Tin bảo mật mới nhất: Tấn công mạng DLL sideloading nguy hiểm

27/05/2026
4 mins read
Tin bảo mật mới nhất: Tấn công mạng DLL sideloading nguy hiểm

Tin bảo mật mới nhất ghi nhận một chiến dịch tấn công mạng do nhóm Seedworm thực hiện, nhắm vào ít nhất 9 tổ chức tại 9 quốc gia4 châu lục trong đầu năm 2026. Cách tiếp cận nổi bật của chiến dịch này là ẩn mình trong mạng nội bộ bằng phần mềm hợp lệ đã ký số, khiến hoạt động trông giống hành vi hệ thống bình thường.

Nội dung
Chiến dịch xâm nhập mạng bằng DLL sideloading
Thành phần bị lạm dụng
Chuỗi điều khiển bằng Node.js và PowerShell
Khả năng duy trì và thao tác sau xâm nhập
Mã độc và hành vi thu thập thông tin
IOC và dấu hiệu cần theo dõi
Ảnh hưởng hệ thống và phạm vi mục tiêu
Biện pháp giám sát và giảm thiểu
Ví dụ truy vấn phát hiện thực tế

Chiến dịch xâm nhập mạng bằng DLL sideloading

Seedworm, còn được theo dõi với các tên MuddyWater, Temp ZagrosStatic Kitten, được đánh giá là hoạt động thay mặt cho Bộ Tình báo và An ninh Iran. Chiến dịch lần này cho thấy mức độ mối đe dọa mạng đã được nâng lên khi kẻ tấn công không dùng mã độc lộ diện rõ ràng mà tận dụng các tệp nhị phân hợp lệ để tải mã độc thông qua DLL sideloading.

Kỹ thuật này dựa trên việc đặt một thư viện DLL độc hại cạnh một chương trình hợp lệ đã ký số. Khi chương trình chạy, nó vô tình nạp DLL do kẻ tấn công kiểm soát, từ đó kích hoạt payload mà không tạo ra dấu hiệu bất thường rõ rệt. Với cơ chế này, các công cụ phát hiện truyền thống dễ bỏ sót do tiến trình khởi chạy vẫn là file hợp lệ.

Thành phần bị lạm dụng

Hai executable đã ký số được sử dụng làm điểm khởi đầu trong chuỗi thực thi:

  • fmapp.exe – tiện ích âm thanh của Fortemedia Inc., dùng để sideload fmapp.dll độc hại.
  • sentinelmemoryscanner.exe – thành phần hợp lệ của một sản phẩm bảo mật đầu cuối, bị dùng để sideload sentinelagentcore.dll độc hại.

Việc lạm dụng phần mềm ký số hợp lệ làm tăng rủi ro bảo mật vì nhiều cơ chế kiểm tra tin cậy file dựa vào chữ ký số. Trong chiến dịch này, đó là yếu tố chính giúp hệ thống bị xâm nhập mà không gây chú ý ngay từ đầu.

Chuỗi điều khiển bằng Node.js và PowerShell

Điểm đáng chú ý là chuỗi sideloading không được điều khiển thủ công trực tiếp mà qua node.exe, tức Node.js runtime. Một script Node.js được tìm thấy nhúng trong file XML trên máy bị nhiễm, đóng vai trò điều phối toàn bộ hoạt động tấn công. Đây là thay đổi so với thói quen trước đây của Seedworm, vốn thường dùng các lệnh PowerShell trực tiếp.

Việc chuyển sang Node.js khiến hành vi khó truy vết hơn và làm giảm khả năng bị phát hiện khi chỉ dựa vào dấu vết PowerShell. Cùng với đó, kẻ tấn công còn lấy script PowerShell từ máy staging bằng cả PowerShell và công cụ curl, trong đó curl giúp giảm dấu vết trong script-block logs.

Khả năng duy trì và thao tác sau xâm nhập

Persistence được thiết lập bằng cách thêm một khóa registry vào Windows startup key, bảo đảm chuỗi loader khởi chạy lại mỗi khi người dùng đăng nhập. Cơ chế này phù hợp với các chiến dịch rò rỉ dữ liệu nhạy cảm vì giúp duy trì quyền truy cập trong thời gian dài.

Sau khi vào được mạng nội bộ, kẻ tấn công tiến hành các bước trinh sát có hệ thống:

  • Chạy lệnh discovery để xác định máy, người dùng và domain.
  • Chụp ảnh màn hình để theo dõi hoạt động của nạn nhân.
  • Triển khai các công cụ thu thập thông tin đăng nhập theo nhiều đợt.

