Một mối đe dọa mạng mới đang thách thức các tổ chức trọng yếu, khi nhóm gián điệp mạng MuddyWater, còn được biết đến với tên gọi Mango Sandstorm, đã triển khai một chiến dịch tấn công có chủ đích cao. Chiến dịch này nhắm vào cơ sở hạ tầng quan trọng tại Israel và Ai Cập, bao gồm các lĩnh vực kỹ thuật, tiện ích, chính quyền địa phương và công nghệ. Các hoạt động được ghi nhận từ tháng 9 năm 2024 đến tháng 3 năm 2025 cho thấy sự thay đổi rõ rệt trong mức độ tinh vi của nhóm, khẳng định mối đe dọa mạng này ngày càng nguy hiểm.

Sự tiến hóa trong phương thức tấn công của MuddyWater

Chiến dịch hiện tại đánh dấu một bước tiến đáng kể trong khả năng vận hành của MuddyWater. Nhóm này đã chuyển từ các cuộc tấn công mạng ồn ào, dễ bị phát hiện trước đây sang một phương pháp tinh vi hơn, tập trung vào việc kết hợp mã độc tùy chỉnh với các chiến thuật né tránh tiên tiến. Mục tiêu chính là duy trì quyền truy cập lâu dài vào các hệ thống mục tiêu mà không gây cảnh báo cho các hệ thống phòng thủ, giảm thiểu khả năng phát hiện xâm nhập.

Sự thay đổi này cho thấy một nỗ lực đáng kể nhằm nâng cao khả năng lẩn trốn và hiệu quả của các hoạt động gián điệp. Điều này làm cho việc phòng chống và ứng phó với mối đe dọa mạng từ MuddyWater trở nên phức tạp hơn.

Vector lây nhiễm ban đầu và kỹ thuật Spearphishing

Vector lây nhiễm ban đầu của chiến dịch này vẫn dựa vào chiến thuật spearphishing quen thuộc nhưng hiệu quả của nhóm. Các nạn nhân nhận được email chứa liên kết dẫn đến các trình cài đặt có vẻ hợp pháp cho phần mềm Giám sát và Quản lý Từ xa (RMM) như Atera, Syncro và PDQ. Các trình cài đặt này được lưu trữ trên các dịch vụ chia sẻ tệp miễn phí để tránh sự nghi ngờ ban đầu.

Việc sử dụng phần mềm RMM hợp pháp là một chiến thuật thông minh. Các công cụ này thường được quản trị viên hệ thống sử dụng, do đó ít gây nghi ngờ hơn khi hoạt động trên mạng nội bộ. Điều này giúp kẻ tấn công thiết lập một điểm khởi đầu đáng tin cậy để triển khai các giai đoạn tấn công tiếp theo và củng cố mối đe dọa mạng.

Bộ công cụ tấn công tinh vi sau khi xâm nhập

Một khi các công cụ RMM đã xâm nhập được vào hệ thống, các nhà điều hành MuddyWater sẽ chuyển sang triển khai một bộ công cụ tinh vi được thiết kế để đánh cắp thông tin đăng nhập và lấy cắp dữ liệu trình duyệt nhạy cảm. Điểm đáng chú ý là nhóm này cố tình tránh các phiên tương tác “hands-on-keyboard” trực tiếp, vốn thường kích hoạt các cảnh báo an ninh. Thay vào đó, chúng tự động hóa quá trình exfiltration dữ liệu để duy trì tính ẩn danh và tránh phát hiện xâm nhập.

Các nhà phân tích bảo mật từ WeLiveSecurity đã ghi nhận và xác định rằng nhóm này đã triển khai các công cụ chưa từng được biết đến trước đây, đặc biệt là trình tải (loader) có tên “Fooder” và backdoor “MuddyViper”. Nghiên cứu của ESET cung cấp thêm chi tiết về những công cụ này, làm rõ hơn về mối đe dọa mạng do MuddyWater gây ra.

Phân tích kỹ thuật chuyên sâu về Fooder Loader và MuddyViper Backdoor

Một trong những khía cạnh kỹ thuật hấp dẫn nhất của chiến dịch này là trình tải Fooder. Đây là một tệp thực thi tùy chỉnh được viết bằng C++, có thể nhận dạng qua các đường dẫn PDB nội bộ như C:UserswinDesktopFooderDebugLauncher.pdb. Fooder chịu trách nhiệm tải backdoor MuddyViper trực tiếp vào bộ nhớ theo phương pháp reflective loading. Điều độc đáo là Fooder ngụy trang thành trò chơi video “Snake” cổ điển, tích hợp logic cốt lõi của trò chơi vào các quy trình né tránh của nó.

Kỹ thuật né tránh tinh vi của Fooder

Để vượt qua các phân tích sandbox tự động, Fooder sử dụng một hàm trễ tùy chỉnh kết hợp với các lệnh gọi API Sleep. Kỹ thuật này bắt chước các vòng lặp của trò chơi, làm trì hoãn quá trình thực thi mã độc. Các hệ thống sandbox thường có giới hạn thời gian phân tích, và việc trì hoãn này có thể khiến mã độc không thực thi hết các payload trong môi trường cô lập, từ đó bỏ qua việc phát hiện xâm nhập. Sau khi được thực thi, Fooder sẽ giải mã payload của nó bằng một khóa AES cứng, một phần quan trọng trong cơ chế hoạt động của mã độc để bảo vệ payload khỏi bị phân tích dễ dàng. Đây là một dấu hiệu của mã độc được thiết kế chuyên nghiệp.

