Trong bối cảnh tội phạm mạng không ngừng phát triển, các tác nhân đe dọa mới và chiến thuật sáng tạo liên tục thách thức giới phòng thủ. Nhóm mối đe dọa mạng mới nổi TA585 là một ví dụ điển hình, triển khai các chiến dịch mã độc tinh vi làm nổi bật sự thay đổi trong bức tranh tội phạm mạng.

Chiến lược hoạt động, kiểm soát cơ sở hạ tầng và các ưu tiên mã độc của TA585 đã làm cho nhóm này trở nên khác biệt, đặc biệt là trong việc sử dụng mã độc tiên tiến MonsterV2.

TA585: Một Mối Đe Dọa Mạng Mới Nổi Với Chiến Lược Riêng

TA585 tự tạo sự khác biệt bằng cách quản lý mọi giai đoạn của chuỗi tấn công nội bộ. Thay vì dựa vào các dịch vụ tội phạm mạng đã có như mạng lưới phân phối lưu lượng (traffic distribution networks) hoặc các nhà môi giới truy cập ban đầu (initial access brokers), nhóm này kiểm soát cơ sở hạ tầng riêng để phân phối mã độc như MonsterV2.

MonsterV2 là một loại mã độc mới xuất hiện gần đây, hoạt động như một Trojan truy cập từ xa (RAT), công cụ đánh cắp thông tin (stealer) và bộ tải (loader).

MonsterV2: Mã Độc Đa Năng và Các Khả Năng Kỹ Thuật

MonsterV2 lần đầu tiên xuất hiện trên các diễn đàn tội phạm mạng vào tháng 2 năm 2025 và nhanh chóng nổi tiếng nhờ chi phí cao và bộ công cụ giàu tính năng. Điều này thu hút các tác nhân đe dọa có nguồn lực dồi dào.

Được bán chủ yếu dưới dạng dịch vụ mã độc (Malware-as-a-Service – MaaS) MaaS, MonsterV2 nổi bật với khả năng đánh cắp dữ liệu nhạy cảm, cung cấp quyền truy cập máy tính từ xa (HVNC), thực thi các lệnh tùy ý, và hoạt động như cả bộ tải và công cụ đánh cắp thông tin.

Không giống một số họ mã độc dựa vào phân phối hàng loạt, việc sử dụng MonsterV2 trên thực tế vẫn chọn lọc do giá thành cao. Theo báo cáo, chi phí là 800 USD mỗi tháng cho gói tiêu chuẩn và lên tới 2.000 USD cho các khả năng cấp doanh nghiệp, bao gồm các mô-đun loader, stealer và kiểm soát nâng cao.

Các Chiến Dịch Tấn Công Mạng Của TA585

Được Proofpoint phát hiện lần đầu tiên vào tháng 2 năm 2025Proofpoint, TA585 đã gây chú ý với các chiến dịch lừa đảo (phishing) nhắm vào chủ đề chính phủ.

Các email được nhắm mục tiêu bắt chước thông báo từ Cục Thuế Vụ Hoa Kỳ (U.S. Internal Revenue Service) và Cục Quản lý Doanh nghiệp Nhỏ (Small Business Administration), thu hút nạn nhân mở các liên kết đến tệp PDF.

Kỹ Thuật Lừa Đảo ClickFix

Các tệp PDF này dẫn đến các trang web độc hại sử dụng kỹ thuật gọi là ClickFix. Đây là một phương pháp dụ dỗ mới, yêu cầu người dùng tự thực thi một lệnh PowerShell thông qua hộp thoại Windows Run hoặc terminal.

Các kỹ thuật như vậy giúp bỏ qua nhiều công cụ phát hiện phần mềm diệt virus truyền thống bằng cách thu hút nạn nhân vào quá trình lây nhiễm.

Mở Rộng Chiến Dịch Với JavaScript Inject

Vào tháng 4 và tháng 5 năm 2025, TA585 mở rộng hoạt động với các đoạn mã JavaScript độc đáo được chèn vào các trang web hợp pháp nhưng đã bị xâm nhập.

Thay vì chuyển hướng tất cả khách truy cập, mã được chèn chọn lọc nhắm mục tiêu vào các nạn nhân, hiển thị một CAPTCHA giả mạo đáng tin cậy. CAPTCHA này hướng dẫn người dùng xác minh danh tính bằng cách chạy một tập lệnh PowerShell.

Khi được thực thi, tập lệnh này sẽ tải và cài đặt payload MonsterV2 trên máy tính Windows của người dùng.

