Chiến dịch SmartApeSG, còn được biết đến với tên gọi ZPHP và HANEYMANEY, đang liên tục phát triển các chiến thuật lây nhiễm. Gần đây, nhóm này đã chuyển hướng sang các vector tấn công kiểu ClickFix, tạo ra một mối **tấn công mạng** phức tạp nhắm vào người dùng.

Các nhà nghiên cứu bảo mật đã ghi lại phương pháp mới nhất của chiến dịch. Phương pháp này sử dụng các trang CAPTCHA giả mạo tinh vi để lừa người dùng thực thi các lệnh độc hại, cuối cùng triển khai NetSupport RAT. NetSupport RAT là một Trojan truy cập từ xa (Remote Access Trojan) có khả năng kiểm soát hoàn toàn các hệ thống Windows bị xâm nhập.

Sự Tiến Hóa của Chiến Dịch SmartApeSG và Kỹ Thuật ClickFix

Từ Trang Cập Nhật Trình Duyệt Đến CAPTCHA Giả Mạo

Được xác định lần đầu vào tháng 6 năm 2024, chiến dịch SmartApeSG đã cho thấy sự phát triển liên tục trong cơ sở hạ tầng tấn công của mình. Ban đầu, chiến dịch dựa vào các trang cập nhật trình duyệt giả mạo để lừa người dùng, một kỹ thuật đã được ghi nhận rộng rãi bởi ISC SANS.

Tuy nhiên, các đối tượng đe dọa đã chuyển đổi sang kỹ thuật ClickFix hiệu quả hơn. Sự tiến hóa này phản ánh những nỗ lực không ngừng của các đối thủ nhằm cải thiện hiệu quả kỹ thuật xã hội và vượt qua các khóa đào tạo nhận thức bảo mật truyền thống.

Người dùng thường đã phát triển khả năng nhận biết đối với các phương pháp tấn công lỗi thời. Kỹ thuật ClickFix đã chứng minh thành công trong nhiều chiến dịch khác nhau, và việc SmartApeSG triển khai cho thấy cách các tác nhân đe dọa nhanh chóng áp dụng các phương pháp tấn công đã được kiểm chứng.

Chi Tiết Kỹ Thuật Chuỗi Tấn Công

Khởi Đầu Lây Nhiễm qua Website Bị Thỏa Hiệp

Quá trình lây nhiễm bắt đầu khi người dùng truy cập các website đã bị thỏa hiệp. Những trang web này chứa các script được chèn ẩn, được thiết kế để kích hoạt trong các điều kiện cụ thể.

Các script này sẽ hiển thị một trang xác minh kiểu CAPTCHA giả mạo, bắt chước các kiểm tra bảo mật hợp pháp. Khi người dùng nhấp vào nút “verify you are human” (xác minh bạn là con người), chuỗi tấn công sẽ tự động khởi tạo.

Cơ Chế Khai Thác Bảng Nhớ Tạm (Clipboard Injection)

Script độc hại thực hiện ba hành động quan trọng. Đầu tiên, nó tiêm nội dung độc hại trực tiếp vào bảng nhớ tạm (clipboard) của hệ thống Windows.

Thứ hai, nó hiển thị một cửa sổ bật lên (pop-up) với các hướng dẫn yêu cầu người dùng mở hộp thoại Run của Windows, dán nội dung từ clipboard và thực thi nó.

Nội dung được tiêm vào clipboard chứa một chuỗi lệnh sử dụng công cụ mshta. mshta là một tiện ích của Windows dùng để thực thi các ứng dụng HTML, được kẻ tấn công lợi dụng để truy xuất và thực thi thêm nội dung độc hại từ xa. Phương pháp kỹ thuật xã hội này đặc biệt hiệu quả vì nó tận dụng sự tin tưởng của người dùng vào các yếu tố giao diện hệ thống và có vẻ như xuất phát từ các hoạt động website hợp pháp.

Triển Khai và Duy Trì NetSupport RAT

Sau khi được thực thi, lệnh độc hại sẽ tải xuống và cài đặt NetSupport RAT lên hệ thống bị thỏa hiệp. Phần mềm độc hại này thiết lập cơ chế duy trì (persistence) thông qua một shortcut trong Start Menu được đặt một cách chiến lược.

