Các nhà nghiên cứu tại CYFIRMA đã phát hiện một chiến dịch tấn công mới, được đặt tên là chiến dịch OneFlip, minh họa cách thức một thay đổi chỉ một bit bên trong một tập tin tưởng chừng vô hại có thể làm sai lệch quy trình bảo mật dựa trên mạng nơ-ron và mở một backdoor trên hệ thống chủ. Nhóm tin tặc Transparent Tribe (APT36) đang sử dụng kỹ thuật này để nhắm mục tiêu vào các mạng lưới của Chính phủ Ấn Độ, đặc biệt là các hệ thống chạy phân phối BOSS GNU/Linux nội địa, đồng thời duy trì một mồi nhử song song cho môi trường Windows trong các hệ thống kết hợp.

Kỹ Thuật Tấn Công APT: Khai Thác Tệp .desktop trên Linux

Điểm khởi đầu của chiến dịch OneFlip là một email lừa đảo spear-phishing, được phát hiện lần đầu vào ngày 1 tháng 8 năm 2025. Email này chứa một tệp nén ZIP có tên là Meeting_Notice_Ltr_ID1543ops.pdf_.zip. Bên trong tệp nén là một shortcut có tên Meeting_Ltr_ID1543ops.pdf.desktop.

Tệp .desktop là một loại tệp cấu hình được sử dụng trong môi trường máy tính để bàn Linux, hoạt động như một shortcut để khởi chạy ứng dụng hoặc tài liệu. Kỹ thuật này lợi dụng sự tin tưởng của người dùng và các hệ thống bảo mật dựa trên học máy vào biểu tượng, loại MIME và tên tệp, khiến chúng nhận định đây chỉ là một liên kết PDF thông thường.

Lợi Dụng Ký Tự Đơn Lẻ trong Tệp .desktop

Sự tinh vi của cuộc tấn công nằm ở dòng Exec= trong tệp .desktop. Bằng cách thay đổi chỉ một ký tự thập lục phân, những kẻ tấn công đã thay thế lệnh gọi trình xem PDF hợp pháp bằng một lệnh Bash one-liner độc hại. Thao tác này giúp bypass các hệ thống phát hiện thông thường, làm cho chiến dịch OneFlip trở nên đặc biệt nguy hiểm.

Lệnh Bash one-liner thực hiện chuỗi hành động sau:

• Sử dụng curl -s để tải về lặng lẽ một payload đã được mã hóa hex từ hxxps://securestore[.]cv/Mt_dated_29.txt.
• Chuyển tiếp (pipe) dữ liệu tải về qua xxd -r -p để xây dựng lại một tệp ELF nhị phân thô.
• Ghi tệp ELF này vào thư mục /tmp với một tên được đóng dấu thời gian (timestamped name).
• Sử dụng chmod +x để đánh dấu tệp ELF là có thể thực thi.
• Khởi chạy tệp ELF dưới nohup để đảm bảo quá trình tiếp tục chạy ngay cả khi người dùng đăng xuất.

Sau khi payload được thực thi, trình duyệt Firefox sẽ mở một tài liệu PDF vô hại trên Google Drive để hoàn tất ảo ảnh về một hoạt động bình thường, đánh lừa nạn nhân.

Cơ Chế Khai Thác và Duy Trì Quyền Truy Cập

Tệp .desktop được khai báo với Type=Application và Terminal=false, đảm bảo không có cửa sổ console nào xuất hiện, tăng cường tính ẩn danh của cuộc tấn công. Hơn nữa, thiết lập X-GNOME-Autostart-enabled=true đảm bảo shortcut này sẽ tự động kích hoạt mỗi khi người dùng đăng nhập, thiết lập một bit duy trì quyền truy cập (persistence) trong siêu dữ liệu phiên làm việc của người dùng. Đây là một điểm mấu chốt trong chiến dịch OneFlip để duy trì sự hiện diện trên hệ thống.

Phân Tích Payload ELF Độc Hại

Kiểm tra tĩnh tệp ELF thứ cấp (tên: Meeting_Ltr_ID1543ops.pdf-.elf, MD5: 5bfeeae3cc9386513dc7c301c61e67a7) cho thấy các tên phần (section names) đã bị loại bỏ (stripped), các vùng NOBITS quá khổ và một chuỗi được mã hóa cứng tới hxxp://modgovindia[.]space:4000. Chuỗi này hé lộ địa chỉ máy chủ C2 (Command and Control) của kẻ tấn công.

Phân tích khi chạy (runtime analysis) xác nhận rằng mã độc đã đăng ký một bộ đếm thời gian systemd cho mỗi người dùng, có tên là system-update.service. Mã độc cũng tự sao chép vào thư mục ~/.config/systemd/systemd-update và ghi một mục nhập cron để duy trì quyền truy cập ngay cả sau khi khởi động lại hệ thống. Điều này cho thấy sự tinh vi trong việc thiết lập persistence của chiến dịch OneFlip.

Các dấu vết socket cho thấy các truy vấn DNS không chặn thông qua 127.0.0.53 để phân giải modgovindia[.]space thành địa chỉ IP 45[.]141[.]58[.]199. Sau đó, một kênh hai chiều được mã hóa được thiết lập trên TCP/4000 để nhận lệnh và thực hiện rút trích dữ liệu.

