Tội phạm mạng đang ngày càng vũ khí hóa mùa kê khai Thuế thu nhập cá nhân (ITR) để thực hiện các chiến dịch phishing tinh vi, nhắm vào các doanh nghiệp. Chúng khai thác tâm lý lo lắng của công chúng về việc tuân thủ thuế và thời hạn hoàn thuế, tạo ra các mồi nhử có độ chân thực cao, bắt chước thông tin liên lạc chính thức của chính phủ.

Làn sóng tấn công mới nhất này liên quan đến một chuỗi lây nhiễm được thiết kế tỉ mỉ, bắt đầu bằng email spear-phishing và đỉnh điểm là việc triển khai mã độc dai dẳng, có khả năng chiếm quyền điều khiển toàn bộ hệ thống.

Phân Tích Chuyên Sâu Các Kỹ Thuật Tấn Công Mạng

Vector Tấn Công Ban Đầu và Kỹ Thuật Lừa Đảo

Vector tấn công ban đầu được triển khai dưới dạng một email với tiêu đề “Tax Compliance Review Notice”, giả mạo từ Cục Thuế. Tuy nhiên, kiểm tra kỹ hơn cho thấy địa chỉ người gửi sử dụng tên miền Outlook[.]com đáng ngờ, không phải tên miền chính thức của chính phủ.

Đáng chú ý, thân email không chứa bất kỳ văn bản nào. Thay vào đó, nó chỉ có một hình ảnh nhúng duy nhất, không thể phân biệt được với một thông báo thuế thật. Kỹ thuật này được thiết kế để né tránh các bộ lọc thư rác dựa trên văn bản tiêu chuẩn, tăng khả năng email đến hộp thư đến của nạn nhân.

Hình ảnh giả mạo này tạo ra cảm giác cấp bách bằng cách nhắc đến các thời hạn giả định và các lỗi tuân thủ bịa đặt, thúc đẩy người nhận hành động ngay lập tức mà không suy nghĩ kỹ.

Chuỗi Lây Nhiễm và Triển Khai Mã Độc

Người nhận được hướng dẫn mở tệp đính kèm tên “Review Annexure.pdf”, một tài liệu được ngụy trang như một tài liệu thuế hợp pháp. Tệp PDF này chứa một liên kết độc hại, chuyển hướng người dùng đến một cổng tuân thủ giả mạo.

Các nhà phân tích từ Seqrite đã xác định rằng cổng thông tin này ngay lập tức kích hoạt việc tải xuống một kho lưu trữ ZIP. Đồng thời, nó hướng dẫn người dùng tắt phần mềm diệt virus dưới chiêu bài “vấn đề tương thích”. Yêu cầu tắt phần mềm bảo mật là một dấu hiệu cảnh báo đỏ rõ ràng, thường thấy trong các chiến dịch phishing nhằm vô hiệu hóa các lớp bảo vệ.

• Nguồn tham khảo:Seqrite: Indian Income Tax-themed Phishing Campaign Targets Local Businesses

Cơ Chế Khai Thác và Duy Trì Quyền Truy Cập

Mức độ tinh vi kỹ thuật của chiến dịch phishing này trở nên rõ ràng khi nạn nhân tương tác với payload đã tải xuống. Quá trình lây nhiễm sử dụng một trình cài đặt NSIS (Nullsoft Scriptable Install System) hai giai đoạn. Trình cài đặt này giải nén nhiều tệp để thiết lập chỗ đứng ban đầu trên máy của nạn nhân.

Mã độc không chỉ đơn thuần đánh cắp dữ liệu. Nó cài đặt một dịch vụ dai dẳng tên là NSecRTS.exe. Dịch vụ này đảm bảo rằng mã độc sẽ tự động chạy trong nền, duy trì sự hiện diện trên hệ thống ngay cả sau khi khởi động lại. Đây là một cơ chế quan trọng để kẻ tấn công duy trì quyền truy cập và kiểm soát lâu dài.

