Hacker đã biến website chính phủ thành công cụ phát tán mã độc như thế nào?
- Thảo Nguyên

- 3 giờ trước
- 6 phút đọc
Tin cậy vào các tên miền chính thống của chính phủ hay các email đã qua kiểm duyệt vốn là thói quen của nhiều người dùng mạng. Tuy nhiên, các tin tặc đứng sau chiến dịch nguy hiểm mang tên PhantomEnigma đang biến chính sự tin tưởng này thành một công cụ tấn công tinh vi.
Mới đây, ANY.RUN - nhà cung cấp các giải pháp phân tích mã độc và tình báo mối đe dọa – đã phát hiện hơn 20 trang web thuộc chính phủ Brazil bị chiếm quyền điều khiển. Thay vì là mục tiêu cuối cùng, các hệ thống này lại bị biến thành các kênh trung gian để phát tán mã độc, đặt hàng loạt ngân hàng và cơ quan công quyền vào tình thế báo động.
Lợi dụng lòng tin từ các hạ tầng chính thống
Chiến dịch PhantomEnigma bắt đầu bằng việc gửi đi các tài liệu giả mạo lấy chủ đề về cảnh sát, chẳng hạn như thông báo chính thức "Ofício Polícia Civil" hoặc "Procuração Digital". Để tăng tính thuyết phục, một số tài liệu được đính kèm mã QR hoặc chứa các liên kết dẫn đến những trang web trông rất giống nguồn tài nguyên chính thống.

Điều nguy hiểm là các email lừa đảo này được gửi đi từ chính các hộp thư điện tử của chính phủ đã bị xâm nhập từ trước. Nhờ vậy, chúng dễ dàng vượt qua các hàng rào kiểm tra an ninh tiêu chuẩn như SPF, DKIM và DMARC (các phương thức xác thực email để chống giả mạo). Điều này khiến người nhận hầu như không chút nghi ngờ.
Khi người dùng nhấn vào liên kết, họ sẽ bị chuyển hướng qua các máy chủ .gov.br bị chiếm quyền hoặc các tên miền giả mạo chủ đề cảnh sát trước khi tải về bộ cài đặt độc hại. Một số hệ thống lớn được ghi nhận đã bị lạm dụng trong chuỗi tấn công này bao gồm:
timon.ma.gov[.]br
loginam.sesp.es.gov[.]br (thuộc cơ quan an ninh công cộng của bang)
aplicacao.cbm.mt.gov[.]br (thuộc cục phòng cháy chữa cháy)
prodoc.ap.gov[.]br cùng nhiều cổng thông tin cấp thành phố, tư pháp khác.
Các bước tiến hóa đáng ngại của PhantomEnigma
Bằng cách liên kết hàng trăm phiên sandbox (môi trường ảo cô lập dùng để thử nghiệm và phân tích mã độc một cách an toàn), các nhà nghiên cứu đã vạch trần hai sự thay đổi lớn trong cách thức hoạt động của PhantomEnigma:
Về cách thức phát tán: Chiến dịch đã dịch chuyển từ việc tập trung tấn công trực diện vào ngành ngân hàng trong năm 2025 sang việc lạm dụng các tài khoản email và trang web chính phủ có đuôi .gov.br vào năm 2026. Thay đổi này giúp kẻ tấn công tiếp cận nạn nhân một cách dễ dàng và đáng tin cậy hơn.
Về kho vũ khí độc hại: Kẻ tấn công không còn dùng tiện ích mở rộng trình duyệt chuyên đánh cắp thông tin ngân hàng như trước. Thay vào đó, chúng nâng cấp lên một backdoor (cửa sau - công cụ giúp tin tặc truy cập trái phép từ xa) dạng mô-đun được xây dựng trên nền tảng Inno/Node.js, có khả năng tự thực thi mã JavaScript và tải thêm các phần mềm độc hại khác.

