Trong một chiến dịch tấn công phishing quy mô lớn diễn ra vào đêm trước Lễ Tạ Ơn, nhóm đối tượng nguy hiểm được Microsoft Threat Intelligence theo dõi với tên gọi Storm-0900 đã thực hiện một cuộc tấn công lừa đảo tinh vi nhắm vào người dùng.

Các nhà phân tích bảo mật của Microsoft Threat Intelligence đã kịp thời phát hiện và chặn đứng cuộc tấn công phối hợp này, bao gồm hàng chục nghìn email được thiết kế để đánh lừa các nạn nhân trong dịp lễ. Cuộc tấn công sử dụng hai chủ đề kỹ thuật xã hội chính, tận dụng các sự kiện thời sự để tăng tính hợp lệ.

Chiến Thuật Tấn Công Phishing Tinh Vi của Storm-0900

Chiến dịch tấn công phishing của Storm-0900 tập trung vào việc tạo ra cảm giác cấp bách và đáng tin cậy. Hai chủ đề chính được khai thác là thông báo phạt vé đậu xe giả mạo và kết quả xét nghiệm y tế gian lận. Việc tham chiếu đến các dịp lễ lớn như Lễ Tạ Ơn đã giúp những kẻ tấn công giảm bớt sự nghi ngờ của nạn nhân và tăng khả năng tương tác của người dùng với các email lừa đảo.

Thành công của chiến dịch này dựa trên nhiều lớp lừa đảo và sự tinh vi về mặt kỹ thuật, được Microsoft phát hiện và chặn vào ngày 26 tháng 11.

Tên Miền Độc Hại và Cơ Chế Lừa Đảo

Các email tấn công phishing chứa các URL dẫn đến một trang đích do kẻ tấn công kiểm soát, được lưu trữ trên tên miền độc hại permit-service[.]top. Những kẻ tấn công đã tích hợp các yếu tố tương tác để lừa đảo người dùng và vượt qua các biện pháp bảo mật.

Trang đích yêu cầu người dùng hoàn thành một CAPTCHA bằng cách kéo một thanh trượt. Bước này xuất hiện hợp pháp đối với hầu hết người dùng, nhưng thực tế nó dùng để xác thực khả năng tương tác của mục tiêu và mức độ sẵn sàng cho việc triển khai mã độc.

Phishing Email -> Malicious URL -> Landing Page (permit-service[.]top) -> CAPTCHA Interaction -> Malware Deployment

Mã Độc XWorm: Nền Tảng Remote Access Đa Năng

Sau khi người dùng tương tác thành công với trang phishing, mã độc sẽ được gửi đến các thiết bị bị xâm nhập. Các nhà phân tích của Microsoft Threat Intelligence đã xác định rằng chiến dịch này cuối cùng dẫn đến việc triển khai XWorm, một loại mã độc truy cập từ xa (Remote Access Malware – RAT) phổ biến và có cấu trúc module.

XWorm được nhiều nhóm đối tượng nguy hiểm sử dụng trên khắp không gian mạng. Để biết thêm chi tiết về việc phát hiện chiến dịch này và liên hệ tới mã độc XWorm, bạn có thể tham khảo thông báo từ Microsoft Threat Intelligence tại Twitter của Microsoft Threat Intelligence.

Kiến Trúc Module và Khả Năng của XWorm

XWorm hoạt động như một nền tảng mã độc module, cho phép những kẻ tấn công tải các plugin khác nhau để thực hiện nhiều tác vụ trên các thiết bị bị xâm nhập. Kiến trúc module này làm cho mã độc trở nên đặc biệt nguy hiểm, vì nó cho phép kẻ tấn công tùy chỉnh các cuộc tấn công dựa trên các mục tiêu cụ thể.

Một khi được cài đặt, XWorm cho phép các khả năng truy cập từ xa, cho phép những kẻ tấn công:

• Triển khai các mã độc bổ sung.
• Đánh cắp dữ liệu nhạy cảm.
• Duy trì quyền truy cập dai dẳng trên hệ thống nạn nhân trong thời gian dài.

Mã độc này giao tiếp với cơ sở hạ tầng chỉ huy và kiểm soát (Command-and-Control – C2), cho phép kẻ tấn công ra lệnh từ xa và trích xuất thông tin từ các máy đã bị xâm nhập. Điều này tạo ra một rủi ro bảo mật nghiêm trọng cho bất kỳ hệ thống nào bị nhiễm.

Phát Hiện và Chặn Đứng Cuộc Tấn Công

Microsoft đã thành công trong việc ngăn chặn toàn bộ chiến dịch tấn công phishing này thông qua sự kết hợp của nhiều công nghệ bảo mật. Các biện pháp này bao gồm công nghệ lọc email, bảo vệ điểm cuối (endpoint protections) và chặn chủ động cơ sở hạ tầng của kẻ tấn công dựa trên dữ liệu tình báo mối đe dọa (threat intelligence).

Cách tiếp cận phòng thủ đa lớp này đã ngăn chặn phần lớn các email lừa đảo không đến được mục tiêu dự định và chặn truy cập vào các tên miền độc hại trước khi người dùng có thể tương tác với chúng. Điều này cho thấy tầm quan trọng của chiến lược phát hiện tấn công chủ động.

Biện Pháp Bảo Vệ và Tăng Cường An Ninh Mạng

Các tổ chức cần duy trì cảnh giác cao độ đối với các thông tin liên lạc bất thường đề cập đến các vấn đề khẩn cấp. Đặc biệt, việc triển khai các biện pháp kiểm soát bảo mật email mạnh mẽ là cực kỳ quan trọng trong các dịp lễ, khi các nỗ lực kỹ thuật xã hội thường gia tăng.

Để củng cố an ninh mạng, cần tập trung vào các lĩnh vực sau:

• Đào tạo người dùng: Nâng cao nhận thức của nhân viên về các dấu hiệu của email tấn công phishing và kỹ thuật xã hội.
• Bảo mật email tiên tiến: Sử dụng các giải pháp lọc email thông minh, phát hiện lừa đảo và bảo vệ chống lại các mối đe dọa nâng cao.
• Bảo vệ điểm cuối: Triển khai phần mềm bảo vệ điểm cuối mạnh mẽ với khả năng phát hiện hành vi mã độc và chống khai thác.
• Tình báo mối đe dọa: Tích hợp dữ liệu tình báo mối đe dọa để chủ động chặn các tên miền độc hại và các chỉ số xâm nhập (IOC) đã biết.
• Xác thực đa yếu tố (MFA): Bắt buộc sử dụng MFA để bảo vệ tài khoản người dùng, ngay cả khi thông tin đăng nhập bị đánh cắp qua các cuộc tấn công phishing.

Việc áp dụng các chiến lược phòng thủ toàn diện là chìa khóa để bảo vệ hệ thống khỏi các mối đe dọa ngày càng phức tạp.