Tác Động và Mục Tiêu của APT36

Mã độc đã được ghi nhận là đang đánh cắp danh sách thư mục (directory listings), cơ sở dữ liệu người dùng cục bộ (local user databases) và các khóa SSH. Điều này cho thấy đối thủ đang chuẩn bị cho các bước di chuyển ngang (lateral movement) rộng hơn trong mạng lưới bị xâm nhập. Đây là một dấu hiệu rõ ràng về ý định xâm nhập mạng sâu rộng của APT36.

Thách Thức cho Bảo Mật Mạng Dựa trên AI

Tên gọi “OneFlip” phản ánh khả năng của chiến dịch OneFlip trong việc đánh bại các quy trình kiểm tra tự động vốn dựa nhiều vào các bộ phân loại học sâu (deep-learning classifiers). Bằng cách nhúng logic độc hại vào chuỗi Exec không có cấu trúc và chỉ thay đổi một byte duy nhất so với một mẫu hợp pháp, shortcut này vẫn giữ được một “vector đặc trưng” (feature vector) gần như giống hệt. Mạng nơ-ron tiếp tục đánh giá nó là lành tính, trong khi người vận hành chỉ thấy một biểu tượng PDF.

Điều này nhấn mạnh một điểm yếu rộng hơn trong khả năng lọc được hỗ trợ bởi AI: các mô hình không được huấn luyện lại trên các artifact mối đe dọa dành riêng cho Linux sẽ “mù” trước các nhiễu loạn nhỏ, ở cấp độ cú pháp. Điều này đặt ra một thách thức lớn cho an ninh mạng hiện đại, đòi hỏi sự cải tiến liên tục trong việc huấn luyện các mô hình AI.

Theo đánh giá của CYFIRMA tại đây, APT36 sẽ tiếp tục làm phong phú backdoor của mình cho đến khi các mô hình dựa trên host học cách phát hiện những thay đổi tối thiểu này. Cho đến lúc đó, nhóm vẫn duy trì một chỗ đứng bí mật, đa nền tảng bên trong cơ sở hạ tầng quan trọng của Chính phủ Ấn Độ thông qua chiến dịch OneFlip.

Chỉ Số Thỏa Hiệp (IoC)

Các chỉ số thỏa hiệp (Indicators of Compromise – IoC) liên quan đến chiến dịch OneFlip bao gồm:

• MD5 của ELF độc hại:5bfeeae3cc9386513dc7c301c61e67a7
• Miền C2:modgovindia[.]space
• Địa chỉ IP C2:45[.]141[.]58[.]199
• URL tải payload ban đầu:hxxps://securestore[.]cv/Mt_dated_29.txt
• Tệp nén lừa đảo:Meeting_Notice_Ltr_ID1543ops.pdf_.zip
• Tên shortcut độc hại:Meeting_Ltr_ID1543ops.pdf.desktop
• Tên tệp ELF thứ cấp:Meeting_Ltr_ID1543ops.pdf-.elf
• Dịch vụ persistence:system-update.service
• Đường dẫn persistence:~/.config/systemd/systemd-update

Biện Pháp Phòng Ngừa và Tăng Cường Bảo Mật Linux

Để bảo vệ các hệ thống BOSS GNU/Linux và các môi trường Linux tương tự khỏi các kỹ thuật tấn công APT như chiến dịch OneFlip, các tổ chức cần triển khai các biện pháp sau:

Các nhà bảo vệ nên tăng cường bảo mật các máy chủ BOSS bằng cách:

• Gắn kết thư mục /tmp với tùy chọn noexec: Điều này ngăn chặn việc thực thi các tệp nhị sinned nhị phân từ thư mục /tmp, nơi kẻ tấn công thường thả payload.

  # Thêm dòng sau vào /etc/fstab
  tmpfs /tmp tmpfs rw,nosuid,nodev,noexec,relatime 0 0
  # Hoặc thiết lập với systemd
  sudo systemctl edit tmp.mount
  # Thêm vào:
  [Mount]
  Options=mode=1777,strictatime,noexec,nodev,nosuid
  # Sau đó:
  sudo systemctl daemon-reload
  sudo systemctl enable --now tmp.mount

• Chặn truy cập ra bên ngoài tới các tên miền mới đăng ký: Triển khai các quy tắc tường lửa (firewall rules) và hệ thống lọc DNS để ngăn chặn kết nối tới các miền C2 mới hoặc không xác định.
• Triển khai EDR kiểm tra tệp .desktop: Sử dụng giải pháp Phát hiện và Phản hồi Điểm cuối (EDR) có khả năng kiểm tra sâu các tệp .desktop để phát hiện các chỉ thị shell ghép nối (compound shell directives) hoặc các lệnh Bash one-liner độc hại.
• Cô lập shortcut Linux trong máy ảo sandbox: Hệ thống thư điện tử phải có khả năng mở các shortcut Linux trong các máy ảo sandbox để phân tích hành vi, vì các kỹ thuật đa hình (polymorphism) không dấu hiệu, thay đổi một bit giờ đây đã được chứng minh là một kỹ thuật bypass hiệu quả.
• Mở rộng tập dữ liệu huấn luyện cho ML: Các nhóm bảo mật đang sử dụng các ngăn xếp phát hiện dựa trên học máy nên mở rộng tập dữ liệu huấn luyện để bao gồm các artifact giao diện người dùng Linux và kiểm tra tính mạnh mẽ của mô hình chống lại các mẫu nối lệnh (command-concatenation patterns) để nâng cao khả năng phát hiện tấn công.

Việc áp dụng các biện pháp này sẽ giúp tăng cường bảo mật Linux và giảm thiểu rủi ro từ các cuộc tấn công mạng tinh vi như chiến dịch OneFlip.