Một chiến dịch malvertising phức tạp gần đây đã nhắm mục tiêu vào các tổ chức thông qua một trình cài đặt Microsoft Teams bị vũ khí hóa, phát tán phần mềm độc hại Oyster malware nguy hiểm. Cuộc điều tra của các chuyên gia an ninh mạng đã hé lộ chiến thuật tấn công tinh vi, kết hợp SEO poisoning, lạm dụng chứng chỉ và kỹ thuật living-off-the-land để né tránh các biện pháp bảo mật truyền thống.

Cuộc tấn công này cho thấy sự tiến hóa đáng báo động trong các chiến thuật của tác nhân đe dọa. Sự kết hợp các phương pháp này cho phép chúng vượt qua các hệ thống phát hiện thông thường, gây ra nguy cơ nghiêm trọng cho các doanh nghiệp.

Phân Tích Chiến Dịch Malvertising

Cuộc tấn công lần đầu được phát hiện vào ngày 25 tháng 9 năm 2025. Khi đó, các quy tắc Giảm thiểu Bề mặt Tấn công (ASR) của Microsoft Defender đã chặn thành công các kết nối outbound đáng ngờ từ một tệp thực thi mới. Sự can thiệp kịp thời này đã ngăn chặn một cuộc xâm nhập có thể gây ra hậu quả tàn khốc, nhấn mạnh tầm quan trọng của các chính sách bảo vệ điểm cuối được cấu hình đúng cách.

Cuộc điều tra đã tiết lộ một chuỗi tấn công cực kỳ nhanh chóng. Nạn nhân bị chuyển hướng từ các tìm kiếm Bing hợp pháp đến cơ sở hạ tầng độc hại chỉ trong 11 giây. Khung thời gian này quá nhanh đối với tương tác thủ công của người dùng, cho thấy các cơ chế chuyển hướng tự động tinh vi đã được sử dụng.

Kỹ Thuật SEO Poisoning và Chuyển Hướng Nạn Nhân

Các tác nhân đe dọa đã sử dụng cách tiếp cận nhiều giai đoạn. Ban đầu là chiến dịch malvertising đặt các trang web độc hại trong kết quả tìm kiếm cho các truy vấn liên quan đến Microsoft Teams. Nạn nhân tìm kiếm tải xuống Teams đã tự động bị chuyển hướng qua một chuỗi được xây dựng cẩn thận:

• Tìm kiếm Bing
• team.frywow.com
• teams-install.icu

Tên miền độc hại “teams-install.icu” được tạo ra để xuất hiện như một tài sản hợp pháp của Microsoft. Nó được lưu trữ trên cơ sở hạ tầng Cloudflare (dải IP: 104.21.x.x, 172.67.x.x) nhằm tận dụng danh tiếng đáng tin cậy của CDN này.

Lạm Dụng Chứng Chỉ Kỹ Thuật Số

Tên miền này có một chứng chỉ SSL hợp lệ từ Google Trust Services, nhưng với thời gian hiệu lực ngắn bất thường chỉ hai ngày (24-26 tháng 9 năm 2025). Điều làm cho chiến dịch malvertising này đặc biệt tinh vi là việc các tác nhân đe dọa đã lạm dụng các dịch vụ ký mã hợp pháp.

Tệp MSTeamsSetup.exe bị vũ khí hóa đã được ký kỹ thuật số bằng một chứng chỉ hợp lệ từ “KUTTANADAN CREATIONS INC.”, sử dụng chuỗi chứng chỉ Microsoft ID Verified CS EOC CA 01. Chứng chỉ này cũng có vòng đời cực kỳ ngắn, chỉ hai ngày.

Đây là một mô hình đe dọa mới nổi, nơi kẻ tấn công lấy các chứng chỉ hợp pháp có thời hạn ngắn để vượt qua các kiểm soát bảo mật dựa trên chữ ký, đồng thời giảm thiểu cửa sổ thời gian để thu hồi chứng chỉ. Các nhà nghiên cứu bảo mật đã xác định các chứng chỉ tương tự được sử dụng trong các chiến dịch liên quan, bao gồm những người ký như “Shanxi Yanghua HOME Furnishings Ltd”, cho thấy một hoạt động phối hợp.

Oyster Malware và Ảnh Hưởng Hệ Thống

Trình cài đặt bị vũ khí hóa được thiết kế để triển khai một biến thể của backdoor Oyster malware (còn được gọi là Broomstick hoặc CleanUpLoader). Họ phần mềm độc hại tinh vi này có khả năng thiết lập quyền truy cập backdoor bền bỉ, thực hiện rò rỉ dữ liệu, triển khai các payload bổ sung và có khả năng tạo điều kiện cho việc triển khai ransomware.

