Một chiến dịch phishing tinh vi, được cho là có liên hệ với nhóm APT36 (hay còn gọi là Transparent Tribe hoặc Mythic Leopard), đã được phát hiện nhằm vào các tổ chức quốc phòng và cơ quan chính phủ Ấn Độ. Chiến dịch này đại diện cho một tấn công mạng có chủ đích, sử dụng các kỹ thuật lừa đảo phức tạp để vượt qua các biện pháp bảo mật hiện có.
Chiến Dịch Phishing Tinh Vi và Mục Tiêu Tấn Công
Kỹ Thuật Typosquatting và Lừa Đảo Tên Miền
Chiến dịch khai thác các tên miền typosquatted, mô phỏng các nền tảng chính thức của chính phủ Ấn Độ, chẳng hạn như mail.mgovcloud.in và virtualeoffice.cloud. Mục tiêu là đánh lừa người dùng cung cấp thông tin đăng nhập. Đây là một phương thức phổ biến trong các tấn công mạng nhằm thu thập thông tin nhạy cảm.
Kỹ thuật lừa đảo xã hội tiên tiến được áp dụng bằng cách giả mạo các cổng thông tin chính phủ hợp pháp. Để tăng cường độ tin cậy, các địa chỉ email báo cáo an ninh mạng đáng tin cậy cũng được tích hợp vào các trang giả mạo này. Điều này giúp kẻ tấn công mạng dễ dàng thuyết phục nạn nhân hơn.
Bỏ Qua Xác Thực Đa Yếu Tố (MFA)
Điểm đáng chú ý của chiến dịch là khả năng thu thập mật khẩu dùng một lần (OTP) theo thời gian thực từ hệ thống xác thực đa yếu tố (MFA) Kavach, do Trung tâm Tin học Quốc gia (NIC) phát triển. Khi nạn nhân truy cập các URL độc hại, họ bị chuyển hướng đến các trang web giả mạo. Các trang này sao chép logo, bố cục và tiêu đề chính thức, yêu cầu nhập ID email, mật khẩu và OTP được tạo từ Kavach.
Việc đánh cắp thông tin đăng nhập theo thời gian thực này nhằm mục đích bỏ qua các biện pháp bảo vệ MFA. Điều này cho phép truy cập trái phép vào các tài khoản email nhạy cảm, có khả năng làm lộ dữ liệu mật và gây ra rủi ro đáng kể cho cơ sở hạ tầng an ninh quốc gia. Đây là một hình thức tấn công mạng có tác động sâu rộng.
Hạ Tầng Tấn Công và Chỉ Số Nhận Diện Sự Cố (IOCs)
Cấu Trúc Hạ Tầng Phishing
Hạ tầng phishing thể hiện sự tinh vi về kỹ thuật. Các tên miền giả mạo phân giải thành các địa chỉ IP như 99.83.175.80 (được lưu trữ trên AS16509 của Amazon) và 37.221.64.202. Địa chỉ IP sau thiết lập kết nối HTTPS ra bên ngoài qua cổng 443 đến các máy chủ Command-and-Control (C2) từ xa, phục vụ cho việc xuất dữ liệu đã đánh cắp một cách an toàn. Phân tích chỉ ra các IP này đã bị gắn cờ trong các nguồn cấp dữ liệu threat intelligence liên quan đến các hoạt động phishing, thường được liên kết với các chiến dịch typosquatting. Tham khảo thêm về phân tích chi tiết tại Cyfirma Research. Đây là đặc điểm chung của các tấn công mạng có tổ chức.
Các tên miền bổ sung, được đăng ký từ tháng 3 năm 2024 đến tháng 7 năm 2025, thể hiện các mẫu phối hợp, bao gồm các tên miền phụ liên quan đến các thực thể chính phủ Ấn Độ và hạ tầng liên kết với công ty CNTT Pakistan Zah Computers. Điều này cho thấy sự tham gia trực tiếp hoặc các máy chủ dàn dựng đã bị xâm phạm. Sự phối hợp này càng làm tăng mức độ nguy hiểm của tấn công mạng.
Chỉ Số Nhận Diện Sự Cố (IOCs)
Các chỉ số IOC liên quan đến chiến dịch này bao gồm:
- Địa chỉ IP:
99.83.175.8037.221.64.202
- Tên miền Typosquatted (ví dụ):
mail.mgovcloud.invirtualeoffice.cloud- Các tên miền khác được đăng ký từ tháng 3/2024 đến tháng 7/2025 có liên quan đến các thực thể chính phủ Ấn Độ.
Quy tắc YARA tùy chỉnh APT36_Phishing_Indicators có thể được sử dụng để phát hiện các IOCs này, hỗ trợ giảm thiểu rủi ro chủ động trước các mối đe dọa mạng.
Kỹ Thuật, Chiến Thuật và Thủ Tục (TTPs) của Nhóm APT36
Việc gán cho APT36 được củng cố bởi lịch sử gián điệp mạng do nhà nước bảo trợ của nhóm này từ năm 2016. APT36 đã nhắm mục tiêu vào các thực thể ở Ấn Độ và các quốc gia khác để thu thập thông tin tình báo quân sự và ngoại giao. Hoạt động của nhóm này phản ánh một mối đe dọa mạng dai dẳng và nguy hiểm.