Mã độc và hành vi thu thập thông tin

Hai file độc hại fmapp.dllsentinelagentcore.dll đều mang theo ChromElevator, một công cụ có khả năng đánh cắp passwords, cookies và dữ liệu thanh toán từ trình duyệt. Đây là mục tiêu điển hình trong các chiến dịch đánh cắp dữ liệu có chủ đích.

Kẻ tấn công cũng triển khai các công cụ thu thập thông tin đăng nhập theo nhiều lớp:

  • Dump password hashes từ registry hives.
  • Giả mạo hộp thoại đăng nhập Windows để lừa người dùng.
  • Dùng công cụ nâng quyền để trích xuất Kerberos tickets từ tài khoản đặc quyền mà không cần mật khẩu.

Việc có thể lấy được registry hives cho phép tấn công ngoại tuyến để bẻ khóa hash và khôi phục credential đã lưu. Điều này làm tăng nghiêm trọng nguy cơ bảo mật đối với các hệ thống đã bị xâm nhập.

IOC và dấu hiệu cần theo dõi

Phần trích xuất IOC trong nội dung gốc không cung cấp danh sách cụ thể theo dạng IP, hash hoặc domain. Tuy nhiên, các chỉ báo kỹ thuật hữu ích để phát hiện tấn công trong chiến dịch này gồm:

  • Tiến trình node.exe khởi chạy bất thường trên máy người dùng.
  • DLL không ký số được load cạnh executable đã ký số.
  • Xuất hiện fmapp.exe hoặc sentinelmemoryscanner.exe kèm DLL lạ.
  • Hoạt động ghi registry vào Windows startup key.
  • Truy cập outbound tới dịch vụ chuyển file như sendit[.]sh.
  • Lệnh PowerShell và curl kéo script từ máy staging.

Về mặt giám sát, việc phát hiện xâm nhập nên tập trung vào mối liên hệ giữa executable hợp lệ, DLL đi kèm và hành vi persistence trên registry. Có thể tham chiếu thêm báo cáo gốc của Symantec tại Symantec Threat Intelligence.

Ảnh hưởng hệ thống và phạm vi mục tiêu

Các tổ chức bị nhắm đến trải rộng trên nhiều lĩnh vực, gồm sản xuất công nghiệp và điện tử, cơ quan chính phủ, dịch vụ tài chính, tổ chức giáo dục và một sân bay quốc tế ở Trung Đông. Trong một trường hợp đáng chú ý, một nhà sản xuất điện tử lớn tại Hàn Quốc đã bị xâm nhập âm thầm trong suốt 1 tuần vào tháng 2/2026.

Phạm vi mục tiêu cho thấy chiến dịch có mục đích thu thập tình báo giá trị, từ bí mật sản xuất đến thông tin liên quan đến các cơ quan chính phủ đối thủ. Ở góc nhìn kỹ thuật, mức độ kiên trì và số lượng kỹ thuật được kết hợp phản ánh một chiến dịch tin tức an ninh mạng có tính tổ chức cao, không phải hoạt động tấn công đơn lẻ.

Biện pháp giám sát và giảm thiểu

Để giảm rủi ro an toàn thông tin trước kiểu tấn công này, cần ưu tiên kiểm tra các hành vi sau trong EDR, SIEM và IDS:

  • Unsigned DLL được load cùng executable đã ký số.
  • Tiến trình node.exe hoặc PowerShell xuất hiện trên máy không cần thiết.
  • Kết nối ra ngoài đến dịch vụ chia sẻ hoặc transfer file không nằm trong danh sách cho phép.
  • Thay đổi bất thường trong startup registry keys.
  • Hoạt động đọc registry hive và truy xuất credential bất thường.

Biện pháp kiểm soát đầu ra cũng quan trọng. Việc chặn outbound traffic đến các file-transfer service không đáng tin cậy, kết hợp chính sách registry nghiêm ngặt cho startup, có thể làm giảm đáng kể mức độ thành công của chiến dịch. Đây là một phần của chiến lược an ninh mạng nhằm hạn chế xâm nhập trái phép ngay từ các bước đầu.

Ví dụ truy vấn phát hiện thực tế

Với môi trường có log tiến trình, có thể tìm các chỉ dấu như:

ProcessName = node.exe AND ParentImage IN ("explorer.exe", "wscript.exe", "mshta.exe")
AND (CommandLine CONTAINS ".xml" OR CommandLine CONTAINS "javascript")
Image IN ("fmapp.exe", "sentinelmemoryscanner.exe")
AND LoadedModule NOT_SIGNED = true
RegistryPath CONTAINS "Software\\Microsoft\\Windows\\CurrentVersion\\Run"
AND Action = "SetValue"

Những truy vấn này không thay thế điều tra đầy đủ, nhưng hữu ích để sàng lọc hành vi phù hợp với tấn công mạng sử dụng DLL sideloading, persistence registry và chuỗi thực thi qua Node.js.