Một chiến dịch tấn công mạng tinh vi, được biết đến với tên gọi The Quarry, đang nhắm mục tiêu vào người đóng thuế tại Hoa Kỳ thông qua các hoạt động lừa đảo (phishing) có tổ chức cao. Ban đầu, các vụ việc có vẻ rời rạc, giả mạo các cơ quan như Sở Thuế Vụ (IRS) và Cơ quan An sinh Xã hội (SSA), cùng các nền tảng như DocuSign. Tuy nhiên, phân tích đã chỉ ra rằng tất cả đều là sản phẩm của một nhà phát triển duy nhất cung cấp bộ công cụ Phishing-as-a-Service (PhaaS) cho gần 200 đối tượng khai thác.
Mô hình Phishing-as-a-Service (PhaaS) The Quarry
Chiến dịch này đã hoạt động từ ít nhất tháng 4 năm 2025 và vẫn tiếp diễn. Bộ công cụ The Quarry cung cấp cho người mua đầy đủ mọi thứ cần thiết để triển khai một chiến dịch lừa đảo hoàn chỉnh mà không cần tự xây dựng công cụ. Các đối tượng khai thác nhận được các trang lừa đảo, hạ tầng ẩn danh (cloaking infrastructure), bảng điều khiển truy cập từ xa (remote access panels), công cụ gửi email hàng loạt và các tập lệnh sau khai thác (post-exploitation scripts).
Theo các nhà phân tích tại SOCRadar, nhà phát triển đứng sau hoạt động này hoạt động dưới bí danh RockyBelling (còn được biết đến là Rock, Rockky và Mike). Đối tượng này vận hành một kênh Telegram có tên Rocky War Room, nơi cung cấp danh mục sản phẩm, hỗ trợ kỹ thuật và thông báo về các bản phát hành công cụ mới.
Các chiến dịch thường tập trung vào mùa thuế, nhưng hoạt động này diễn ra quanh năm, liên tục điều chỉnh các kỹ thuật lôi kéo người dùng dựa trên các tiền đề được cho là thuyết phục nhất vào thời điểm đó.
Kỹ thuật Khai thác và Lây nhiễm
Điểm đặc biệt nguy hiểm của The Quarry là việc lạm dụng các phần mềm giám sát và quản lý từ xa (RMM) hợp pháp làm tải trọng cuối cùng. Thay vì triển khai mã độc có thể dễ dàng bị phát hiện, những kẻ tấn công phát tán một trình cài đặt im lặng của ConnectWise ScreenConnect, một công cụ truy cập từ xa được tin dùng rộng rãi.
Việc sử dụng các công cụ hợp pháp này cho phép kẻ tấn công giành quyền kiểm soát hoàn toàn thiết bị của nạn nhân, đồng thời né tránh các công cụ phát hiện mã độc truyền thống.
Quy trình Tấn công Chi tiết
Cuộc tấn công bắt đầu bằng một email hàng loạt được thiết kế để trông giống như thông báo hoàn thuế của IRS, xác nhận nộp thuế của SSA hoặc một tài liệu được chia sẻ qua nền tảng đáng tin cậy. Khi nạn nhân nhấp vào liên kết, trang web lừa đảo sẽ âm thầm lọc bỏ những truy cập không phải là Windows và các trình quét bảo mật tự động.
Một lớp bảo vệ thứ hai sử dụng Adspect, một dịch vụ ẩn danh lưu lượng truy cập, để chặn các nhà nghiên cứu bảo mật trước khi trang lừa đảo hiển thị. Trang lừa đảo mô phỏng cổng thông tin của Cơ quan An sinh Xã hội một cách chi tiết, bao gồm cả con dấu SSA và các mục bố cục quen thuộc.
Nạn nhân được hướng dẫn tải xuống một “Security Connector” để truy cập bảng sao kê của họ. Tuy nhiên, tải trọng thực sự là một trình cài đặt MSI của ScreenConnect, được tải xuống âm thầm thông qua một khung trang web ẩn.
Vào tháng 4 năm 2026, nhà phát triển đã phát hành một công cụ thả VBS (VBS dropper) được gửi qua email. Công cụ này cài đặt ScreenConnect một cách im lặng đồng thời mở một tệp PDF giả mạo để đánh lạc hướng nạn nhân.
