Shadow Vector: Tấn Công SVG Độc Hại Rình Rập Người Dùng Colombia

24/06/2025
4 mins read

Gần đây, một chiến dịch phần mềm độc hại mới được xác định với tên gọi Shadow Vector đang nhắm mục tiêu cụ thể vào người dùng tại Colombia. Chiến dịch này sử dụng một kỹ thuật lừa đảo tinh vi thông qua các tệp hình ảnh SVG độc hại, được ngụy trang thành các tài liệu tòa án khẩn cấp nhằm lừa người dùng tải xuống và thực thi mã độc.

Việc sử dụng các tệp SVG (Scalable Vector Graphics) làm vector tấn công chính là một điểm đáng chú ý. Các tệp SVG thường được coi là hình ảnh an toàn, nhưng chúng có khả năng nhúng mã JavaScript hoặc các script khác. Khi người dùng mở một tệp SVG độc hại, trình duyệt hoặc phần mềm xem ảnh có thể thực thi mã nhúng này, cho phép kẻ tấn công kiểm soát hệ thống của nạn nhân hoặc tải xuống thêm các tải trọng độc hại khác. Kỹ thuật này giúp vượt qua một số lớp bảo mật truyền thống vốn tập trung vào các định dạng tệp thực thi phổ biến.

Nghiên cứu sâu hơn đã chỉ ra rằng chiến dịch Shadow Vector có mối liên hệ với các nhà điều hành của nhóm tấn công tinh vi ShadowPad. Các bằng chứng liên kết này bao gồm việc chia sẻ cơ sở hạ tầng hoặc các mẫu mã độc có sự trùng lặp với các chiến dịch đã biết của ShadowPad. Điều này cho thấy Shadow Vector có thể là một phần trong kho vũ khí của một nhóm tấn công có tổ chức và có khả năng cao, chuyên thực hiện các hoạt động gián điệp mạng hoặc tấn công có mục tiêu. Sự liên kết này cảnh báo về mức độ nghiêm trọng và sự phức tạp của mối đe dọa.

Nội dung
Các Chỉ số Thỏa hiệp (IOCs)
Máy chủ Command and Control (C2)
Tên miền tình nghi liên quan đến ShadowPad
Ví dụ về tệp (liên quan đến mẫu ShadowPad DLL hijacking)
Các Nền tảng Bị Khai thác và Véc-tơ Truy cập Ban đầu

Các Chỉ số Thỏa hiệp (IOCs)

Để hỗ trợ các chuyên gia bảo mật trong việc phát hiện và ngăn chặn các cuộc tấn công liên quan đến ShadowPadShadow Vector, các chỉ số thỏa hiệp sau đây đã được xác định. Việc tích hợp các IOCs này vào hệ thống phòng thủ, như tường lửa, IDS/IPS, hoặc các giải pháp EDR, là bước cần thiết để tăng cường khả năng phòng vệ.

Máy chủ Command and Control (C2)

  • dscriy.chtq[.]net
  • updata.dsqurey[.]com

Tên miền tình nghi liên quan đến ShadowPad

  • network.oossafe[.]com
  • notes.oossafe[.]com

Ví dụ về tệp (liên quan đến mẫu ShadowPad DLL hijacking)

  • 1D017DF2.tmp

Các máy chủ C2 và tên miền liên quan là những điểm kết nối mà mã độc sử dụng để nhận lệnh hoặc gửi dữ liệu đánh cắp. Việc giám sát hoặc chặn lưu lượng truy cập đến các địa chỉ này có thể giúp ngăn chặn hoặc phát hiện các hoạt động tấn công. Tệp .tmp được đề cập là một ví dụ về một tệp được sử dụng trong các kỹ thuật DLL hijacking, một phương pháp phổ biến để tải và thực thi mã độc bằng cách thao túng quá trình tải thư viện động của các ứng dụng hợp pháp.

Các Nền tảng Bị Khai thác và Véc-tơ Truy cập Ban đầu

Trong quá trình phân tích các mẫu liên quan đến ShadowPad (được kết nối ngữ cảnh với nghiên cứu Shadow Vector), các nhà nghiên cứu đã quan sát thấy nhiều nền tảng và hệ thống đã bị khai thác để đạt được quyền truy cập ban đầu hoặc duy trì kênh liên lạc. Việc các nền tảng phổ biến và quan trọng này bị nhắm mục tiêu cho thấy phạm vi rộng lớn và mức độ nghiêm trọng của các chiến dịch mà nhóm này thực hiện. Các nền tảng này thường là các thiết bị biên mạng, máy chủ công cộng, hoặc các dịch vụ quan trọng trong hạ tầng doanh nghiệp.

  • Check Point gateway devices: Các thiết bị cổng bảo mật của Check Point, thường được triển khai tại ranh giới mạng để kiểm soát lưu lượng và thực thi chính sách bảo mật, bị nghi ngờ là một véc-tơ truy cập ban đầu. Việc khai thác các thiết bị này có thể cung cấp cho kẻ tấn công quyền kiểm soát mạng nội bộ hoặc thiết lập một cầu nối bền vững.
  • Fortinet FortiGate servers: Tương tự như Check Point, các máy chủ FortiGate của Fortinet là các thiết bị bảo mật đa chức năng (firewall, VPN, IPS, v.v.). Khai thác thành công các máy chủ này có thể dẫn đến việc xâm nhập vào mạng nội bộ, truy cập trái phép vào các tài nguyên hoặc sử dụng chúng làm bàn đạp cho các cuộc tấn công tiếp theo.
  • Microsoft IIS servers: Các máy chủ Internet Information Services (IIS) của Microsoft là nền tảng máy chủ web phổ biến. Việc khai thác IIS thường nhắm vào các lỗ hổng trong ứng dụng web hoặc cấu hình máy chủ, cho phép kẻ tấn công thực thi mã từ xa, truy cập dữ liệu nhạy cảm hoặc thiết lập web shell để duy trì quyền kiểm soát.
  • SonicWall servers: SonicWall cung cấp một loạt các giải pháp bảo mật mạng, bao gồm tường lửa và thiết bị truy cập từ xa. Việc nhắm mục tiêu vào các máy chủ SonicWall có thể liên quan đến việc lợi dụng các lỗ hổng trong các dịch vụ truy cập từ xa hoặc các thành phần cổng mạng để giành quyền truy cập vào mạng của tổ chức.
  • CrushFTP servers: CrushFTP là một máy chủ FTP/SFTP mạnh mẽ và an toàn thường được sử dụng để truyền tệp. Các lỗ hổng trong máy chủ truyền tệp có thể cho phép kẻ tấn công tải lên hoặc tải xuống các tệp độc hại, thực hiện các hành động trái phép, hoặc sử dụng máy chủ như một điểm phân phối mã độc hoặc lưu trữ dữ liệu đánh cắp.

Sự đa dạng của các nền tảng bị nhắm mục tiêu nêu bật chiến thuật “điểm yếu nhất” của kẻ tấn công, trong đó chúng tìm kiếm và khai thác các lỗ hổng trên nhiều loại thiết bị và dịch vụ khác nhau để đạt được mục tiêu cuối cùng. Các tổ chức cần thực hiện các biện pháp bảo mật toàn diện, bao gồm cập nhật phần mềm định kỳ, quản lý vá lỗi nghiêm ngặt, giám sát nhật ký hệ thống và triển khai các giải pháp phát hiện và ứng phó điểm cuối (EDR), để đối phó hiệu quả với các mối đe dọa từ các nhóm như ShadowPad và các chiến dịch như Shadow Vector.