Các TTPs đã biết của APT36, bao gồm:
- Truy cập Ban đầu (Initial Access):
- Phishing với tệp đính kèm spear-phishing (T1566.001 – Phishing: Spearphishing Link).
- Các liên kết độc hại.
- Khai thác lỗ hổng trong các bộ ứng dụng văn phòng và ứng dụng web.
- Thực thi (Execution):
- Thực thi thông qua tương tác người dùng (T1204.001 – User Execution).
- Thu thập dữ liệu (Collection):
- Thu thập dữ liệu từ hệ thống cục bộ (T1005 – Data from Local System).
- Phát triển Tài nguyên (Resource Development):
- Mua lại tên miền (T1583.001 – Acquire Infrastructure: Domains).
- Khám phá (Discovery):
- Khám phá chủ sở hữu/người dùng hệ thống (T1033 – System Owner/User Discovery).
- Khám phá tiến trình (T1057 – Process Discovery).
- Duy trì Quyền truy cập (Persistence):
- Sử dụng các khóa chạy trong registry (T1547.001 – Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder).
- Xuất dữ liệu (Exfiltration):
- Xuất dữ liệu qua các kênh C2 (T1041 – Exfiltration Over C2 Channel).
Chiến dịch này cũng sử dụng các cuộc tấn công kiểu watering-hole và kỹ thuật “click-fix”, phản ánh phương thức hoạt động quen thuộc của APT36. Các hoạt động của nhóm này gây ảnh hưởng đến các lĩnh vực như hàng không vũ trụ, quốc phòng, chính phủ và quân sự ở các khu vực địa lý bao gồm Ấn Độ, Afghanistan và UAE. Đây là một ví dụ điển hình về tấn công mạng có định hướng chiến lược và khả năng gây ra rủi ro nghiêm trọng.
Tác Động và Biện Pháp Đối Phó Hiệu Quả
Hậu Quả Kinh Doanh và Quốc Gia
Hậu quả của chiến dịch này không chỉ giới hạn ở việc đánh cắp dữ liệu, mà còn gây ra gián đoạn hoạt động nghiêm trọng và thiệt hại nặng nề về danh tiếng cho các tổ chức bị ảnh hưởng. Đối với các cơ quan chính phủ và quốc phòng, việc lộ lọt thông tin nhạy cảm có thể ảnh hưởng trực tiếp đến an ninh quốc gia, dẫn đến những hệ lụy chiến lược khó lường. Những tác động này nhấn mạnh nhu cầu cấp thiết về các biện pháp phòng thủ mạnh mẽ và kiên cố, đặc biệt là trong bối cảnh các tấn công mạng ngày càng tinh vi và nhắm mục tiêu cao.
Khuyến Nghị Bảo Vệ Hệ Thống và Dữ Liệu
Để chống lại mối đe dọa mạng dai dẳng và phức tạp này, các chuyên gia an ninh mạng khuyến nghị triển khai đồng bộ các biện pháp chiến lược và kỹ thuật. Điều này bao gồm việc thực thi chính sách tên miền quốc gia một cách hiệu quả để nhanh chóng gỡ bỏ các tên miền giả mạo, từ đó hạn chế khả năng lừa đảo của kẻ tấn công mạng. Đồng thời, việc nâng cao nhận thức về an ninh mạng thông qua các chiến dịch giáo dục định kỳ trong nội bộ tổ chức là vô cùng cần thiết để trang bị kiến thức cho người dùng cuối.
Về mặt kỹ thuật, việc triển khai hệ thống lọc email đa lớp là biện pháp thiết yếu để phát hiện và ngăn chặn các email phishing ngay từ đầu. Bên cạnh đó, sử dụng phân tích hành vi để phát hiện kịp thời các hành vi lạm dụng OTP theo thời gian thực sẽ giúp vô hiệu hóa các nỗ lực bỏ qua MFA. Tăng cường bảo mật mạng toàn diện thông qua việc thực hiện hardening mạng, bao gồm lọc DNS và giải mã TLS, là chìa khóa để bảo vệ lưu lượng truy cập và ngăn chặn hoạt động C2 độc hại.
Ở cấp độ quản lý, việc ưu tiên thực thi chính sách bảo mật chặt chẽ, chuẩn bị sẵn sàng cho công tác ứng phó sự cố và đào tạo bắt buộc về các chiến thuật của APT cho toàn bộ nhân viên là không thể thiếu. Điều này giúp xây dựng một tư thế phòng thủ chủ động và kiên cường.
Chiến dịch này một lần nữa nêu bật bối cảnh các mối đe dọa do nhà nước bảo trợ đang phát triển, đòi hỏi sự quản lý và giám sát cảnh giác liên tục để bảo vệ các tài sản thông tin quan trọng khỏi các tấn công mạng tiềm ẩn và duy trì an toàn thông tin quốc gia.