Shortcut này sẽ tự động thực thi một tệp JavaScript được lưu trữ trong thư mục AppDataLocalTemp của người dùng. Tệp JavaScript này sau đó sẽ khởi chạy tệp thực thi NetSupport RAT nằm trong một thư mục con dưới C:ProgramData, đảm bảo rằng phần mềm độc hại vẫn hoạt động sau khi hệ thống khởi động lại.

NetSupport RAT là một công cụ truy cập từ xa mạnh mẽ, cung cấp cho kẻ tấn công các khả năng kiểm soát toàn diện, bao gồm truy cập tệp, thực thi lệnh và chức năng giám sát. Các nhà nghiên cứu bảo mật đã quan sát thấy các lây nhiễm phần mềm độc hại tiếp theo được triển khai từ các ca lây nhiễm NetSupport RAT, cho thấy việc thỏa hiệp ban đầu thường đóng vai trò là điểm dàn dựng cho các payload độc hại bổ sung.

Các Chỉ Số Thỏa Hiệp (IOCs) Tiềm Năng và Phương Pháp Phát Hiện

Xác Định và Theo Dõi Hoạt Động Độc Hại

Các nhà phân tích bảo mật theo dõi hoạt động của SmartApeSG thường xác định các chỉ số của chiến dịch thông qua việc giám sát threat intelligence chuyên dụng. Các nhà nghiên cứu có thể dựa vào các chỉ số này bằng cách sử dụng các công cụ như URLscan để xác định các website bị thỏa hiệp đang lưu trữ các script độc hại.

Tuy nhiên, chiến dịch này thể hiện các thực tiễn bảo mật hoạt động tinh vi. Chuỗi lây nhiễm không kích hoạt một cách nhất quán, vì các đối thủ dường như triển khai logic thực thi có điều kiện dựa trên các yếu tố như thời gian trong ngày hoặc địa chỉ IP nguồn. Điều này tiềm ẩn khả năng ngăn chặn phân tích sandbox và các nỗ lực lây nhiễm lặp lại từ cùng một mạng, gây khó khăn cho việc phát hiện và nghiên cứu một **tấn công mạng** toàn diện.

Chỉ Số Tiềm Năng

• Đường dẫn tệp JavaScript: Tệp .js trong thư mục %APPDATA%LocalTemp.
• Đường dẫn tệp thực thi RAT: Tệp thực thi NetSupport RAT trong một thư mục con dưới C:ProgramData.
• Thực thi lệnh bất thường: Các lệnh mshta thực thi các ứng dụng HTML từ xa.
• Kết nối mạng: Kết nối từ hệ thống đến các máy chủ C2 để tải xuống payload hoặc truyền dữ liệu.
• Thiết lập Persistence: Shortcut trong Start Menu trỏ đến tệp JavaScript độc hại.

Chiến Lược Phòng Ngừa và Giảm Thiểu Rủi Ro

Bảo Vệ Người Dùng và Hệ Thống

Để chống lại các cuộc tấn công mạng như SmartApeSG, các tổ chức nên triển khai các biện pháp bảo vệ mạnh mẽ. Điều này bao gồm lọc email và các biện pháp bảo vệ cổng web (web gateway) để chặn quyền truy cập vào các website độc hại đã biết hoặc bị thỏa hiệp.

Đào tạo nhận thức bảo mật cho người dùng cần tập trung cụ thể vào các cuộc tấn công kiểu ClickFix. Người dùng cần được cảnh báo về những nguy hiểm khi thực thi các lệnh không quen thuộc thông qua các tiện ích hệ thống như hộp thoại Run của Windows.

Ngoài ra, các giải pháp phát hiện và phản hồi điểm cuối (Endpoint Detection and Response – EDR) cần giám sát chặt chẽ. Cần tìm kiếm các hoạt động đáng ngờ như việc thực thi mshta bất thường và các dấu hiệu (artifacts) của NetSupport RAT trên các hệ thống Windows. Việc này giúp tổ chức chủ động phát hiện và ứng phó với các mối đe dọa, giảm thiểu rủi ro từ chiến dịch **tấn công mạng** này.