Sau khi ScreenConnect được cài đặt, các đối tượng khai thác có thể triển khai các tập lệnh PowerShell để trích xuất dữ liệu có giá trị. Một tập lệnh thu thập lịch sử trình duyệt sáu tháng bằng cách buộc đóng trình duyệt để mở khóa cơ sở dữ liệu của nó, sau đó gửi dữ liệu đến kẻ tấn công qua Telegram.
Một tập lệnh khác quét các tệp của nạn nhân để tìm các tài liệu thuế W-2, nhắm mục tiêu vào số An sinh Xã hội, hồ sơ nhà tuyển dụng và thông tin lương.
Khả năng Mở rộng và Công cụ Hỗ trợ
Kênh Telegram của nhà phát triển cũng quảng bá VioletRAT, một công cụ có khả năng đánh cắp thông tin đăng nhập và cookie. Dữ liệu này xác nhận hoạt động của The Quarry tích cực nhắm vào các dữ liệu tài chính và doanh nghiệp có giá trị cao, vượt ra ngoài việc đánh cắp thông tin đăng nhập đơn thuần.
Khóa truy cập AWS đã được tìm thấy trong các bản ghi chiến dịch, thu thập từ các tệp JavaScript công khai thuộc về các tổ chức bị nhắm mục tiêu.
Hoạt động này đã cho thấy dấu hiệu về rủi ro lan rộng, với thông tin đăng nhập bị đánh cắp có khả năng được bán cho các nhóm ransomware thông qua hoạt động của Nhà môi giới truy cập ban đầu (Initial Access Broker).
Tầm ảnh hưởng và Quy mô
Hơn 500 địa chỉ IP nạn nhân riêng biệt đã được xác định trên 14 quốc gia, với hơn 90% nạn nhân tập trung tại Hoa Kỳ. Quy mô này cho thấy mức độ phổ biến và hiệu quả của bộ công cụ PhaaS này.
Cuộc tấn công này đại diện cho một mối đe dọa mạng nghiêm trọng, khai thác lòng tin của người dùng vào các tổ chức chính phủ và các công cụ quản lý từ xa hợp pháp để thực hiện các hành vi xâm nhập trái phép.
Phát hiện và Chỉ số Tấn công (IOC)
Các chỉ số tấn công (IOC) có thể bao gồm:
- Lưu lượng truy cập API Telegram bất thường từ các điểm cuối không sử dụng Telegram thông thường.
- Các bản cài đặt ConnectWise ScreenConnect không được phê duyệt hoặc không giải thích được trên hệ thống.
- Các tập lệnh PowerShell đáng ngờ liên quan đến việc thu thập lịch sử trình duyệt hoặc quét tài liệu thuế.
- Các tệp VBS dropper được gửi qua email, đặc biệt là những tệp có liên quan đến việc cài đặt ScreenConnect.
- Dữ liệu nhạy cảm được exfiltrate qua Telegram.
- AWS access keys được tìm thấy trong các tệp JavaScript công khai của tổ chức.
Các tổ chức nên thực hiện các biện pháp phòng ngừa để giảm thiểu rủi ro từ các chiến dịch tương tự.
Biện pháp Phòng chống và Giảm thiểu Rủi ro
Các tổ chức có thể phòng chống The Quarry bằng cách duy trì danh sách phê duyệt các công cụ truy cập từ xa và cảnh báo ngay lập tức về bất kỳ cài đặt ScreenConnect bất thường nào. Việc kiểm tra lưu lượng truy cập API Telegram từ các điểm cuối không sử dụng thông thường nên được điều tra, vì nó có thể là dấu hiệu của việc exfiltration dữ liệu đang hoạt động.
Do việc mạo danh chính phủ là trọng tâm của chiến dịch này, nhân viên cần được giáo dục rằng IRS và SSA không bao giờ gửi các tệp thực thi qua email. Hạn chế thực thi VBScript từ các thư mục có thể ghi của người dùng sẽ làm gián đoạn chuỗi phân phối VBS trước khi nó có thể hoàn thành.
Việc áp dụng các biện pháp an toàn thông tin mạnh mẽ, bao gồm đào tạo nhận thức về lừa đảo, quản lý truy cập nghiêm ngặt và giám sát hệ thống liên tục, là chìa khóa để chống lại các mối đe dọa như The Quarry.
Để có thêm thông tin chi tiết về các mối đe dọa mạng và các cảnh báo bảo mật mới nhất, hãy tham khảo các nguồn tin cậy như CISA (Cybersecurity and Infrastructure Security Agency) tại cisa.gov.
