Một mối đe dọa mạng mới được xác định, mang tên SHEETCREEP, đang thu hút sự chú ý bởi cách thức sử dụng tinh vi Google Sheets làm kênh liên lạc ẩn giữa kẻ tấn công và các máy bị nhiễm. Phần mềm độc hại này, viết bằng C#, nhắm mục tiêu vào các tổ chức ngoại giao và sử dụng một tệp lừa đảo được chế tạo cẩn thận để dụ dỗ nạn nhân thực thi nó trên hệ thống của họ. Chiến dịch này đại diện cho một bước đi có tính toán của các tác nhân đe dọa muốn che giấu hoạt động độc hại đằng sau một trong những nền tảng đáng tin cậy và được sử dụng rộng rãi nhất trên internet.
Phương thức Tấn công và Lây nhiễm
SHEETCREEP được phân phối thông qua email lừa đảo, mạo danh là tài liệu chính thức liên quan đến “Tuần lễ Đối tác Chiến lược UAE-Ấn Độ”. Nạn nhân nhận được một tệp ISO chứa một phím tắt. Khi nhấp vào phím tắt này, nó sẽ âm thầm khởi chạy trình thả phần mềm độc hại (dropper).
Phương pháp tấn công kỹ thuật xã hội này hoạt động hiệu quả vì nó khai thác lòng tin mà người dùng thường đặt vào các thông tin liên lạc có chủ đề chính phủ, vốn có vẻ ngoài hoàn toàn hợp pháp. Các nhà nghiên cứu từ Securonix đã ghi nhận chiến dịch này lần đầu vào tháng 1 năm 2026, nhưng phiên bản hiện tại cho thấy rõ ràng sự tiến hóa trong kỹ thuật của kẻ tấn công.
Kỹ thuật Che giấu và Mã hóa
Các tác nhân đe dọa đã nâng cấp công cụ của mình để việc phát hiện trở nên khó khăn hơn. Chúng thay thế các chuỗi cấu hình dạng văn bản thuần túy bằng các chuỗi được mã hóa XOR, chỉ giải mã tại thời điểm chạy. Điều này làm cho việc phân tích tĩnh trở nên phức tạp hơn đáng kể đối với các đội ngũ an ninh mạng.
Một trong những tính năng đáng chú ý nhất của SHEETCREEP là cách nó cố tình tránh bị phát hiện ở mọi giai đoạn. Thay vì khởi chạy PowerShell như một chương trình riêng biệt, RAT thực thi các lệnh hoàn toàn từ bộ nhớ trong của chính nó, không để lại tiến trình con nào hiển thị cho các công cụ giám sát bảo mật.
Phần mềm độc hại cũng ẩn tệp thực thi của nó bằng cách sử dụng các thuộc tính tệp Hidden và System bên trong một đường dẫn thư mục giống với một thư mục hệ thống Windows tiêu chuẩn. Để duy trì sự hiện diện dai dẳng, nó cài đặt một tác vụ theo lịch có tên WindowsVaultSyncService với mô tả gây hiểu lầm, nhằm mục đích trông có vẻ vô hại khi xem xét thủ công.
Tác vụ này được thiết lập để chạy mỗi khi người dùng đăng nhập mà không có giới hạn thời gian, duy trì quyền truy cập của kẻ tấn công một cách vô thời hạn. Nếu phần mềm độc hại phát hiện các công cụ phân tích đang hoạt động như dnSpy hoặc Wireshark, nó sẽ buộc hệ thống khởi động lại ngay lập tức để phá vỡ bất kỳ cuộc điều tra nào đang diễn ra.
Cơ chế Chỉ huy và Kiểm soát (C2) Tinh vi
Sử dụng Google Sheets API
Khả năng điều khiển và kiểm soát (C2) của SHEETCREEP là một điểm nhấn kỹ thuật. Thay vì sử dụng các máy chủ C2 truyền thống, RAT này khai thác Google Sheets API. Việc này cho phép các lệnh được gửi từ kẻ tấn công đến các máy bị nhiễm và dữ liệu bị đánh cắp được gửi trở lại, tất cả đều thông qua hạ tầng của Google.
Mọi giao tiếp đều chạy qua Google Sheets API qua HTTPS, khiến lưu lượng truy cập trông giống hệt hoạt động bình thường của Google Workspace. Các lệnh được ghi vào một cột của bảng tính và phản hồi được gửi vào một cột khác, với tất cả dữ liệu được mã hóa Base64 trước khi truyền đi.