Không giống như các chiến dịch thuê ngoài sàng lọc khách truy cập hoặc dựa vào các mạng lưới liên kết nhiều lớp, TA585 thực hiện tất cả quá trình lọc và phân phối payload nội bộ. Cơ sở hạ tầng của kẻ tấn công kiểm tra xem liệu có phải là người thật hay không, chứ không phải bot hay nhà nghiên cứu bảo mật, trước khi phân phối mã độc.

Lợi Dụng Thông Báo GitHub Làm Vector Phân Phối

Các chiến dịch tiếp theo của TA585 liên quan đến việc lợi dụng thông báo GitHub làm vector phân phối. Tại đây, người dùng nhận được các cảnh báo trông có vẻ chân thực. Các cảnh báo này được kích hoạt bởi kẻ tấn công gắn thẻ họ trong các vấn đề (issues) hoặc cảnh báo bảo mật có chứa liên kết độc hại.

Các chuỗi lừa đảo này cũng dẫn đến các trang web payload với cùng kỹ thuật lọc và CAPTCHA giả mạo, cuối cùng phân phối MonsterV2 hoặc biến thể cùng họ là Rhadamanthys.

Kỹ Thuật Né Tránh Phát Hiện và Bảo Mật của MonsterV2

MonsterV2 tự hào có khả năng trinh sát hệ thống kỹ lưỡng, cố gắng leo thang đặc quyền, các tùy chọn đánh cắp dữ liệu và phân phối payload thứ cấp.

Mã độc này thu thập chi tiết hệ điều hành, thông tin người dùng và thiết bị, dữ liệu IP, và nhiều thông tin khác. Các dữ liệu này được mã hóa và truyền an toàn đến cơ sở hạ tầng điều khiển và kiểm soát (C2) của nó.

Proofpoint đã quan sát thấy rằng MonsterV2 đang được duy trì và cập nhật tích cực, ngay cả với những bản cập nhật nhỏ và “mỹ phẩm”.

Các tệp giao tiếp và cấu hình được mã hóa bằng thuật toán ChaCha20, sau đó được nén bằng ZLib. Điều này khiến việc phát hiện và phân tích trở nên khó khăn hơn.

Đáng chú ý, MonsterV2 tránh lây nhiễm các điểm cuối (endpoints) ở một số quốc gia CIS, sử dụng các kiểm tra chống gỡ lỗi (anti-debug) và chống sandbox (anti-sandbox), đồng thời duy trì tính dai dẳng (persistence) trên các máy chủ bị xâm nhập thông qua việc tạo autorun và mutex.

Chu kỳ bảo trì và cập nhật tích cực của mã độc cho thấy một đội ngũ phát triển chuyên trách phục vụ các tác nhân mối đe dọa mạng tinh vi.

Khuyến Nghị Phòng Thủ và Phát Hiện Xâm Nhập

Để chống lại mối đe dọa mạng này, Proofpoint khuyên các tổ chức nên giáo dục người dùng về kỹ thuật ClickFix. Đồng thời, hạn chế việc sử dụng PowerShell không có quyền quản trị trên các hệ thống Windows.

Cách tiếp cận trực tiếp của TA585, kết hợp nhắm mục tiêu chính xác, payload nâng cao và kiểm soát hoàn toàn hệ sinh thái phân phối của nó, nhấn mạnh sự cần thiết của việc giám sát cảnh giác và phòng thủ thích ứng trong môi trường an ninh mạng ngày nay.

Phòng Thủ Trước Các Mối Đe Dọa Mạng Tương Tự

• Đào tạo nhận thức bảo mật: Đảm bảo người dùng có khả năng nhận diện các email lừa đảo (phishing) và các kỹ thuật xã hội (social engineering) khác.
• Quản lý quyền truy cập: Hạn chế quyền của người dùng để ngăn chặn việc thực thi các lệnh độc hại, đặc biệt là các lệnh PowerShell.
• Cập nhật hệ thống: Duy trì các bản vá bảo mật mới nhất cho hệ điều hành và ứng dụng để giảm thiểu các lỗ hổng.
• Triển khai giải pháp bảo mật Endpoint: Sử dụng các giải pháp EDR (Endpoint Detection and Response) hoặc Antivirus tiên tiến có khả năng phát hiện xâm nhập dựa trên hành vi.
• Giám sát mạng: Thực hiện giám sát lưu lượng mạng liên tục để phát hiện các hoạt động bất thường hoặc kết nối đến các máy chủ C2 đã biết.