Đặc Điểm Kỹ Thuật của Mã Độc và Mối Đe Dọa Mạng

Giao Tiếp Command and Control (C2)

Dịch vụ NSecRTS.exe giao tiếp với các máy chủ Command and Control (C2) qua các cổng không tiêu chuẩn, cụ thể là 48991 và 48992. Việc sử dụng các cổng này thay vì các cổng dịch vụ phổ biến giúp mã độc né tránh việc phát hiện bởi các công cụ giám sát mạng thông thường. Loại mã độc được triển khai là một Remote Access Trojan (RAT) hoạt động đầy đủ chức năng, cho phép kẻ tấn công thực hiện kiểm soát từ xa hoàn toàn đối với hệ thống bị xâm nhập.

• Nguồn tham khảo về C2:Cyber Security News: Command and Control (C2) Server

Một Remote Access Trojan (RAT) có thể thực hiện nhiều hành vi độc hại, bao gồm nhưng không giới hạn ở:

• Đánh cắp thông tin nhạy cảm.
• Theo dõi hoạt động của người dùng.
• Thực thi lệnh từ xa.
• Thay đổi cấu hình hệ thống.
• Tải xuống và cài đặt các mã độc khác.

Dấu Hiệu Về Nguồn Gốc và Tính Chất của Tấn Công Mạng

Các nhà nghiên cứu đã ghi nhận các chỉ số kỹ thuật cụ thể, bao gồm việc sử dụng tiếng Trung giản thể trong mã và các chứng chỉ ký mã đặc biệt. Những dấu hiệu này cho thấy công cụ tấn công có nguồn gốc từ một môi trường phát triển nhất định. Đây là một ví dụ điển hình về mối đe dọa mạng phức tạp, tận dụng nhiều kỹ thuật để đạt được mục tiêu chiếm quyền kiểm soát hệ thống.

Sự chuyển đổi từ một email phishing đơn giản thành một Remote Access Trojan (RAT) hoạt động đầy đủ chức năng là minh chứng cho sự phát triển của các chiến dịch phishing hiện nay. Chúng không còn chỉ đơn thuần là thu thập thông tin đăng nhập mà còn tiến tới việc kiểm soát hoàn toàn các hệ thống mục tiêu.

Khuyến Nghị An Ninh Mạng và Biện Pháp Phòng Ngừa

Để chống lại các mối đe dọa mạng đa giai đoạn như vậy, các tổ chức và cá nhân cần tăng cường các biện pháp an ninh mạng toàn diện:

• Đào tạo nhận thức về Phishing: Cung cấp đào tạo thường xuyên cho nhân viên để nhận biết và báo cáo các email đáng ngờ, đặc biệt là trong các mùa cao điểm như mùa thuế.
• Triển khai giải pháp bảo mật email: Sử dụng các hệ thống lọc email tiên tiến có khả năng phát hiện các email phishing phức tạp, bao gồm cả những email sử dụng hình ảnh nhúng để né tránh bộ lọc văn bản.
• Xác minh nguồn gốc email: Luôn kiểm tra địa chỉ email của người gửi và tên miền để đảm bảo tính hợp pháp trước khi nhấp vào liên kết hoặc mở tệp đính kèm.
• Không tắt phần mềm diệt virus: Tuyệt đối không tắt phần mềm bảo mật theo yêu cầu từ các nguồn không xác định hoặc không đáng tin cậy.
• Cập nhật bản vá bảo mật: Thường xuyên cập nhật hệ điều hành và tất cả phần mềm ứng dụng để vá các lỗ hổng bảo mật đã biết.
• Giám sát mạng: Triển khai các giải pháp giám sát mạng để phát hiện lưu lượng truy cập đáng ngờ trên các cổng không tiêu chuẩn, có thể là dấu hiệu của giao tiếp C2.