tLab Technologies, một công ty có trụ sở tại Kazakhstan chuyên về phòng chống mối đe dọa nâng cao, đã phát hiện một trong những nỗ lực **tấn công phishing** đầu tiên nhắm mục tiêu vào các khách hàng trong khu vực công của mình. Sự cố an ninh mạng này đã khai thác một trang đăng nhập giả mạo được thiết kế chuyên nghiệp nhằm mục đích **đánh cắp dữ liệu** xác thực người dùng. Kênh rò rỉ dữ liệu bí mật được sử dụng trong chiến dịch này là Telegram Bot API.

Phương pháp này, mặc dù không hoàn toàn mới, đã thể hiện mức độ tinh vi cao trong việc mô phỏng giao diện chính phủ hợp pháp, khiến nó đặc biệt khó nhận biết đối với những người dùng không cảnh giác. Chiến dịch đã lợi dụng sự tin tưởng của người dùng thông qua các chiến thuật kỹ thuật xã hội, như điền sẵn các trường email và các thông báo bảo mật giả mạo, để tạo điều kiện cho hành vi trộm cắp thông tin đăng nhập.

Kỹ thuật Tấn công Phishing Nâng Cao

Mô phỏng Giao diện Chính phủ và HTML độc hại

Chiến dịch phishing bắt đầu bằng một tệp HTML độc hại, tương tự như các tệp được vũ khí hóa. Các tệp này hiển thị một biểu mẫu đăng nhập giả mạo, có hình ảnh giống hệt các cổng thông tin chính phủ Kazakhstan chính thức, đặc biệt là các tên miền dưới dạng `.gov.kz`. Sự bắt chước trực quan này được thiết kế để tạo cảm giác tin cậy và hợp pháp cho nạn nhân.

Trong một mẫu được phân tích, trang này hiển thị một địa chỉ email chính phủ được điền sẵn (ví dụ: `@.***.gov.kz`) và nhắc người dùng “Xác nhận hộp thư của bạn để truy cập tệp”. Kèm theo đó là một ghi chú lừa đảo tuyên bố được bảo vệ bởi hệ thống bảo mật chính thức. Sự lừa dối giao diện người dùng này tăng cường tính hợp lý, khai thác các điểm yếu tâm lý của nạn nhân.

Một mẫu thứ cấp, có tiêu đề “Specification” (**SHA-256**: 7ee39d2572f161d4c94bb06bda5bea229d39dc869808ad5f5d110964aa470071), sử dụng bố cục dựa trên bảng với nền mờ và hình ảnh được mã hóa **Base64** để che giấu mã độc. Sau khi nhập thông tin đăng nhập, dữ liệu sẽ được gửi đến một dịch vụ gửi biểu mẫu của bên thứ ba trước khi chuyển hướng đến một trang hỗ trợ **Microsoft** hợp pháp, che giấu sự thành công của cuộc **tấn công phishing**.

Cơ chế Rò rỉ Dữ liệu qua Telegram Bot API

JavaScript được nhúng trong tệp HTML độc hại đóng vai trò quan trọng trong việc chặn các thông tin gửi biểu mẫu. Nó thu thập tên người dùng và mật khẩu đã nhập mà không kích hoạt xử lý phía máy chủ tiêu chuẩn. Thay vào đó, tập lệnh sẽ tạo một thông báo định dạng, mô phỏng nhật ký thông tin đăng nhập bị đánh cắp.

Thông báo này sau đó được truyền đi qua một yêu cầu **GET** đến Telegram Bot API. Điều này cho phép những kẻ tấn công nhận được dữ liệu bị rò rỉ trong thời gian thực thông qua một cuộc trò chuyện được kiểm soát. Việc sử dụng Telegram, một nền tảng hợp pháp, giúp cuộc tấn công này vượt qua các biện pháp bảo vệ mạng truyền thống, vốn thường tập trung vào các kênh liên lạc C2 (Command and Control) đã biết hoặc các giao thức bất thường.

