Nghiên cứu của Check Point Research đã xác định chiến dịch tấn công mạng kéo dài của nhóm tác nhân đe dọa liên kết với Iran, Nimbus Manticore – còn được biết đến với các tên gọi UNC1549, Smoke Sandstorm và chiến dịch “Iranian Dream Job”. Nhóm này đã nhắm mục tiêu vào các nhà sản xuất quốc phòng, công ty viễn thông và hàng không, phù hợp với ưu tiên của Lực lượng Vệ binh Cách mạng Hồi giáo (IRGC).
Hoạt động gần đây cho thấy sự tập trung mạnh mẽ vào Tây Âu, đặc biệt là Đan Mạch, Thụy Điển và Bồ Đào Nha. Các mồi nhử lừa đảo spear-phishing đã giả mạo nhà tuyển dụng trong lĩnh vực hàng không vũ trụ, quốc phòng và viễn thông.
Tổng quan về Chiến dịch Tấn công Mạng của Nimbus Manticore
Mỗi nạn nhân nhận được một URL và thông tin đăng nhập duy nhất cho một cổng thông tin nghề nghiệp giả mạo được tùy chỉnh riêng. Điều này cho thấy hoạt động bảo mật (OPSEC) tiên tiến và mồi nhử đáng tin cậy.
Tác nhân này khai thác một chuỗi DLL side-loading đa giai đoạn chưa được ghi nhận trước đây, thông qua API cấp thấp của Windows. Điều này khiến các tiến trình hợp pháp sideload các thư viện độc hại từ các vị trí do kẻ tấn công kiểm soát.
Bộ công cụ mã độc chính bao gồm backdoor MiniJunk và stealer MiniBrowse. Cả hai đều có chữ ký số hợp lệ, kích thước nhị phân được thổi phồng và kỹ thuật che giấu phức tạp ở cấp độ trình biên dịch để né tránh phân tích tĩnh.
Nhìn chung, chiến dịch tấn công mạng này phản ánh kỹ năng tác chiến cấp quốc gia, nhấn mạnh tính tàng hình, khả năng phục hồi và an ninh vận hành trên các lớp phân phối, cơ sở hạ tầng và payload.
Mục tiêu và Phạm vi
Từ đầu năm 2025, Check Point Research (CPR) đã ghi nhận nhiều đợt hoạt động của Nimbus Manticore. Đây là một nhóm APT (Advanced Persistent Threat) có liên hệ với Iran, nhắm vào các tổ chức hàng không vũ trụ và quốc phòng trên khắp Trung Đông và Châu Âu. Chi tiết về hoạt động này đã được CPR công bố.
Được ghi nhận lần đầu vào năm 2022 dưới tên Minibike (còn gọi là SlugResin), các implant tùy chỉnh của nhóm đã phát triển với kiến trúc mô-đun, máy chủ Command-and-Control (C2) dự phòng và các kỹ thuật che giấu mạnh mẽ.
Hoạt động lừa đảo “Iranian Dream Job” đã chứng minh khả năng của tác nhân trong việc tạo ra các mồi nhử theo chủ đề tuyển dụng rất thuyết phục. Giữa năm 2025, Nimbus Manticore giới thiệu một bộ công cụ mới – MiniJunk và MiniBrowse.
Các công cụ này sử dụng sideloading đa giai đoạn, che giấu ở cấp độ trình biên dịch và ký mã hợp lệ để tăng cường tính tàng hình và khả năng duy trì trong hệ thống.
Kỹ thuật Lừa đảo Spear-phishing
Cuộc tấn công mạng của Nimbus Manticore bắt đầu bằng các email lừa đảo spear-phishing được tùy chỉnh từ các nhà tuyển dụng nhân sự được cho là. Nạn nhân được hướng dẫn đến các cổng thông tin giả mạo dựa trên React, mạo danh các công ty như Boeing, Airbus, Rheinmetall và flydubai.
Các cổng này thường được đặt phía sau Cloudflare để che giấu cơ sở hạ tầng thực. Mỗi URL cổng thông tin và thông tin đăng nhập đều là duy nhất, cho phép theo dõi chính xác.
Chuỗi Lây nhiễm Nâng cao
Sau khi xác thực thành công qua API /login-user, nạn nhân tải xuống một tệp ZIP độc hại chứa Setup.exe. Đây là một tệp thực thi hợp pháp khởi tạo một trong những chuỗi lây nhiễm phức tạp nhất từng được quan sát.
Cơ chế DLL Side-loading
Sau khi duy trì trong hệ thống, MigAutoPlay.exe sẽ sideload userenv.dll một lần nữa. Đồng thời, nó hiển thị một cửa sổ bật lên lỗi mạng giả mạo cho người dùng.
Khi xmllite.dll được tải, các hành động của nó khá đơn giản. Nó tạo một thư mục làm việc dưới đường dẫn AppData\Local\Microsoft\MigAutoPlay\.
Triển khai Mã độc
Backdoor cốt lõi, MiniJunk, bắt đầu trong DLLMain, giải quyết các import và thu thập các định danh hệ thống (tên máy tính và tên miền).
Công cụ Mã độc Chính: MiniJunk và MiniBrowse
Sự kết hợp giữa các kỹ thuật che giấu, kích thước tệp lớn và ký mã hợp lệ giúp giảm khả năng bị phát hiện trên các điểm cuối. Một số mẫu lớn nhất vẫn giữ được không lần phát hiện trên VirusTotal.
