Operation CargoTalon: Chiến Dịch APT Gián Điệp Hàng Không Vũ Trụ Bằng Mã Độc EAGLET

Trong bối cảnh tin tức bảo mật mới nhất liên tục cập nhật về các chiến dịch tấn công mạng phức tạp, nhóm APT của SEQRITE Labs đã phát hiện một chiến dịch spear-phishing tinh vi mang tên Operation CargoTalon. Chiến dịch này nhắm mục tiêu vào các nhân viên của Hiệp hội Sản xuất Máy bay Voronezh (VASO) của Nga, một thực thể quan trọng trong ngành hàng không vũ trụ. Sự phức tạp trong cách tiếp cận của những kẻ tấn công cho thấy một nỗ lực được tổ chức tốt nhằm thu thập thông tin tình báo từ các mục tiêu chiến lược.

Tổng Quan về Chiến dịch CargoTalon: Một Cảnh Báo Tấn Công Mạng Mới Nhất

Operation CargoTalon được phát hiện vào ngày 27 tháng 6 thông qua các hoạt động săn lùng mối đe dọa trên VirusTotal. Chiến dịch này sử dụng các tệp đính kèm độc hại được ngụy trang thành các tài liệu hậu cần товарно-транспортная накладная (TTN), những tài liệu đóng vai trò quan trọng trong chuỗi cung ứng của Nga. Việc lựa chọn tài liệu TTN làm mồi nhử cho thấy kẻ tấn công đã nghiên cứu kỹ lưỡng quy trình làm việc và các loại tài liệu phổ biến trong ngành vận tải và hậu cần, đặc biệt là trong bối cảnh các thực thể Nga phải đối mặt với nhiều lệnh trừng phạt quốc tế.

Chi Tiết Chuỗi Lây Nhiễm và Khai Thác

Tấn Công Spear-Phishing Ban Đầu

Chiến dịch bắt đầu bằng một email mồi nhử độc hại, được định dạng dưới dạng tệp EML có tên backup-message-10.2.2.20_9045-800282.eml. Email này được gửi từ một địa chỉ mạo danh của Trung tâm Vận tải và Hậu cần (Transport and Logistics Centre). Nội dung email thúc giục người nhận chuẩn bị cho việc giao hàng hóa, tạo ra cảm giác khẩn cấp và hợp pháp. Để tăng độ tin cậy, email đính kèm một tệp DLL độc hại được ngụy trang thành một kho lưu trữ ZIP có tên Транспортная_накладная_ТТН_№391-44_от_26.06.2025.zip.

Cơ Chế Khai Thác Bằng File LNK

Đi kèm với tệp ZIP giả mạo là một tệp phím tắt LNK độc hại có cùng tên: Транспортная_накладная_ТТН_№391-44_от_26.06.2025.zip.LNK (tên gốc chỉ hiển thị phần .zip). Tệp LNK này đóng vai trò quan trọng trong việc điều phối quá trình lây nhiễm. Khi người dùng nhấp vào, nó sẽ kích hoạt PowerShell – một công cụ quản lý hợp pháp của hệ thống (Living Off The Land Binary – LOLBin) – để thực hiện các bước tiếp theo của cuộc tấn công. Cụ thể, script trong LNK sẽ:

• Tìm kiếm đệ quy trong các thư mục %USERPROFILE% và %TEMP% để định vị implant DLL.
• Sau khi tìm thấy, nó sử dụng rundll32.exe, một tiện ích Windows hợp pháp khác, để tải và thực thi DLL độc hại. Việc sử dụng rundll32.exe giúp kẻ tấn công tránh bị phát hiện bởi các giải pháp bảo mật truyền thống.
• Để đánh lạc hướng và giảm bớt sự nghi ngờ của nạn nhân, tệp LNK còn được thiết kế để tạo ra một tệp XLS mồi nhử. Tệp này là một phần overlay có kích thước 59.904 byte, bắt đầu từ offset 296.960, và được lưu dưới tên ранспортная_накладная_ТТН_№391-44_от_26.06.2025.xls trong thư mục %TEMP%.

Tệp XLS mồi nhử này mô phỏng một Báo cáo Trao đổi Thiết bị (Equipment Interchange Report – EIR) từ thực thể bị trừng phạt Obltransterminal LLC. Nó chứa các chi tiết kiểm tra container, mã hư hỏng (ví dụ: Трещина cho vết nứt, Сквозная коррозия cho ăn mòn) và sơ đồ. Nội dung này được thiết kế để phù hợp với các tiêu chuẩn hậu cần quân sự của Nga, vốn nằm trong danh sách trừng phạt của Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) của Hoa Kỳ theo Sắc lệnh 14024. Sự chi tiết trong việc tạo ra mồi nhử cho thấy sự hiểu biết sâu sắc của kẻ tấn công về các quy trình và tiêu chuẩn của mục tiêu.