Dòng thời gian tấn công cho thấy Oyster malware cố gắng thiết lập liên lạc command and control (C2) với nickbush24.com ngay sau khi thực thi. Tuy nhiên, các quy tắc ASR của Microsoft Defender đã chặn thành công kết nối quan trọng này, vô hiệu hóa hiệu quả mối đe dọa trước khi bất kỳ thiệt hại nào xảy ra.

Kỹ Thuật Living-off-the-Land

Cuộc điều tra cũng tiết lộ việc sử dụng kỹ thuật living-off-the-land, với phần mềm độc hại tận dụng các tiện ích Windows hợp pháp để tránh bị phát hiện xâm nhập. Cụ thể, vào lúc 14:20:21, cleanmgr.exe đã được quan sát thấy tạo ra DismHost.exe trong các thư mục tạm thời. Đây là một mẫu hoạt động đáng ngờ, cho thấy cách kẻ tấn công liên tục tìm ra những cách sáng tạo để lạm dụng các tiến trình hệ thống hợp pháp.

Biện Pháp Phát Hiện và Phòng Ngừa

Các tổ chức nên triển khai một số cơ chế phát hiện xâm nhập quan trọng để tự vệ chống lại các cuộc tấn công tương tự, đặc biệt là các biến thể của chiến dịch malvertising này:

Phát Hiện Bất Thường Chứng Chỉ

• Cảnh báo cho các tệp thực thi được ký bằng chứng chỉ có hiệu lực từ bảy ngày trở xuống.
• Giám sát các bên ký lần đầu xuất hiện, đặc biệt đối với các trình cài đặt phần mềm.
• Theo dõi các chứng chỉ được cấp bởi “Microsoft ID Verified CS EOC CA 01”.

Phát Hiện Dựa Trên Mạng

• Gắn cờ các chuyển hướng nhanh từ công cụ tìm kiếm đến các tên miền mới đăng ký.
• Cảnh báo về các lượt tải xuống từ các tên miền có TLD bất thường như .icu.
• Giám sát các kết nối đến các IP của Cloudflare ngay sau các truy vấn công cụ tìm kiếm.

Sự cố này chứng minh rằng kẻ tấn công không ngừng phát triển các kỹ thuật của mình để vượt qua các biện pháp bảo mật truyền thống. Tốc độ của các chiến dịch malvertising hiện đại – có khả năng xâm nhập người dùng trong vòng chưa đầy 15 giây từ tìm kiếm đến lây nhiễm – nhấn mạnh tầm quan trọng của các biện pháp phòng thủ chủ động.

Việc ngăn chặn thành công đạt được thông qua các quy tắc ASR được cấu hình đúng cách chứng tỏ rằng các phương pháp bảo mật đa lớp vẫn hiệu quả chống lại các mối đe dọa tinh vi. Tuy nhiên, các tổ chức không thể chỉ dựa vào phát hiện xâm nhập dựa trên chữ ký, vì sự tin cậy vào chứng chỉ không còn là tuyệt đối khi các tác nhân đe dọa có thể vũ khí hóa các chứng chỉ có thời hạn ngắn để trốn tránh các kiểm soát bảo mật.

Các nhóm bảo mật doanh nghiệp nên ưu tiên triển khai các hệ thống phát hiện xâm nhập dựa trên hành vi, thường xuyên xem xét và cập nhật cấu hình quy tắc ASR, cũng như duy trì các chương trình tình báo mối đe dọa mạnh mẽ để xác định các mẫu tấn công mới nổi trước khi chúng có thể gây ra thiệt hại đáng kể. Thông tin chi tiết hơn về cuộc điều tra ban đầu có thể được tìm thấy tại báo cáo của Conscia.

Các Chỉ Số Thỏa Hiệp (IOCs)

Để hỗ trợ các hoạt động phát hiện xâm nhập và phòng thủ, các tổ chức nên chú ý đến các chỉ số thỏa hiệp (IOCs) sau đây liên quan đến chiến dịch malvertising và Oyster malware:

• Tên miền độc hại:
  • team.frywow.com
  • teams-install.icu
• Máy chủ Command and Control (C2):
  • nickbush24.com
• Tên chứng chỉ bị lạm dụng:
  • KUTTANADAN CREATIONS INC.
  • Shanxi Yanghua HOME Furnishings Ltd
• Chuỗi chứng chỉ phát hành:
  • Microsoft ID Verified CS EOC CA 01
• Dải IP liên quan (Cloudflare):
  • 104.21.x.x
  • 172.67.x.x
• Tên file độc hại:
  • MSTeamsSetup.exe