Chiến dịch gián điệp mạng có chủ đích mang tên Operation Silk Lure đang khai thác các tác vụ theo lịch trình (Scheduled Tasks) của Windows và kỹ thuật DLL side-loading để triển khai backdoor tinh vi ValleyRAT. Đây là một mối đe dọa mạng nghiêm trọng nhắm vào các công ty FinTech và tiền mã hóa tại Trung Quốc.

Cuộc tấn công mạng này sử dụng email lừa đảo spear-phishing được thiết kế riêng, các tệp shortcut Windows độc hại và cơ chế duy trì quyền truy cập thông qua tác vụ theo lịch trình. Toàn bộ quá trình này nhằm phân phối một payload mã độc nhiều giai đoạn, được thiết kế để thu thập thông tin tình báo nhạy cảm.

Chiến Dịch “Operation Silk Lure” và Kỹ Thuật Lừa Đảo

Các đối tượng đứng sau Operation Silk Lure đã tạo ra những email rất thuyết phục, mạo danh là ứng viên xin việc. Chúng gửi những email này đến các nhóm tuyển dụng nhân sự (HR) và kỹ thuật của các tổ chức Trung Quốc.

Mỗi tin nhắn chứa một tệp shortcut .LNK độc hại được nhúng trong một tài liệu PDF hồ sơ xin việc (résumé) có vẻ hợp pháp.

Kích Hoạt Ban Đầu và Cơ Chế Tải Xuống

Hồ sơ xin việc mồi nhử được viết bằng tiếng Trung giản thể, mô phỏng một hồ sơ thật của 李汉兵 (Li Hanbing), một kỹ sư full-stack cao cấp với chuyên môn về blockchain và giao dịch tần suất cao.

Các thông tin chi tiết như bằng cử nhân từ Đại học Nông nghiệp Hoa Nam và lịch sử làm việc tại các công ty công nghệ ở Huệ Châu và Thâm Quyến đã tăng thêm độ tin cậy, lôi kéo người nhận mở tệp đính kèm.

Khi nạn nhân nhấp vào tệp .LNK, shortcut sẽ thực thi một lệnh PowerShell một dòng kết nối đến pan.tenire.com tại Hoa Kỳ, tải xuống các thành phần chính bao gồm keytool.exe, CreateHiddenTask.vbs, jli.dll và một tệp PDF mồi nhử.

Script ban đầu thả các tệp này vào thư mục %APPDATA%Security và khởi động giai đoạn tiếp theo của cuộc tấn công mạng. Các nhà nghiên cứu của Seqrite Lab đã công bố chi tiết về chiến dịch này, tiết lộ máy chủ C2 tại 206.119.175.16 và khởi chạy backdoor ValleyRAT. Tìm hiểu thêm về Operation Silk Lure tại Seqrite Lab.

Cơ Chế Duy Trì Quyền Truy Cập (Persistence)

Việc duy trì quyền truy cập được thực hiện thông qua một VBScript (CreateHiddenTask.vbs) sử dụng các đối tượng COM để đăng ký một tác vụ theo lịch trình ẩn có tên “Security”.

Khi mẫu .LNK được thực thi trong môi trường bảo mật, nó đã tải xuống payload giai đoạn hai vào C:Users<user>AppDataRoamingSecurity và thực thi nó.

Tác vụ này khởi chạy keytool.exe mỗi ngày vào lúc 8:00 AM, được ngụy trang để xuất hiện như một tiến trình được Microsoft ký. Sau khi đăng ký tác vụ, script tự xóa để xóa dấu vết pháp y.

Kỹ Thuật DLL Side-Loading và Giải Mã Payload

Trong thời gian chạy, keytool.exe thực hiện kỹ thuật DLL side-loading với jli.dll. Nó đọc một payload ẩn, được mã hóa bằng RC4 từ các phần PE của chính nó.

Hộp S (S-box) được khởi tạo với khóa cố định “123cba”, giải mã payload trong bộ nhớ và thực thi trực tiếp mà không ghi ra đĩa.

Bên trong bộ tải, các nhà phân tích đã xác định quy trình RC4 tích hợp của nó, định vị một dấu hiệu 8 byte (1C3B7EFF1C3B7EFF) để trích xuất shellcode được mã hóa.

