Các nhà nghiên cứu an ninh mạng tại Zscaler đã phát hiện một chiến dịch tấn công mạng tinh vi. Chiến dịch này lợi dụng kỹ thuật SEO poisoning để phát tán phiên bản trojanized của ứng dụng VPN Ivanti Pulse Secure Client, nhắm mục tiêu vào người dùng tìm kiếm phần mềm hợp pháp. Đây là một mối đe dọa mạng đáng chú ý, đòi hỏi sự cảnh giác cao độ từ các tổ chức và người dùng cá nhân.

Nhóm Zscaler Threat Hunting gần đây đã ghi nhận sự gia tăng đột biến trong các hoạt động độc hại lợi dụng thao túng SEO, chủ yếu nhắm vào người dùng công cụ tìm kiếm Bing. Kẻ tấn công tạo ra các tên miền giả mạo và trang tải xuống lừa đảo được thiết kế để đánh cắp dữ liệu thông tin đăng nhập VPN, cung cấp cho kẻ tấn công một cánh cổng vào mạng doanh nghiệp.

Chiến thuật SEO Poisoning và Mạo danh

Kỹ thuật Đánh lừa Công cụ Tìm kiếm

Chiến dịch bắt đầu khi người dùng tìm kiếm các cụm từ như “Ivanti Pulse Secure Download” trên các công cụ tìm kiếm. Kẻ tấn công đã thành công trong việc “đầu độc” kết quả tìm kiếm, đảm bảo các trang web độc hại của chúng xuất hiện nổi bật. Người dùng bị điều hướng đến các tên miền lừa đảo như ivanti-pulsesecure[.]com và ivanti-secure-access[.]org.

Các tên miền này, được đăng ký vào tháng 9 năm 2025, bắt chước chặt chẽ các trang web hợp pháp của Ivanti. Đây là một ví dụ điển hình về chiến thuật tấn công mạng sử dụng social engineering để thiết lập điểm truy cập ban đầu.

Trang web Giả mạo và Phương thức Lừa đảo

Các trang web giả mạo này sao chép một cách thuyết phục trang tải xuống chính thức của Ivanti Pulse Secure. Khi nạn nhân nhấp vào nút tải xuống, một yêu cầu HTTP nền sẽ khởi tạo quá trình tải xuống tệp trình cài đặt MSI đã bị trojan hóa.

Điều đáng chú ý là tệp độc hại này được ký số. Đây là một kỹ thuật tinh vi được thiết kế để né tránh sự phát hiện của các giải pháp bảo mật và tạo độ tin cậy giả mạo cho cả người dùng và công cụ bảo mật.

Phân tích Mã độc và Kỹ thuật Né tránh Phát hiện

Trình cài đặt Giả mạo và Chữ ký Số

Tại thời điểm phân tích, chỉ 2 trong số 58 nhà cung cấp antivirus trên VirusTotal đã gắn cờ trình cài đặt độc hại. Điều này chứng tỏ hiệu quả của chiến dịch trong việc vượt qua các biện pháp bảo mật truyền thống. Sự tinh vi của cuộc tấn công mạng này cho thấy kẻ thù đang liên tục phát triển kỹ thuật của mình.

Tệp MSI độc hại, được ký bởi Hefei Qiangwei Network Technology Co., Ltd., chứa các DLL đánh cắp thông tin đăng nhập, cụ thể là dwmapi.dll và pulse_extension.dll. Các DLL này thực thi một chuỗi tấn công có chủ đích.

Cơ chế Né tránh Dựa trên Referrer

Điểm đặc biệt của chiến dịch này là việc sử dụng phương pháp phân phối nội dung có điều kiện dựa trên Referrer. Các trang web lừa đảo tự động điều chỉnh nội dung hiển thị dựa trên cách chúng được truy cập. Khi được truy cập trực tiếp, các tên miền này hiển thị nội dung lành tính mà không có nút tải xuống, xuất hiện vô hại đối với các nhà phân tích bảo mật.

Tuy nhiên, khi được truy cập thông qua kết quả tìm kiếm của Bing, toàn bộ nội dung lừa đảo sẽ hiển thị, đi kèm với các liên kết tải xuống độc hại. Việc khai thác khéo léo tiêu đề HTTP Referrer này cho phép kẻ tấn công né tránh sự phát hiện của các nhà cung cấp bảo mật, làm tăng rủi ro bảo mật cho người dùng.

Hoạt động của Trojanized VPN Client

Chi tiết Đánh cắp Thông tin Đăng nhập

Mã độc định vị tệp lưu trữ kết nối Ivanti Pulse Secure tại đường dẫn C:ProgramDataPulse SecureConnectionStoreconnectionstore.dat. Sau đó, nó trích xuất các URI máy chủ VPN và xây dựng các chuỗi dữ liệu chứa thông tin đăng nhập bị đánh cắp, cùng với thông tin tên người dùng và mật khẩu được mã hóa cứng.

Quá trình đánh cắp dữ liệu này diễn ra âm thầm, cung cấp cho kẻ tấn công những thông tin nhạy cảm để truy cập vào mạng lưới nạn nhân.