Mã hóa Chuỗi Cấu hình
Các chuỗi cấu hình C2, bao gồm ID bảng tính và email tài khoản dịch vụ, được mã hóa XOR với khóa “discrete”. Việc giải mã chỉ xảy ra tại thời điểm chạy, gây khó khăn đáng kể cho các nỗ lực phân tích tĩnh.
Các nhà phân tích đã trích xuất các thông tin đăng nhập được mã hóa cứng từ tệp nhị phân của RAT và xác thực trực tiếp vào bảng tính chỉ huy và kiểm soát đang hoạt động. Tại thời điểm phân tích, họ đã phát hiện 91 tab nạn nhân đang hoạt động.
Xác định Mục tiêu Thực tế
Trong số các tab nạn nhân đang hoạt động, 17 tab được xác định là các mục tiêu tiềm năng thực sự, với dấu hiệu về phần cứng vật lý và không có chỉ số sandbox. Một mục tiêu có độ tin cậy cao đã được xác nhận tại Islamabad, Pakistan, cho thấy mức độ xâm nhập sâu rộng của phần mềm độc hại vào mạng lưới nạn nhân.
Chi tiết Kỹ thuật của SHEETCREEP
Kích thước và Tệp thực thi
SHEETCREEP RAT, được lưu trữ dưới dạng vaultsvc.exe bên trong thư mục Windows Credential Vault hợp pháp, có kích thước chỉ khoảng 20 KB. Mặc dù có kích thước nhỏ gọn, nó có khả năng thực thi lệnh, thu thập dữ liệu và báo cáo lại cho kẻ tấn công một cách đầy đủ.
Định danh Nạn nhân và Tùy chỉnh
RAT tạo ra một định danh nạn nhân duy nhất từ tên người dùng, tên máy và một hàm băm bốn ký tự. Định danh này sau đó được sử dụng làm tên cho một tab riêng biệt trong bảng tính Google của kẻ tấn công.
Tránh Phát hiện
Phần mềm độc hại cũng ẩn tệp thực thi của nó bằng cách sử dụng các thuộc tính tệp Hidden và System bên trong một đường dẫn thư mục trông giống như một thư mục hệ thống Windows tiêu chuẩn. Điều này giúp nó tránh khỏi sự chú ý của người dùng và các công cụ quét cơ bản.
Khuyến nghị Bảo mật
Biện pháp Phòng ngừa Người dùng Cuối
Các chuyên gia bảo mật khuyến nghị người dùng cần cảnh giác và tránh mở các tệp đính kèm ISO không rõ nguồn gốc hoặc đáng ngờ. Cần giám sát các tệp thực thi bất thường xuất hiện trong thư mục Windows Vault.
Giám sát và Phát hiện Nâng cao
Các tổ chức nên chú ý đến các tác vụ theo lịch được đăng ký thông qua COM thay vì dòng lệnh tiêu chuẩn. Việc gắn cờ các tiến trình không phải trình duyệt thực hiện kết nối lặp đi lặp lại tới các điểm cuối Google Sheets API là rất quan trọng.
Việc triển khai các giải pháp giám sát nâng cao như Sysmon, kết hợp với khả năng phát hiện dựa trên .NET, có thể giúp nắm bắt hoạt động PowerShell trong tiến trình mà các cơ chế ghi nhật ký thông thường có thể bỏ sót. Việc cập nhật bản vá thường xuyên cho hệ điều hành và các ứng dụng cũng là một biện pháp cốt lõi để giảm thiểu bề mặt tấn công.
Chỉ số Xâm nhập (IOCs)
- Tên tệp thực thi: vaultsvc.exe
- Thư mục hoạt động: Thư mục tương tự Windows Credential Vault
- Thuộc tính tệp: Hidden, System
- Cơ chế duy trì: Tác vụ theo lịch có tên WindowsVaultSyncService
- Khóa XOR: “discrete”
- Giao thức C2: Google Sheets API (HTTPS)
- Mã hóa dữ liệu C2: Base64
- Kỹ thuật tránh phát hiện: Thực thi lệnh trong bộ nhớ, không tạo tiến trình con
- Phát hiện công cụ phân tích: Tự động khởi động lại hệ thống
