Một chiến dịch tấn công mạng lừa đảo tinh vi đã nhắm mục tiêu vào các công ty tại Ấn Độ bắt đầu từ tháng 11 năm 2025. Chiến dịch này giả mạo Bộ Thuế vụ Ấn Độ (Income Tax Department of India) nhằm thực hiện mục tiêu chiếm đoạt thông tin và kiểm soát hệ thống.

Kỹ Thuật Lừa Đảo và Giả Mạo

Chiến dịch này sử dụng các mẫu email giả mạo có độ chân thực cao, mô phỏng đúng văn phong của cơ quan chính phủ.

Các tin nhắn được gửi bằng cả tiếng Hindi và tiếng Anh, kèm theo các trích dẫn pháp lý từ Đạo luật Thuế thu nhập để tạo ra cảm giác hợp pháp và cấp bách.

Email cảnh báo người nhận về các vi phạm thuế bị cáo buộc và yêu cầu họ nộp tài liệu trong vòng 72 giờ. Áp lực tâm lý này là vũ khí chính để thúc đẩy người dùng mở các tệp đính kèm độc hại.

Mục Tiêu Tấn Công Cụ Thể

Chiến dịch đặc biệt nhắm vào các công ty chứng khoán, tổ chức tài chính và tổ chức tài chính phi ngân hàng. Những đối tượng này thường xuyên trao đổi các tài liệu quy định với các cơ quan chính phủ, làm tăng khả năng họ rơi vào bẫy lừa đảo.

Chuỗi Lây Nhiễm Mã Độc Phức Tạp

Cuộc tấn công triển khai một chuỗi mã độc tinh vi gồm hai giai đoạn. Các email ban đầu mang theo các tệp ZIP được bảo vệ bằng mật khẩu, bên trong chứa các loader shellcode.

Giai đoạn sau đó, kẻ tấn công chuyển sang sử dụng các liên kết Google Docs để phân phối payload thứ cấp, lợi dụng sự tin cậy vào các dịch vụ đám mây hợp pháp.

Payload cuối cùng là một Remote Access Trojan (RAT) được thiết kế để cấp cho kẻ tấn công quyền kiểm soát hoàn toàn các hệ thống bị xâm nhập. Các khả năng của RAT bao gồm chia sẻ màn hình, chuyển tệp và thực thi lệnh từ xa.

Các nhà phân tích bảo mật của Raven Security đã xác định chiến dịch lừa đảo zero-day này. Việc nhận diện nhiều lớp không nhất quán trong cấu trúc tấn công đã giúp ngăn chặn lây nhiễm rộng rãi trên các tổ chức mục tiêu.

Kỹ Thuật Né Tránh Phát Hiện Nâng Cao

Cơ chế lây nhiễm của chiến dịch này cho thấy một phương pháp được thiết kế cẩn thận để né tránh các hệ thống bảo mật thông thường, một mối đe dọa mạng đáng chú ý.

Vượt Qua Xác Thực Email

Các email lừa đảo ban đầu có nguồn gốc từ các tài khoản email miễn phí QQ.com hợp pháp. Những email này đã vượt qua các kiểm tra xác thực SPF, DKIM và DMARC. Đây là một yếu tố quan trọng giúp chúng vượt qua các bộ lọc bảo mật email truyền thống.

Tệp Đính Kèm Được Bảo Vệ Bằng Mật Khẩu

Các tệp đính kèm sử dụng tính năng bảo vệ bằng mật khẩu để ngăn chặn các công cụ chống vi-rút quét nội dung của chúng trong quá trình truyền tải. Mật khẩu được cung cấp trực tiếp trong nội dung email để người dùng có thể giải nén.

Thực Thi Không Ghi Tệp (Fileless Execution)

Khi người dùng giải nén các tệp ZIP bằng mật khẩu được cung cấp trong email, họ sẽ gặp các tệp thực thi có tên “NeededDocuments”. Các tệp này chứa shellcode được thiết kế để thực thi thông qua kỹ thuật regsvr32 proxy loading.

Kỹ thuật này, thường được gọi là thực thi không ghi tệp, cho phép mã độc tải một DLL ẩn trực tiếp vào bộ nhớ mà không ghi các chữ ký nhận diện xuống đĩa. Điều này làm cho việc phát hiện dựa trên chữ ký trở nên kém hiệu quả.

Shellcode thiết lập các cơ chế duy trì quyền truy cập (persistence), thu thập thông tin đăng nhập đã lưu trữ từ hệ thống của nạn nhân và mở các kênh liên lạc đến máy chủ điều khiển từ xa được liên kết với cơ sở hạ tầng AsyncRAT.

Lợi Dụng Dịch Vụ Đám Mây Đáng Tin Cậy

Một số biến thể của chiến dịch đã sử dụng Google Docs làm nền tảng lưu trữ đáng tin cậy cho giai đoạn thứ hai của mã độc. Điều này khai thác sự tin cậy vốn có vào các dịch vụ đám mây hợp pháp của các bộ lọc bảo mật doanh nghiệp.

Sự kết hợp giữa xác thực người gửi sạch, payload được bảo vệ bằng mật khẩu, cơ sở hạ tầng đám mây hợp pháp và thực thi regsvr32 proxy loading đã tạo ra một chuỗi tấn công gần như vô hình. Các phương pháp phát hiện dựa trên chữ ký không thể nhận diện được cuộc tấn công mạng này.

Chỉ Số Lây Nhiễm (IOCs)

Các chỉ số lây nhiễm được xác định từ chiến dịch tấn công mạng này bao gồm:

• Tên tệp độc hại:NeededDocuments.exe
• Miền email gốc:qq.com (các tài khoản miễn phí)
• Phân loại mã độc: Remote Access Trojan (RAT) – AsyncRAT
• Kỹ thuật thực thi:regsvr32.exe proxy loading (fileless execution)
• Nền tảng phân phối payload thứ cấp: Google Docs