Kết nối Command-and-Control (C2)

Mã độc thiết lập kết nối với máy chủ Command-and-Control (C2) tại địa chỉ IP 4[.]239[.]95[.]1 trên cổng 8080. Máy chủ này được đặt trên hạ tầng Microsoft Azure. Sau khi thực hiện giải mã dựa trên XOR, mã độc xuất dữ liệu bị đánh cắp qua các yêu cầu HTTP POST đến đường dẫn C2 là /income_shit. Thuật ngữ này là tiếng lóng phổ biến trong phát triển mã độc để chỉ dữ liệu bị đánh cắp.

Kỹ thuật “Living off of Trusted Sites” (LOTS)

Việc sử dụng hạ tầng đám mây tin cậy như Microsoft Azure là một kỹ thuật “Living off of Trusted Sites” (LOTS). Kỹ thuật này được thiết kế để trộn lẫn lưu lượng độc hại với các dịch vụ đám mây hợp pháp, gây khó khăn cho việc phát hiện và phân tích. Điều này làm tăng độ phức tạp của chiến dịch tấn công mạng này.

Tham khảo thêm về cách Zscaler phân tích chiến dịch này tại Zscaler Blogs.

Tác động và Rủi ro Bảo mật

Nguy cơ Xâm nhập Mạng Doanh nghiệp

Phương pháp tấn công này mang dấu hiệu của các chiến dịch đã từng liên quan đến việc triển khai ransomware Akira. Hành vi đánh cắp dữ liệu thông tin đăng nhập VPN cung cấp cho kẻ tấn công quyền truy cập ban đầu vào các mạng doanh nghiệp. Điều này cho phép chúng thực hiện trinh sát, di chuyển ngang và cuối cùng là triển khai ransomware.

Hậu quả có thể là thiệt hại thảm khốc cho tổ chức. Do đó, việc phòng chống những rủi ro bảo mật như vậy là vô cùng quan trọng.

Mối liên hệ với Akira Ransomware

Việc chiếm đoạt thông tin đăng nhập VPN là bước đầu tiên quan trọng trong chuỗi tấn công của nhiều nhóm ransomware, bao gồm Akira. Bằng cách có được quyền truy cập hợp lệ, kẻ tấn công có thể dễ dàng né tránh các biện pháp bảo mật biên và thiết lập chỗ đứng vững chắc trong mạng nội bộ. Việc này là một hình thức tấn công mạng mở đường cho các hoạt động độc hại nghiêm trọng hơn.

Để biết thêm thông tin về các lỗ hổng liên quan đến Ivanti Pulse Secure, có thể tham khảo National Vulnerability Database (NVD).

Biện pháp Phòng ngừa và Phát hiện Tăng cường An ninh Mạng

Khuyến nghị Bảo mật Tức thì

Các tổ chức nên triển khai ngay lập tức xác thực đa yếu tố (MFA) cho tất cả các hình thức truy cập từ xa. Việc giáo dục người dùng về việc không tải xuống phần mềm từ các nguồn không xác minh cũng là một biện pháp thiết yếu. Đồng thời, cần giám sát chặt chẽ các kết nối ra bên ngoài đến các địa chỉ IP đáng ngờ.

Các nhóm an ninh mạng cần đặc biệt cảnh giác với các tên miền mới đăng ký và các tên miền cấp cao giá rẻ như .shop và .top, vốn thường được kẻ tấn công lợi dụng.

Chỉ số Nhận dạng Đe dọa (IOC)

Các IOC liên quan đến chiến dịch tấn công mạng này bao gồm:

• Tên miền độc hại:
  • ivanti-pulsesecure[.]com
  • ivanti-secure-access[.]org
• Địa chỉ IP C2:
  • 4[.]239[.]95[.]1 (Cổng 8080)
• DLL độc hại:
  • dwmapi.dll
  • pulse_extension.dll
• Tên nhà ký số:Hefei Qiangwei Network Technology Co., Ltd.
• Zscaler Threat Name:Win32_PWS_Agent
• Đường dẫn lưu trữ kết nối:C:ProgramDataPulse SecureConnectionStoreconnectionstore.dat
• Đường dẫn C2 POST:/income_shit

Nền tảng bảo mật đám mây của Zscaler phát hiện mối đe dọa này là Win32_PWS_Agent trên nhiều lớp bảo mật. Công ty tiếp tục giám sát chiến dịch đang phát triển này, sử dụng phân tích hơn 500 tỷ giao dịch hàng ngày để xác định các mối đe dọa tinh vi trước khi chúng thực hiện các cuộc tấn công gây thiệt hại.

Chiến dịch này nhấn mạnh tầm quan trọng của việc săn lùng mối đe dọa liên tục và các biện pháp bảo mật chủ động trong một kỷ nguyên mà ngay cả phần mềm được ký số và kết quả tìm kiếm hàng đầu cũng không thể được tin cậy một cách tuyệt đối. Nâng cao an ninh mạng là trách nhiệm chung của cả người dùng và tổ chức.