ảnh hưởng đến các tổ chức phụ thuộc vào truy cập VPN cho các hoạt động từ xa. Thông tin đăng nhập bị đánh cắp có thể dẫn đến hậu quả nghiêm trọng.
Chúng cho phép kẻ tấn công di chuyển ngang (lateral movement) trong mạng công ty. Từ đó, chúng có thể thực hiện truy cập dữ liệu trái phép và phát động các cuộc tấn công tiếp theo với mức độ phá hoại cao hơn.
Do chiến dịch này giả mạo nhiều thương hiệu VPN đáng tin cậy, đối tượng nạn nhân trải rộng qua nhiều ngành công nghiệp và khu vực địa lý. Đây là một mối đe dọa mạng tiềm ẩn gây ra rủi ro an ninh thông tin nghiêm trọng cho các doanh nghiệp.
Các Biện Pháp Phòng Ngừa và An Ninh Mạng Hiệu Quả
Để giảm thiểu rủi ro từ mối đe dọa mạng này, người dùng cần tuân thủ các nguyên tắc bảo mật chặt chẽ.
- Chỉ tải phần mềm trực tiếp từ các trang web chính thức của nhà cung cấp. Tuyệt đối tránh các liên kết tải xuống được cung cấp thông qua kết quả tìm kiếm không xác định.
- Bắt buộc xác thực đa yếu tố (MFA) trên tất cả các tài khoản là cực kỳ quan trọng. Ngay cả khi mật khẩu VPN bị đánh cắp, kẻ tấn công vẫn không thể có quyền truy cập nếu MFA được áp dụng.
- Các tổ chức nên triển khai và chạy các công cụ phát hiện và phản hồi điểm cuối (EDR) ở chế độ chặn.
- Đồng thời, cần bật cả bảo vệ mạng (network protection) và bảo vệ web (web protection).
- Áp dụng các quy tắc giảm bề mặt tấn công (ASR) để chặn các tệp thực thi không đáng tin cậy.
- Nhân viên không nên lưu trữ thông tin đăng nhập doanh nghiệp trong trình duyệt của họ.
- Các nhóm bảo mật cần chủ động điều tra bất kỳ tệp nào được ký bởi các cơ quan cấp chứng chỉ không được công nhận hoặc đã bị thu hồi gần đây.
Việc tuân thủ các khuyến nghị về an ninh mạng này là cần thiết để bảo vệ hệ thống khỏi các mối đe dọa mạng tương tự và giữ vững an toàn thông tin doanh nghiệp.
IOCs (Indicators of Compromise) Phát Hiện Trong Chiến Dịch
Dưới đây là các chỉ số thỏa hiệp (IOCs) được xác định trong chiến dịch của Storm-2561, có thể được sử dụng để phát hiện và ngăn chặn các hoạt động độc hại:
- Địa chỉ IP và Cổng Máy Chủ C2:
194.76.226[.]93:8080