Phân Tích Mã Độc EAGLET: Phần Lõi Tấn Công

Đặc Điểm Kỹ Thuật và Cơ Chế Hoạt Động

Payload cốt lõi của chiến dịch, được đặt tên là EAGLET, là một implant DLL được phát triển bằng C++ với các tính năng chuyên biệt cho hoạt động gián điệp. Sau khi được thực thi thành công trên hệ thống nạn nhân, EAGLET thực hiện các bước sau:

• Tạo GUID duy nhất: Nó tạo ra một Mã định danh toàn cầu duy nhất (GUID) để nhận dạng nạn nhân, giúp kẻ tấn công theo dõi và quản lý các máy bị nhiễm.
• Liệt kê thông tin hệ thống: EAGLET thu thập các thông tin cơ bản về hệ thống như tên máy tính (computer name), tên máy chủ (hostname) và tên miền DNS (DNS domain). Những thông tin này được sử dụng để định danh và phân loại mục tiêu.
• Thiết lập cơ chế duy trì: Để đảm bảo khả năng duy trì truy cập vào hệ thống đã bị xâm nhập, EAGLET tạo một thư mục mới tại C:\ProgramData\MicrosoftAppStore. Thư mục này có thể được sử dụng để lưu trữ các thành phần độc hại khác hoặc làm nơi khởi chạy lại payload sau khi hệ thống khởi động lại.

Giao Tiếp Command and Control (C2)

Mã độc EAGLET tạo ra các luồng (threads) bằng hàm CreateThread để thiết lập kênh giao tiếp với máy chủ Command and Control (C2). Giao tiếp này được thực hiện thông qua các API WinHttpOpen và WinHttpConnect, những API thường được dùng để gửi các yêu cầu HTTP/HTTPS. Để che giấu hoạt động độc hại, EAGLET ngụy trang dưới một chuỗi User-Agent là MicrosoftAppStore/2001.0.

Máy chủ C2 chính được mã hóa cứng là 185.225.17.104 và giao tiếp qua cổng 80 (HTTP). EAGLET thường xuyên gửi các yêu cầu GET đến máy chủ C2 để thăm dò lệnh. Các yêu cầu này có định dạng đường dẫn như sau:

/poll?id=<GUID>&hostname=<hostname>&domain=<domain>

Khi nhận được phản hồi từ máy chủ C2, EAGLET sẽ kích hoạt các chức năng tương ứng, bao gồm:

• Thực thi shell từ xa: Thông qua từ khóa cmd:, mã độc có thể nhận và thực thi các lệnh từ xa trên hệ thống nạn nhân, cho phép kẻ tấn công kiểm soát hoàn toàn.
• Tải tệp tin: EAGLET có khả năng tải các tệp tin bổ sung xuống thư mục staging trên hệ thống bị nhiễm. Điều này cho phép kẻ tấn công triển khai các công cụ hoặc payload thứ cấp.
• Phân tán dữ liệu (Exfiltration): Kết quả của các lệnh thực thi hoặc dữ liệu thu thập được sẽ được mã hóa Base64 và gửi về máy chủ C2 thông qua yêu cầu POST đến đường dẫn /result. Định dạng dữ liệu được gửi đi như sau:

id=<GUID>&result=<base64_data>

Cơ Sở Hạ Tầng và Thông Tin Gán Ghép Tấn Công

Phân Tích Hạ Tầng C2

Phân tích hạ tầng cho thấy máy chủ C2 chính 185.225.17.104 được đặt tại Romania dưới ASN 39798, thuộc nhà cung cấp dịch vụ MivoCloud SRL. Các phân tích DNS thụ động (Passive DNS) cũng tiết lộ sự liên kết của máy chủ này với các tên miền đã được tái sử dụng, vốn từng được liên kết với nhóm APT TA505. Tuy nhiên, SEQRITE không tìm thấy mối tương quan trực tiếp về hoạt động hoặc công cụ với TA505, mà chỉ là sự trùng lặp trong việc tái sử dụng hạ tầng.

Ngoài ra, các hoạt động săn lùng mối đe dọa đã phát hiện các chiến dịch tương tự khác nhắm mục tiêu vào hoạt động tuyển quân của Nga, sử dụng các mồi nhử như Договор_РН83_изменения.zip. Những chiến dịch này kết nối với một máy chủ C2 khác là 188.127.254.44, hoạt động dưới ASN 56694.