Phát hiện Tấn công và Phân tích Chuyên sâu

Vai trò của Hệ thống tLab Anti-APT trong Phát hiện Tấn công

Hệ thống tLab Anti-APT đã đóng một vai trò quan trọng trong việc **phát hiện tấn công** này. Hệ thống sử dụng sự kết hợp độc đáo của phân tích heuristic, nhận dạng ký tự quang học (**OCR**) để trích xuất nội dung được hiển thị, và giám sát hành vi tự động để xác định tệp HTML độc hại mà không cần can thiệp thủ công. Điều này cho phép tạo ra phán quyết nhanh chóng chỉ trong vòng **60 giây**, làm nổi bật hiệu quả của hệ thống chống lại các **lỗ hổng zero-day** và các **mối đe dọa dai dẳng nâng cao (APT)**.

Trong quá trình phân tích, hệ thống của tLab đã tự động gắn cờ hơn **100** hoạt động độc hại, xử lý tới **10.000** mẫu hàng ngày trên một máy chủ duy nhất. Điều này minh chứng cho khả năng mở rộng và hiệu quả trong việc nhận diện các mối đe dọa phức tạp.

Phân tích Hành vi trong Sandbox và Vượt qua Phòng thủ Truyền thống

Phân tích sandbox của tLab đã chụp ảnh màn hình các thay đổi động của trang, tiết lộ các hành vi **tấn công phishing** tĩnh. Các hành vi này đã né tránh được các phần mềm chống virus truyền thống bằng cách tránh thực thi mã thực thi. Điều này cho thấy rằng việc chỉ dựa vào các phương pháp phát hiện dựa trên chữ ký là không đủ để chống lại các chiến dịch **tấn công phishing** hiện đại.

Chiến dịch này nhấn mạnh bối cảnh **mối đe dọa mạng** đang phát triển, nơi những kẻ tấn công tái sử dụng các nền tảng hợp pháp như Telegram và Firebase cho mục đích độc hại, vượt qua các biện pháp phòng thủ mạng thông thường. Việc tích hợp phân tích hành vi chuyên sâu và phát hiện token **API** là rất quan trọng để đối phó với những chiến thuật này.

Hậu quả và Chiến lược Phòng ngừa

Mối Đe Dọa Mạng Hiện Đại và Yêu Cầu Phòng Thủ Đa Lớp

Cuộc tấn công này phù hợp với chuỗi tấn công mạng (**Cyber Kill Chain**): từ trinh sát mục tiêu và vũ khí hóa các tải trọng **HTML**, thông qua việc gửi email **tấn công phishing** và khai thác sự tin tưởng, đến việc thiết lập kênh điều khiển và kiểm soát (**C2**) qua Telegram và hoàn thành mục tiêu thông qua việc chiếm đoạt tài khoản. Đây là một mô hình điển hình của các **mối đe dọa mạng** có tổ chức.

Các tổ chức, đặc biệt là trong các lĩnh vực chính phủ và cơ sở hạ tầng quan trọng, phải ưu tiên các biện pháp phòng thủ đa lớp. Điều này bao gồm đào tạo nhân viên về các chỉ số **tấn công phishing**, triển khai tường lửa ứng dụng web (**WAF**), và giám sát thời gian thực các cuộc gọi **API** bất thường.

Nâng Cao Khả Năng Đánh Giá Lỗ Hổng và Chia Sẻ Thông tin Tình Báo

Việc liên tục chia sẻ thông tin tình báo về **mối đe dọa mạng**, như đã được tLab chứng minh thông qua các liên minh với các công ty như **Trend Micro**, là rất quan trọng để ngăn chặn các cuộc tấn công tương tự. Việc truy cập và đóng góp vào các cơ sở dữ liệu như NVD (National Vulnerability Database) của NIST có thể cung cấp thông tin quý giá về các **lỗ hổng CVE** và phương pháp tấn công.

Sự cố này cũng làm nổi bật nhu cầu về các đánh giá **lỗ hổng bảo mật** chủ động để chống lại các chiến thuật **đánh cắp dữ liệu** kết hợp cả khả năng kỹ thuật và kỹ thuật xã hội. Việc hiểu rõ cách thức hoạt động của các cuộc tấn công này là bước đầu tiên để xây dựng một hệ thống phòng thủ vững chắc và hiệu quả.