Backdoor MiniJunk
Dữ liệu mạng được mã hóa đơn giản – các chuỗi ký tự rộng được chuyển đổi thành byte, đảo ngược, sau đó chuỗi được đảo ngược lần nữa – thay vì mã hóa phức tạp. MiniJunk hook ExitProcess để ngăn chặn việc chấm dứt tiến trình.
Sau đó, nó khởi chạy một luồng chính có nhiều nhánh để liên lạc C2. Danh sách được mã hóa cứng từ ba đến năm máy chủ C2 HTTPS đảm bảo tính dự phòng.
Các lệnh C2 được phân tích (ví dụ: đọc tệp, tạo tiến trình, tải DLL) tuân theo một sơ đồ phân tách chuỗi, cho phép đánh cắp dữ liệu và thực thi từ xa với chức năng backdoor tiêu chuẩn, hướng tới mục tiêu chiếm quyền điều khiển hệ thống.
Stealer MiniBrowse
MiniBrowse, một stealer đi kèm, nhắm mục tiêu vào thông tin đăng nhập của Chrome và Edge bằng cách tiêm vào các tiến trình trình duyệt. Nó thu thập các định danh, kết nối với C2 và đánh cắp cơ sở dữ liệu thông tin đăng nhập qua HTTP POST hoặc Named Pipes.
Cả MiniJunk và MiniBrowse đều tận dụng chữ ký số hợp lệ và kích thước nhị phân được thổi phồng để né tránh các công cụ chống vi-rút. Đây là một kỹ thuật tinh vi trong các cuộc tấn công mạng.
Đặc điểm Kỹ thuật và Khả năng Lẩn tránh
Chiến dịch mới nhất của Nimbus Manticore chứng minh cam kết của một quốc gia đối với tính tàng hình, khả năng phục hồi và an ninh vận hành. Nhóm đã tinh chỉnh các kỹ thuật sideloading đa giai đoạn và che giấu, tận dụng các dịch vụ đám mây hợp pháp và tùy chỉnh mồi nhử cho các ngành quốc phòng và viễn thông châu Âu.
Điều này giúp tác nhân tiếp tục hoạt động dưới ngưỡng phát hiện, gây ra mối đe dọa đáng kể cho an ninh mạng toàn cầu.
Kỹ thuật Che giấu và Chống Phân tích
Ví dụ về cách thức mã độc sử dụng chữ ký số và kích thước tệp để né tránh phát hiện:
// Mã giả minh họa kỹ thuật thổi phồng kích thước và ký số
#include <windows.h>
#include <iostream>
int main()
{
// Mã độc thực tế sẽ ở đây
std::cout << "Thực thi payload độc hại..." << std::endl;
// Thêm dữ liệu rác để thổi phồng kích thước binary
// Điều này giúp vượt qua một số cơ chế phát hiện dựa trên kích thước
char junk_data[1024 * 1024]; // 1MB dữ liệu rác
memset(junk_data, 0, sizeof(junk_data));
// Chữ ký số hợp lệ (không thể được thêm vào trong mã nguồn thông thường
// mà thông qua quá trình ký sau khi biên dịch)
// Ký số giúp vượt qua các kiểm tra tính hợp lệ của tệp
return 0;
}
Giao tiếp C2 và Khả năng Phục hồi
Lệnh CLI mẫu để theo dõi kết nối mạng đáng ngờ, có thể là dấu hiệu của giao tiếp C2:
netstat -ano | findstr "ESTABLISHED"
Lệnh này sẽ liệt kê tất cả các kết nối mạng đang hoạt động và trạng thái của chúng, giúp phát hiện các kết nối không mong muốn đến máy chủ C2.
Các chỉ dẫn và Khuyến nghị Phòng ngừa
Các tổ chức ở Đan Mạch, Thụy Điển, Bồ Đào Nha và các nơi khác phải tăng cường phòng thủ chống lừa đảo. Điều này bao gồm giám sát các hành vi sideloading DLL và kiểm tra kỹ các tệp nhị phân lớn, đã ký có sideloading bất thường. Sự cảnh giác và các biện pháp kiểm soát an ninh mạng theo lớp vẫn rất quan trọng để chống lại mối đe dọa đang phát triển này.
Tăng cường Phòng thủ
- Đào tạo nhận thức về bảo mật: Huấn luyện nhân viên về các dấu hiệu của email lừa đảo spear-phishing.
- Xác thực đa yếu tố (MFA): Triển khai MFA cho tất cả các tài khoản để giảm thiểu rủi ro khi thông tin đăng nhập bị đánh cắp.
- Kiểm soát truy cập: Áp dụng nguyên tắc đặc quyền tối thiểu (least privilege) để giới hạn quyền truy cập của người dùng và ứng dụng.
Giám sát và Phát hiện
- Giám sát DLL Side-loading: Triển khai các giải pháp EDR (Endpoint Detection and Response) để phát hiện hành vi sideloading DLL bất thường.
- Phân tích tệp nhị phân: Kiểm tra các tệp thực thi lớn, có chữ ký số để tìm các dấu hiệu bất thường hoặc mã độc ẩn chứa.
- Cập nhật hệ thống: Đảm bảo tất cả hệ thống và phần mềm được cập nhật các bản vá bảo mật mới nhất để khắc phục các lỗ hổng đã biết.
- Theo dõi lưu lượng mạng: Giám sát lưu lượng C2 và các kết nối bất thường để sớm phát hiện và ngăn chặn các cuộc tấn công mạng.
