Một chiến dịch mối đe dọa mạng gần đây tại khu vực Mỹ Latinh đã cho thấy sự phát triển không ngừng của các phương pháp của tội phạm mạng. Chiến dịch này sử dụng một kỹ thuật mới để phân phối mã độc, qua đó làm phức tạp thêm quy trình phát hiện và ứng phó của các chuyên gia an ninh.

Nạn nhân nhận được email giả mạo từ các tổ chức đáng tin cậy, chứa cảnh báo về các vụ kiện hoặc lệnh triệu tập. Đây là một chiến thuật social engineering đã được thử nghiệm kỹ lưỡng, khai thác tâm lý khẩn cấp để lừa người nhận nhấp vào liên kết hoặc mở tệp đính kèm mà không suy nghĩ.

Kỹ thuật Khai thác SVG độc đáo

Khi cánh cửa được mở, kẻ tấn công triển khai một phương thức mới: các tệp SVG (Scalable Vector Graphics) có kích thước lớn mang toàn bộ tải trọng độc hại, bao gồm một trojan truy cập từ xa (RAT), mà không yêu cầu bất kỳ kết nối bên ngoài nào.

Theo truyền thống, các chiến dịch tấn công mạng lừa đảo (phishing) phân phối các dropper để tải payload từ máy chủ Command-and-Control (C&C) từ xa.

Tuy nhiên, trong chiến dịch này, kẻ tấn công bỏ qua hoàn toàn bước đó. Chúng nhúng AsyncRAT—một loại mã độc được phát hiện lần đầu vào năm 2019 và hiện có nhiều biến thể—trực tiếp vào mã XML của tệp SVG.

AsyncRAT và Khả năng Tấn công

AsyncRAT có khả năng ghi lại thao tác gõ phím (keylog), chụp ảnh màn hình, chiếm quyền điều khiển camera và microphone, cũng như đánh cắp thông tin đăng nhập được lưu trữ trong trình duyệt. Thông tin chi tiết về khả năng đánh cắp thông tin này có thể tham khảo tại: Windows Secrets and Credentials Exposed.

Bằng cách gói gọn toàn bộ gói phần mềm độc hại vào một tệp duy nhất, tội phạm mạng đã né tránh được các phương pháp phát hiện dựa trên mạng và gây khó khăn cho các quy trình phòng thủ của các nhà bảo mật.

Chiến thuật SVG Smuggling

Các tệp SVG trở thành mục tiêu vũ khí hóa hấp dẫn nhờ tính linh hoạt và độ tin cậy vốn có của chúng. Được viết bằng XML, chúng hỗ trợ các tập lệnh, liên kết nhúng và thậm chí cả các yếu tố tương tác một cách tự nhiên.

Các công cụ bảo mật thường coi SVG là tài sản đồ họa lành tính, làm giảm cảnh giác của hệ thống phòng thủ.

Kỹ thuật này, được gọi là “SVG smuggling“, gần đây đã được thêm vào khung MITRE ATT&CK (kỹ thuật T1027.017) như một kỹ thuật che giấu.

Điều này diễn ra sau sự gia tăng các chiến dịch toàn cầu nhắm vào các tổ chức tài chính và cơ quan chính phủ. Tham khảo thêm về MITRE ATT&CK tại: MITRE ATT&CK – T1027.017.

Phân tích Chiến dịch và Cơ chế Lây nhiễm

Chiến dịch tấn công mạng này chủ yếu nhắm mục tiêu vào Colombia với các mồi nhử được bản địa hóa cao. Nạn nhân nhận được một email giả mạo từ hệ thống tư pháp, hoàn chỉnh với con dấu tòa án và biệt ngữ pháp lý.

Một tệp đính kèm SVG—thường có kích thước trên 10 MB—không hiển thị một hình ảnh tĩnh mà thay vào đó tải trong trình duyệt web như một cổng tương tác. Người dùng sẽ thấy các trang xác minh giả mạo và thanh tiến trình bắt chước các quy trình chính thức.

