Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch tấn công spear-phishing tinh vi có liên kết với Iran, lợi dụng hộp thư điện tử của Bộ Ngoại giao (MFA) Oman bị xâm nhập để phân phối các tải trọng độc hại tới các cơ quan chính phủ trên toàn thế giới.

Các nhà phân tích quy kết hoạt động này cho nhóm “Homeland Justice”, được cho là có liên kết với Bộ Tình báo và An ninh (MOIS) của Iran.

Chiến Dịch Tấn Công Spear-Phishing: Từ Lây Nhiễm Đến Trinh Sát

Khai Thác Kỹ Thuật Ngoại Giao và Lây Nhiễm Ban Đầu

Chiến dịch này đã tận dụng các thông tin liên lạc ngoại giao bị đánh cắp, macro được mã hóa và các kỹ thuật né tránh đa lớp. Điều này cho thấy nỗ lực gián điệp khu vực gia tăng trong bối cảnh căng thẳng địa chính trị leo thang.

Những kẻ tấn công đã khởi động chiến dịch bằng cách chiếm đoạt một tài khoản email chính thức của MFA Oman tại Paris. Từ đó, chúng gửi đi các tin nhắn giả mạo là thông báo xác thực đa yếu tố (MFA) khẩn cấp.

Các đối tượng nhận, bao gồm đại sứ quán, lãnh sự quán và các tổ chức quốc tế, được yêu cầu “Enable Content” để xem các tài liệu Word được cho là hợp pháp.

Được nhúng trong các tệp đính kèm này là một VBA macro dropper. Macro này có khả năng tái tạo một tải trọng nhị phân từ các chuỗi số ba chữ số lưu trữ trong một điều khiển biểu mẫu ẩn.

Chuỗi Thực Thi Mã Độc

Khi tài liệu được mở, macro sẽ thực thi một chuỗi gồm bốn phần:

• Giai đoạn 1: Macro đọc các chuỗi số từ điều khiển biểu mẫu ẩn.
• Giai đoạn 2: Các chuỗi số này được giải mã thành một tệp nhị phân.
• Giai đoạn 3: Tệp nhị phân được ghi vào thư mục tạm thời.
• Giai đoạn 4: Tệp nhị phân độc hại được thực thi.

Chuỗi thực thi này minh họa hình thức phân phối dựa trên macro cổ điển. Tuy nhiên, việc sử dụng mã hóa số và độ trễ có chủ đích đã nâng cao khả năng ẩn mình của nó.

Điều này cho phép những kẻ tấn công bỏ qua các bộ lọc bảo mật email tiêu chuẩn và kiểm tra hộp cát. Để hiểu thêm về các biện pháp đối phó với mã độc dựa trên macro, có thể tham khảo khuyến nghị từ CISA.

Phạm Vi và Đối Tượng Tấn Công

Một đánh giá pháp y đã xác định 270 email spear-phishing được gửi từ 104 địa chỉ MFA Oman duy nhất. Điều này cho thấy phạm vi tiếp cận rộng lớn của chiến dịch.

Các nhật ký cơ sở hạ tầng tiết lộ việc sử dụng các nút thoát NordVPN ở Jordan để che giấu nguồn gốc thực sự của các tin nhắn. Mục tiêu trải rộng trên sáu khu vực toàn cầu:

• Châu Âu (trọng tâm chính)
• Châu Phi
• Trung Đông
• Châu Mỹ
• Châu Á
• Châu Đại Dương

Sự tham gia của các tổ chức đa phương nổi bật như Liên Hợp Quốc (UN), UNICEF và Ngân hàng Thế giới (World Bank) nhấn mạnh sự quan tâm của những kẻ tấn công đến ngoại giao chiến lược và mạng lưới nhân đạo.

Hơn nữa, thời điểm diễn ra chiến dịch trùng khớp với các cuộc đàm phán khu vực nhạy cảm. Điều này gợi ý rằng việc thu thập thông tin tình báo nhằm mục đích tác động hoặc dự đoán kết quả ngoại giao.

Mã Độc sysProcUpdate: Khả Năng và Cơ Chế Hoạt Động

Kỹ Thuật Chống Phân Tích

Tệp thực thi được thả xuống, có tên là sysProcUpdate, thể hiện sự tinh vi hơn nữa. Mã độc này sử dụng các phương pháp chống phân tích để làm phức tạp quá trình đảo ngược kỹ thuật.

Các kỹ thuật bao gồm các bộ lọc ngoại lệ không được xử lý tùy chỉnh và đóng gói section (section packing).

Thu Thập Dữ Liệu và Giao Tiếp C2

Sau khi kích hoạt, mã độc sysProcUpdate sẽ thu thập siêu dữ liệu máy chủ. Thông tin này bao gồm tên người dùng, tên máy tính và trạng thái quản trị.

Dữ liệu sau đó được mã hóa và gửi qua HTTPS POST tới một máy chủ command-and-control (C2). Một vòng lặp beaconing đảm bảo các nỗ lực kết nối liên tục ngay cả khi máy chủ không thể truy cập.

Chỉ số Nhận diện Tấn công (IOCs)

Dưới đây là chỉ số nhận diện liên quan đến chiến dịch tấn công spear-phishing này:

• Máy chủ Command and Control (C2):https://screenai.online/Home/

Duy Trì Quyền Truy Cập và Trinh Sát Nội Bộ

Để duy trì chỗ đứng trong hệ thống, sysProcUpdate tự sao chép vào C:ProgramDatasysProcUpdate.exe. Mã độc này cũng thay đổi các cài đặt đăng ký Windows dưới các tham số bộ nhớ cache DNS, có khả năng cho phép di chuyển ngang trong tương lai.

Việc những kẻ tấn công tập trung vào trinh sát cho thấy làn sóng tấn công spear-phishing ban đầu này nhằm mục đích lập bản đồ cấu trúc liên kết mạng nội bộ và xác định các hệ thống có giá trị cao cho các cuộc khai thác tiếp theo.

Biện Pháp Phòng Ngừa và Nâng Cao An Ninh Mạng

Bằng cách kết hợp lọc email mạnh mẽ, phòng thủ mạng chủ động và đào tạo người dùng nhận biết các chiêu trò macro lừa đảo, các tổ chức có thể ngăn chặn kiểu tấn công spear-phishing này.

Điều này cũng hạn chế khả năng của kẻ thù trong việc thiết lập quyền truy cập bí mật cho mục đích gián điệp hoặc phá hoại, từ đó nâng cao an ninh mạng tổng thể.