Hoạt động của MuddyViper Backdoor

Backdoor MuddyViper hoạt động hoàn toàn trong bộ nhớ, một đặc điểm giúp nó khó bị phát hiện hơn bởi các giải pháp an ninh dựa trên tệp. Nó tạo ra các nhật ký trạng thái chi tiết, ví dụ: [+] Persist: ——————– Hi,I am Live, để báo hiệu sự kích hoạt và hoạt động của nó. Để duy trì quyền truy cập, MuddyViper thiết lập tính bền vững thông qua các khóa registry hoặc các tác vụ theo lịch trình (scheduled tasks) trong hệ điều hành Windows. Các phương pháp này phổ biến nhưng vẫn hiệu quả để đảm bảo mã độc có thể khởi động lại cùng với hệ thống, góp phần vào mối đe dọa mạng dài hạn.

Giao tiếp với máy chủ Điều khiển & Chỉ huy (C&C) được thực hiện thông qua lưu lượng truy cập được mã hóa, gây khó khăn cho việc giám sát và phân tích lưu lượng mạng. Việc mã hóa giúp bảo vệ thông tin bị đánh cắp và lệnh điều khiển khỏi bị chặn và giải mã. Ngoài ra, backdoor này còn sử dụng kỹ thuật social engineering bằng cách hiển thị các lời nhắc đăng nhập giả mạo để thu thập thông tin đăng nhập của người dùng. Kỹ thuật này khai thác sự tin tưởng của người dùng, khiến họ nhập thông tin nhạy cảm vào một giao diện được thiết kế để đánh lừa, gia tăng khả năng tấn công mạng thành công.

Sử dụng API Windows CNG và ý nghĩa kỹ thuật

Các thành phần mã độc của MuddyWater, cụ thể là Fooder và MuddyViper, sử dụng API mã hóa Windows CNG (Cryptography API: Next Generation). Đây là một tính năng tinh vi, hiếm khi được thấy trong các nhóm tấn công. Windows CNG cung cấp một khung làm việc linh hoạt và có khả năng mở rộng để thực hiện các hoạt động mã hóa mật mã. Việc sử dụng CNG cho thấy mức độ chuyên môn cao của những kẻ tấn công, vì nó yêu cầu hiểu biết sâu sắc về các API hệ thống cấp thấp. Nó cũng cung cấp một cơ chế mã hóa mạnh mẽ và đáng tin cậy hơn, nâng cao khả năng lẩn trốn của mối đe dọa mạng này.

Chỉ số thỏa hiệp (IOCs)

Các chỉ số thỏa hiệp (IOCs) giúp các tổ chức nhận dạng và ứng phó với mối đe dọa mạng này. Dưới đây là các IOC đã được xác định:

• Tên mã độc:
  • Fooder (Loader)
  • MuddyViper (Backdoor)
• PDB Paths (từ Fooder loader):

  C:UserswinDesktopFooderDebugLauncher.pdb

• Chuỗi nhận dạng MuddyViper:

  [+] Persist: ——————– Hi,I am Live

Việc giám sát các chuỗi và đường dẫn này trong hệ thống của bạn có thể là một dấu hiệu của sự xâm nhập. Các đội ngũ an ninh mạng nên tích hợp các IOC này vào hệ thống phát hiện và phòng ngừa của mình để tăng cường khả năng chống lại các tấn công mạng.

Ảnh hưởng hệ thống và biện pháp phòng ngừa

Các hệ thống bị ảnh hưởng bởi chiến dịch này có thể đối mặt với nguy cơ rò rỉ thông tin nhạy cảm nghiêm trọng, bao gồm thông tin đăng nhập và dữ liệu trình duyệt. Khả năng duy trì quyền truy cập lâu dài của MuddyWater cũng đặt ra một mối đe dọa mạng tiềm ẩn liên tục, có thể dẫn đến các cuộc tấn công leo thang hoặc đánh cắp dữ liệu quy mô lớn trong tương lai.

Để bảo vệ hệ thống khỏi các cuộc tấn công mạng tương tự, các tổ chức cần triển khai một chiến lược bảo mật nhiều lớp:

• Đào tạo nâng cao nhận thức về an ninh mạng: Huấn luyện người dùng nhận biết các email spearphishing và các liên kết độc hại, giảm thiểu nguy cơ ban đầu của mối đe dọa mạng.
• Giám sát và lọc email: Sử dụng các giải pháp lọc email tiên tiến để phát hiện và chặn các email lừa đảo.
• Quản lý và vá lỗi định kỳ: Đảm bảo tất cả phần mềm và hệ điều hành được cập nhật bản vá bảo mật mới nhất.
• Giám sát mạng và hệ thống: Triển khai các hệ thống phát hiện xâm nhập (IDS/IPS) và công cụ SIEM để giám sát hoạt động mạng và hệ thống bất thường, đặc biệt là các kết nối đến các máy chủ C&C đáng ngờ.
• Giải pháp Endpoint Detection and Response (EDR): Sử dụng EDR để phát hiện và phản ứng với các hoạt động mã độc trong bộ nhớ và các kỹ thuật né tránh.
• Chính sách đặc quyền tối thiểu: Áp dụng nguyên tắc đặc quyền tối thiểu cho người dùng và ứng dụng để hạn chế thiệt hại trong trường hợp bị xâm nhập.

Sự kết hợp giữa các kỹ thuật che giấu phức tạp và khả năng gián điệp mạnh mẽ làm nổi bật một nâng cấp nguy hiểm trong kho vũ khí của MuddyWater, đòi hỏi các tổ chức phải tăng cường các biện pháp phòng thủ của mình trước mối đe dọa mạng này.