Chỉ số Nhận dạng Sự cố (IOCs)

Một mẫu SVG được phát hiện bởi ESET dưới dạng JS/TrojanDropper.Agent.PSJ có:

• SHA1:

  0AA1D24F40EEC02B26A12FBE2250CAB1C9F7B958

Quy trình Thực thi Mã độc

Khi tập lệnh nhúng thực thi, nó kích hoạt quá trình tải xuống một kho lưu trữ ZIP được bảo vệ bằng mật khẩu. Mật khẩu được hiển thị ngay bên dưới thông báo “Download completed” (Tải xuống hoàn tất), củng cố ảo tưởng về tính hợp pháp.

Bên trong kho lưu trữ là một tệp thực thi khai thác DLL sideloading—một kỹ thuật mà một ứng dụng hợp pháp bị ép buộc tải một thư viện độc hại.

Điều này giúp cài đặt AsyncRAT và thiết lập quyền truy cập liên tục. Tìm hiểu thêm về cách AsyncRAT khai thác kỹ thuật này tại: AsyncRAT Leverages DLL Sideloading.

Tác động và Phương pháp Né tránh Phát hiện

Dữ liệu đo lường từ hệ thống phát hiện cho thấy các trường hợp lây nhiễm tăng đột biến vào giữa tuần trong suốt tháng 8, với Colombia chịu ảnh hưởng nặng nề nhất từ hoạt động tấn công mạng này.

Mỗi nạn nhân nhận được một tệp SVG duy nhất chứa các phần boilerplate XML ngẫu nhiên, “hash xác minh” không hợp lệ và các tên lớp lặp đi lặp lại. Đây là những dấu hiệu cho thấy các công cụ trí tuệ nhân tạo (AI) có thể đã tạo ra các mẫu này một cách nhanh chóng.

Tính ngẫu nhiên này, có thể liên quan đến việc sử dụng một bộ công cụ tạo tệp theo yêu cầu, cũng được thiết kế để gây khó khăn cho các sản phẩm bảo mật và các nhà phòng thủ khi đối phó với tấn công mạng.

Các Biện pháp Phòng ngừa và Giảm thiểu Rủi ro

Chiến dịch tấn công mạng này nhấn mạnh tầm quan trọng của việc cảnh giác trước các chiến thuật lừa đảo (phishing) đang phát triển.

Việc sử dụng các tệp SVG một cách bất ngờ làm dropper tự chứa đã nâng cao mức độ lừa đảo.

Điều này đòi hỏi các nhà phòng thủ phải xem xét tất cả các tệp đính kèm một cách nghi ngờ, đặc biệt khi các email sử dụng ngôn ngữ khẩn cấp hoặc tự nhận là đến từ các cơ quan chính phủ.

Không có cơ quan chính phủ hợp pháp nào sẽ phân phối tài liệu tòa án dưới dạng tệp SVG. Để giảm thiểu rủi ro, cần áp dụng các biện pháp sau:

• Nâng cao nhận thức người dùng: Đào tạo người dùng về các dấu hiệu của email lừa đảo và các tệp đính kèm đáng ngờ.
• Vệ sinh email nghiêm ngặt: Triển khai các giải pháp lọc email tiên tiến để phát hiện và chặn các email lừa đảo trước khi chúng đến hộp thư đến của người dùng.
• Kiểm soát bảo mật mạnh mẽ: Sử dụng các giải pháp bảo mật đầu cuối (endpoint security), hệ thống phát hiện xâm nhập (IDS/IPS) và threat intelligence để nhận diện các mối đe dọa mới và các kỹ thuật tấn công phức tạp.

Khi kẻ tấn công tiếp tục vũ khí hóa các định dạng tệp hàng ngày, sự kết hợp giữa nhận thức của người dùng, vệ sinh email nghiêm ngặt và các biện pháp kiểm soát bảo mật mạnh mẽ vẫn là hàng phòng thủ tốt nhất.

Đây là cách hiệu quả nhất để chống lại các chiến dịch mã độc tự chứa, lén lút. Sự cảnh giác liên tục là chìa khóa để đối phó hiệu quả với các tấn công mạng tinh vi.