Mã Độc ValleyRAT: Khả Năng Do Thám và Né Tránh

Payload giai đoạn hai, ValleyRAT, khởi tạo quá trình trinh sát mở rộng. Nó thu thập dữ liệu chi tiết như thông tin CPU, tên người dùng, độ phân giải màn hình, nội dung clipboard và thông tin mạng bao gồm địa chỉ MAC và các cổng mở.

Mã độc này dò tìm các khóa registry để phát hiện môi trường ảo hóa như VMware hoặc VirtualBox nhằm né tránh các môi trường sandbox. Nó cũng truy vấn ROOTSecurityCenter2 thông qua WMI để xác định các sản phẩm diệt virus đã cài đặt, và gỡ cài đặt chúng nếu tìm thấy.

Một quy trình chấm dứt tác vụ dựa trên COM sẽ buộc phá vỡ các kết nối mạng của phần mềm bảo mật bằng cách xóa các khối điều khiển TCP liên quan đến các nhà cung cấp AV Trung Quốc như 360Safe và Kingsoft. Đây là một kỹ thuật tinh vi trong cuộc tấn công mạng này.

Chức Năng Exfiltration và Hạ Tầng C2

Các chức năng exfiltration của ValleyRAT cho phép chụp ảnh màn hình, ghi lại thao tác bàn phím (keylogging) và chuyển tệp. Các lệnh bao gồm cài đặt plugin, quản lý bộ lọc, xử lý phiên và kích hoạt tự gỡ cài đặt.

Dữ liệu nhạy cảm được mã hóa và truyền về hạ tầng C2, bao gồm hơn 20 tên miền dưới một cụm TLD .work trên AS133199 (SonderCloud Limited, Hong Kong). Hạ tầng này được thiết kế để mô phỏng các cổng thông tin việc làm và tăng cường khả năng hoạt động.

Operation Silk Lure tận dụng các kỹ thuật tấn công phi kỹ thuật (social engineering) tập trung vào Trung Quốc và các cơ chế duy trì quyền truy cập nâng cao để xâm nhập mạng các doanh nghiệp mục tiêu.

Tên gọi của chiến dịch—”Silk” cho dấu ấn Trung Quốc, “Lure” cho mồi nhử hồ sơ, “Scheduled Tasks” cho vector duy trì và “DLL Side-Loading” cho kỹ thuật tải—phản ánh trực tiếp các hiện vật và hành vi được quan sát.

Mã độc này thu thập thông tin CPU, tên người dùng, độ phân giải màn hình, số cổng, thời gian hoạt động, chi tiết NIC, MAC, ngôn ngữ, kiểm tra VM, giá trị registry và các định danh khác.

Các Chỉ Số Thỏa Hiệp (Indicators of Compromise – IOCs)

Các tổ chức nên tìm kiếm các chỉ số thỏa hiệp sau để phát hiện xâm nhập và đối phó với chiến dịch tấn công mạng này:

• Truy vấn DNS đến pan.tenire.com.
• Các tác vụ theo lịch trình (Scheduled Tasks) có tên “Security”.
• Thực thi PowerShell bất thường với các cờ như -NoP -ep Bypass.
• Các sự kiện ImageLoad liên quan đến keytool.exe.
• Địa chỉ IP của máy chủ C2: 206.119.175.16.
• Các tên miền C2: Hơn 20 tên miền thuộc TLD .work trên AS133199 (SonderCloud Limited, Hong Kong).

Biện Pháp Phòng Ngừa và Phát Hiện

Để chống lại cuộc tấn công mạng nhiều giai đoạn này, các tổ chức cần áp dụng các biện pháp phòng ngừa hiệu quả:

• Chặn quyền truy cập vào dải IP C2 đã xác định.
• Hạn chế thực thi các tệp VBScript không được ký.
• Triển khai các chính sách danh sách trắng ứng dụng (application-whitelisting) nghiêm ngặt.
• Giám sát liên tục các tác vụ theo lịch trình không mong muốn.
• Theo dõi các mẫu khởi chạy tiến trình bất thường là điều cần thiết để phát hiện xâm nhập và bảo vệ chống lại các chiến dịch tương tự.