Các nhà nghiên cứu Cyber Threat Intelligence (CTI) của Stormshield đã xác định hai máy chủ lừa đảo đang hoạt động liên quan đến nhóm mối đe dọa APT35, tiết lộ các chiến dịch đánh cắp thông tin xác thực đang diễn ra nhằm vào các tổ chức chính phủ và quân sự. Hoạt động săn lùng mối đe dọa chủ động của đội ngũ CTI Stormshield đã phát hiện ra hai máy chủ độc hại này.

Những máy chủ này thể hiện các đặc điểm điển hình của cơ sở hạ tầng APT35, còn được biết đến với các tên gọi khác như Mint Sandstorm, Charming Kitten, hoặc Educated Manticore. Đây là một nhóm gián điệp liên kết với Iran, đã hoạt động ít nhất từ năm 2015.

Phân tích Chiến dịch Lừa đảo (Phishing) trong các cuộc tấn công mạng của APT35

Bối cảnh và Nhận diện Ban đầu

Các máy chủ này đang lưu trữ các trang lừa đảo được thiết kế để thu thập thông tin đăng nhập từ các tổ chức chính phủ, quân sự, học thuật và truyền thông trên khắp Hoa Kỳ, Trung Đông và Châu Âu. Chúng phản ánh các dấu vết được Check Point ghi lại trong báo cáo gần đây.

Cuộc điều tra bắt đầu bằng việc kiểm tra một trang HTML được Check Point làm nổi bật. Trang đơn giản này hiển thị bốn dấu chấm màu và tải các tệp JavaScript và CSS giống hệt nhau từ các đường dẫn khác nhau trên các miền khác nhau. Chi tiết về phân tích ban đầu có thể được tìm thấy tại báo cáo của Stormshield về APT35.

Kỹ thuật Phát hiện Mở rộng

Các nhà phân tích của Stormshield đã tận dụng cấu trúc trang độc đáo này để tạo một truy vấn html_body_ssdeep trên nền tảng săn lùng mối đe dọa SilentPush. Kỹ thuật này cho phép nhanh chóng xác định các trang được cấu hình tương tự trên internet.

Sử dụng truy vấn được tạo, nhóm CTI đã tìm thấy tám kết quả khớp liên quan đến các địa chỉ IPv4 45.143.166[.]230 và 195.66.213[.]132, những địa chỉ này đã được Check Point báo cáo trước đây. Ngoài ra, hai địa chỉ IP chưa được ghi nhận trước đó cũng đã xuất hiện trong quá trình săn lùng.

Mục tiêu và Phương thức Tấn công

Các miền được phát hiện hoạt động như giao diện lừa đảo thông tin xác thực, giả mạo các công cụ cộng tác hợp pháp của chính phủ hoặc quân đội. Theo các nhà phân tích mối đe dọa của Google, chủ đề hội nghị truyền hình đã là trọng tâm trong các chiến thuật lừa đảo của APT35 kể từ năm 2023.

Điều tra sâu hơn đã phát hiện ra các hành vi theo dõi được nhúng trong các tham số truy vấn URL. Một tìm kiếm trên VirusTotal cho “entity:url url:online/?invitation” đã mang lại nhiều URL được gửi từ Thụy Điển và Israel từ tháng 7 đến tháng 9 năm 2025, tất cả đều tuân theo mẫu “invitation-<token>”.

Việc liệt kê các tên miền phụ bằng “entity:domain domain:viliam.*” đã trả về 112 tên miền phụ “viliam.”. Đây là một phương pháp hiệu quả để khám phá các trang lừa đảo mới có thể liên quan đến chiến dịch của APT35 này.

Chỉ số IOC và Phương pháp Phát hiện Xâm Nhập

Chỉ số Nhận diện (IOCs)

Dựa trên các phát hiện, các chỉ số thỏa hiệp (IOCs) sau đây cần được lưu ý để phát hiện xâm nhập và phòng thủ:

• Địa chỉ IP liên quan đến máy chủ Phishing:
  • 45.143.166[.]230
  • 195.66.213[.]132
  • Hai địa chỉ IP chưa được ghi nhận khác (không được cung cấp công khai trong nguồn)
• Mẫu tên miền phụ (Subdomain Pattern):
  • viliam.* (ví dụ: viliam.example.com)
• Mẫu truy vấn URL (URL Query Pattern):
  • Các URL chứa online/?invitation
  • Các URL theo mẫu invitation-<token>
• Cấu trúc HTML độc đáo:
  • Trang có bốn dấu chấm màu và tải các tệp JavaScript, CSS giống hệt nhau từ các đường dẫn khác nhau (có thể dùng html_body_ssdeep để nhận diện).

Chiến lược Săn lùng Mối đe dọa

Sự kiên trì của các máy chủ và mẫu tên miền phụ này cho thấy APT35 tiếp tục tập trung vào việc đánh cắp thông tin xác thực trong các lĩnh vực nhạy cảm. Việc chúng dựa vào các mẫu HTML và quy ước đặt tên tên miền phụ có thể dự đoán được mang lại cho các nhà phòng thủ một cách tiếp cận đáng tin cậy để phát hiện.

Các chiến lược săn lùng mối đe dọa hiệu quả bao gồm:

• Sử dụng truy vấn `html_body_ssdeep` trên nền tảng săn lùng mối đe dọa:

  Truy vấn tìm kiếm các trang có cấu trúc tương tự để nhanh chóng nhận diện cơ sở hạ tầng mới của APT35.

• Tìm kiếm trên VirusTotal với các mẫu URL:

  entity:url url:online/?invitation

  Truy vấn này giúp xác định các URL lừa đảo đang hoạt động sử dụng mẫu lời mời.

• Liệt kê và giám sát tên miền phụ:

  entity:domain domain:viliam.*

  Thường xuyên kiểm tra các tên miền phụ khớp với mẫu “viliam.*” để phát hiện các trang phishing mới.

Khuyến nghị Bảo mật và Phòng thủ

Stormshield đã chủ động chặn tất cả các chỉ số nhận diện đã xác định trên các sản phẩm bảo mật của mình, bảo vệ khách hàng khỏi các cơ sở hạ tầng lừa đảo này. Tuy nhiên, các đội ngũ an ninh của chính phủ và quân đội nên tích hợp các kỹ thuật săn lùng này vào quy trình threat intelligence của họ.

Điều này giúp phát hiện và vô hiệu hóa các tài sản mới nổi của APT35 trước khi chúng có thể thu thập thông tin xác thực. Chiến dịch lừa đảo của APT35 nhằm vào các tổ chức chính phủ và quân sự vẫn đang hoạt động và phần lớn không thay đổi kể từ báo cáo của Check Point.

Mặc dù các chiến thuật của APT35 tương đối đơn giản, nhưng khả năng dự đoán được của cơ sở hạ tầng của chúng có thể được các nhà phòng thủ tận dụng để nhanh chóng xác định và vô hiệu hóa các tên miền độc hại. Để có thêm thông tin và cập nhật về các mối đe dọa tương tự, tham khảo các khuyến nghị từ CISA Cybersecurity Advisories.

Các đội ngũ bảo mật giám sát các trang lừa đảo theo chủ đề hội nghị truyền hình, các tên miền phụ “viliam.” và các truy vấn URL “invitation” có thể đi trước các nỗ lực đánh cắp thông tin xác thực của APT35, bảo vệ thông tin xác thực quan trọng khỏi rơi vào tay kẻ thù.