Liên Kết và Gán Ghép (Attribution)

SEQRITE Labs đã tìm thấy sự chồng chéo đáng kể giữa Operation CargoTalon và chiến dịch Head Mare (được Kaspersky theo dõi). Các điểm tương đồng bao gồm:

• Tương đồng công cụ: Mã độc EAGLET cho thấy các tính năng shell, tải xuống và tải lên tương tự như mã độc PhantomDL, một công cụ được sử dụng trong chiến dịch Head Mare.
• Mẫu đặt tên tệp: Có sự trùng khớp trong các mẫu đặt tên tệp, ví dụ: Contract_RN83_Changes trong chiến dịch này tương tự như Contract_kh02_523 trong các chiến dịch khác liên quan đến Head Mare.
• Động cơ tấn công: Cả hai chiến dịch đều có chung động cơ nhắm mục tiêu vào các thực thể của Nga, đặc biệt là trong lĩnh vực hàng không vũ trụ và quốc phòng.

Dựa trên những bằng chứng này, SEQRITE đã gán ghép Operation CargoTalon cho UNG0901, một nhóm APT được cho là chia sẻ tài nguyên và mục tiêu với Head Mare để thực hiện các hoạt động gián điệp chống lại các ngành công nghiệp hàng không vũ trụ và quốc phòng. SEQRITE’s AgentCiR phát hiện và nhận diện mã độc này là trojan.49644.SL.

Các Chỉ Số Thỏa Hiệp (IOCs)

Các chỉ số thỏa hiệp (Indicators of Compromise – IOCs) sau đây có thể giúp các tổ chức phát hiện và ứng phó với Operation CargoTalon:

File Hashes (ví dụ)

• SHA256 của EML độc hại: (Không được cung cấp trong nội dung gốc, cần bổ sung nếu có)
• SHA256 của DLL/EAGLET: (Không được cung cấp trong nội dung gốc, cần bổ sung nếu có)
• SHA256 của LNK độc hại: (Không được cung cấp trong nội dung gốc, cần bổ sung nếu có)
• SHA256 của XLS mồi nhử: (Không được cung cấp trong nội dung gốc, cần bổ sung nếu có)

Tên Tệp và Đường Dẫn

• Tên tệp EML: backup-message-10.2.2.20_9045-800282.eml
• Tên tệp ZIP/DLL giả mạo: Транспортная_накладная_ТТН_№391-44_от_26.06.2025.zip
• Tên tệp LNK độc hại: Транспортная_накладная_ТТН_№391-44_от_26.06.2025.zip.LNK (phần .LNK có thể ẩn)
• Tên tệp XLS mồi nhử: ранспортная_накладная_ТТН_№391-44_от_26.06.2025.xls
• Đường dẫn duy trì: C:\ProgramData\MicrosoftAppStore

Địa Chỉ IP Command and Control (C2)

• 185.225.17.104 (C2 chính)
• 188.127.254.44 (C2 của các chiến dịch tương tự)

User-Agent

• MicrosoftAppStore/2001.0

Đường dẫn C2

• Polling: /poll?id=<GUID>&hostname=<hostname>&domain=<domain>
• Exfiltration: /result

Tên phát hiện Antivirus

• SEQRITE AgentCiR: trojan.49644.SL

Đánh Giá Rủi Ro và Mức Độ Nghiêm Trọng

Operation CargoTalon là một ví dụ điển hình về khả năng duy trì truy cập nâng cao thông qua việc sử dụng các công cụ hợp pháp của hệ thống (LOLBins), kỹ thuật nhúng tệp mồi nhử tinh vi, và tương tác C2 theo mô-đun. Chiến dịch này không chỉ thể hiện năng lực cao của những kẻ tấn công trong việc ngụy trang và lẩn tránh, mà còn nhấn mạnh rủi ro bảo mật hệ thống ngày càng gia tăng đối với cơ sở hạ tầng trọng yếu của các quốc gia. Việc nhắm mục tiêu vào các tổ chức quân sự-hàng không cho thấy động cơ gián điệp rõ ràng, đặt ra mối đe dọa nghiêm trọng đối với an ninh quốc phòng và dữ liệu nhạy cảm. Các tổ chức cần tăng cường khả năng phòng thủ, đặc biệt là đối phó với các cuộc tấn công spear-phishing và việc khai thác LOLBins, để bảo vệ hệ thống của mình khỏi các mối đe dọa APT đang phát triển.