Một chiến dịch spear-phishing tinh vi đã khai thác hộp thư bị xâm nhập của Bộ Ngoại giao Oman, trở thành một mối đe dọa mạng đáng kể nhắm vào các chính phủ và cơ quan ngoại giao trên toàn thế giới. Chiến dịch này được cho là do nhóm Homeland Justice, một nhóm liên kết với Iran và Bộ Tình báo và An ninh (MOIS) của nước này, thực hiện.

Khai Thác Hộp Thư và Phương Pháp Lừa Đảo

Kẻ tấn công đã tận dụng hộp thư MFA của Oman bị chiếm đoạt để triển khai một chiến dịch spear-phishing. Các tệp đính kèm Microsoft Word độc hại được ngụy trang thành các mẫu đăng ký chính thức, lừa người nhận mở và kích hoạt macro.

Các email mồi nhử liên tục viện dẫn các bản cập nhật Xác thực Đa yếu tố (MFA) khẩn cấp, tạo cảm giác về quyền hạn cấp cao và lợi dụng sự quen thuộc của người dùng với việc bật macro. Đây là những đặc điểm nổi bật của một chiến dịch spear-phishing được dàn dựng công phu nhằm mục đích gián điệp.

Mỗi tài liệu chứa các chuỗi số được mã hóa nhúng trong một macro VBA. Khi tài liệu được mở và người dùng nhấp vào “Enable Content”, macro sẽ giải mã các số này—đọc ba chữ số một lúc và chuyển đổi chúng thành ký tự ASCII—để tái tạo payload mã độc.

Cơ Chế Dropper và Mã Độc sysProcUpdate

Sau khi giải mã, dropper sẽ ghi tệp thực thi được tái tạo vào một tệp có tên ManagerProc.log trong thư mục tài liệu công cộng. Tệp này sau đó được thực thi một cách vô hình thông qua Windows Shell.

Các bước này là một phần thiết yếu trong chuỗi lây nhiễm của chiến dịch spear-phishing này. Mã độc—được đặt tên là sysProcUpdate—có chức năng thu thập siêu dữ liệu máy chủ, bao gồm tên người dùng, tên máy tính và cấp độ đặc quyền. Dữ liệu này được mã hóa và gửi qua HTTPS đến máy chủ Command-and-Control (C2) tại screenai.online.

Mặc dù các thử nghiệm trong môi trường sandbox không thể kết nối đến máy chủ C2 (GetLastError 0x2ee7), các nạn nhân trong thực tế có khả năng đã truyền tải dữ liệu dấu chân nhạy cảm.

Homeland Justice và Chiến Thuật Gián Điệp

Phân tích pháp y đã liên kết các chiến thuật, kỹ thuật và quy trình (TTPs) của chiến dịch spear-phishing này với các hoạt động trước đây của nhóm Homeland Justice, một nhóm APT được biết đến với liên kết với chính phủ Iran. Điều này cho thấy một nỗ lực gián điệp khu vực phối hợp, nhắm vào các thực thể ngoại giao và chính phủ trong bối cảnh căng thẳng gia tăng ở Trung Đông. Để tìm hiểu thêm về các hoạt động của các nhóm APT do Iran tài trợ, bạn có thể tham khảo các báo cáo từ các tổ chức uy tín như CISA.

Giai đoạn ban đầu của chiến dịch spear-phishing đã nhắm mục tiêu vào Đại sứ quán Oman tại Paris. Kẻ tấn công đã soạn thảo các email đề cập đến các chủ đề an ninh khu vực, ví dụ như “The Future of the region after the Iran-Israel war and the role of Arab countries in the Middle East”, đồng thời hướng dẫn người nhận bật các macro nhúng.

Dữ liệu từ 270 email spear-phishing cho thấy kẻ tấn công đã sử dụng 104 địa chỉ bị xâm nhập độc đáo để ngụy trang nguồn gốc tin nhắn của chúng. Quy mô này chứng tỏ một hoạt động đa làn sóng, tiếp cận các đại sứ quán, lãnh sự quán và các tổ chức quốc tế trong thời điểm đàm phán ngừng bắn nhạy cảm giữa một số quốc gia và Hamas.

Một nút thoát NordVPN ở Jordan (IP 212.32.83.11) đã được sử dụng để che giấu nguồn gốc thực sự của các email độc hại. Đây là một chi tiết quan trọng trong việc truy vết và phát hiện tấn công.

Các Chỉ Số Thỏa Hiệp (IOCs) Cần Lưu Ý

Để tăng cường khả năng an ninh mạng và phát hiện tấn công, các tổ chức nên chủ động giám sát các chỉ số thỏa hiệp sau:

• Tên tệp dropper:ManagerProc.log
• Tên mã độc:sysProcUpdate
• Địa chỉ IP nguồn (NordVPN exit node):212.32.83.11
• Tên miền Command-and-Control (C2):screenai.online

Các hệ thống an ninh cần được cấu hình để cảnh báo về bất kỳ hoạt động nào liên quan đến các chỉ số này. Việc cập nhật các bộ lọc email và hệ thống phát hiện xâm nhập (IDS) là cần thiết để bảo vệ chống lại các mối đe dọa tương tự.

Biện Pháp Phòng Ngừa và Tăng Cường An Ninh Mạng

Đối phó với các chiến dịch spear-phishing tinh vi đòi hỏi một chiến lược bảo mật đa lớp. Các chính phủ và cơ quan ngoại giao có thể áp dụng các biện pháp sau để cải thiện khả năng phát hiện và giảm thiểu các mối đe dọa do các nhóm APT tài trợ:

• Đào tạo nhận thức về bảo mật: Huấn luyện người dùng về cách nhận biết email lừa đảo, đặc biệt là các yêu cầu liên quan đến MFA hoặc thông tin nhạy cảm.
• Triển khai MFA mạnh mẽ: Đảm bảo MFA được triển khai cho tất cả các tài khoản quan trọng và có cơ chế bảo vệ chống lại các phương pháp vượt qua MFA.
• Kiểm soát thực thi macro: Thiết lập chính sách nhóm để vô hiệu hóa macro hoặc chỉ cho phép macro từ các nguồn đáng tin cậy.
• Giám sát mạng và điểm cuối: Sử dụng các giải pháp phát hiện xâm nhập (IDS) và hệ thống bảo mật điểm cuối (EDR) để theo dõi các hoạt động bất thường, đặc biệt là các kết nối đến các miền C2 đã biết.
• Cập nhật bản vá bảo mật: Đảm bảo tất cả hệ thống và phần mềm được cập nhật liên tục với các bản vá bảo mật mới nhất để khắc phục các lỗ hổng đã biết mà kẻ tấn công có thể khai thác.

Việc theo dõi chặt chẽ các mối đe dọa mạng và các chiến dịch spear-phishing từ các nhóm APT như Homeland Justice là rất quan trọng để chủ động bảo vệ cơ sở hạ tầng thông tin.