Sự kết hợp này tạo ra một "điểm mù" lớn cho các hệ thống giám sát an ninh. Khi hạ tầng đáng tin cậy làm giảm sự nghi ngờ, các danh sách chặn tĩnh (static blocklists) sẽ trở nên vô dụng do tin tặc liên tục thay đổi máy chủ điều khiển.
Chi tiết chuỗi lây nhiễm đa giai đoạn
Chuỗi lây nhiễm của PhantomEnigma diễn ra chặt chẽ qua các bước sau:
Email lừa đảo: Tiếp cận nạn nhân bằng các mồi nhử tài liệu giả mạo cảnh sát.
Hạ tầng tin cậy: Điều hướng người dùng qua các máy chủ chính phủ bị chiếm quyền hoặc tên miền giả mạo.
Trình cài đặt độc hại: Kích hoạt bộ cài đặt mã độc (dạng Inno Setup, MSI hoặc các định dạng khác).
Ứng dụng Electron bị chỉnh sửa: Một phần mềm hợp pháp trên máy bị sửa đổi để tải tệp cửa sau độc hại index.js.
Kích hoạt cửa sau: Mã độc thu thập thông tin hệ thống, thiết lập cơ chế chạy ngầm cố định và kết nối tới máy chủ điều khiển C2.
Phát tán giai đoạn hai: Cửa sau bắt đầu chạy lệnh JavaScript hoặc tải xuống các phần mềm đánh cắp dữ liệu, trình tải, hoặc công cụ quản lý từ xa.
Tác động tiêu cực: Gây lộ lọt thông tin xác thực, truy cập trái phép, gian lận tài chính, rò rỉ dữ liệu và làm ngưng trệ hoạt động của tổ chức.
Khả năng hoạt động của cửa sau dạng mô-đun
Khi phân tích sâu vào các ứng dụng bị chỉnh sửa (như ứng dụng ghi chú Boostnote), các chuyên gia nhận thấy mã độc index.js này sở hữu những khả năng rất đáng lo ngại. Sau khi được kích hoạt, nó có thể thực hiện các tác vụ sau:
Thu thập toàn bộ tên máy tính, tên người dùng và các thông số chi tiết của hệ thống nạn nhân.
Tạo ra một ID định danh cố định cho máy bị nhiễm và đọc thẻ chiến dịch đi kèm trình cài đặt.
Tự động thiết lập quyền duy trì sự hiện diện lâu dài thông qua các cài đặt đăng nhập của máy.
Cứ sau mỗi 180 giây, mã độc lại tự động kiểm tra xem có lệnh mới nào từ tin tặc gửi xuống hay không.
Chạy trực tiếp mã JavaScript thông qua hàm eval().
Tải xuống và khởi chạy các tệp thực thi độc hại khác theo yêu cầu.
Giao tiếp linh hoạt thông qua nhiều định dạng tín hiệu khác nhau trên toàn bộ hệ thống máy chủ điều khiển được luân phiên thay đổi.
Thiết kế dạng mô-đun linh hoạt này cho phép kẻ vận hành thoải mái thay đổi loại mã độc cuối cùng (phần mềm đánh cắp dữ liệu, công cụ điều khiển từ xa...) tùy theo mục tiêu mà không cần phải xây dựng lại toàn bộ chuỗi tấn công từ đầu.
Giải pháp ứng phó cho các tổ chức tài chính và cơ quan công quyền
Sự nguy hiểm của PhantomEnigma là khả năng ngụy trang hoàn hảo dưới lớp vỏ bọc tên miền và email chính phủ, dễ dàng qua mặt các rào cản an ninh truyền thống. Một khi bị xâm nhập và cắm "cửa sau", các ngân hàng và cơ quan công quyền sẽ đối mặt với rủi ro bị thao túng toàn bộ hệ thống mạng nội bộ, rò rỉ dữ liệu mật và đình trệ giao dịch.
Để chuyển từ bị động sang chủ động, các tổ chức không thể chỉ dựa vào các hệ thống cảnh báo rời rạc mà cần một chiến lược phòng thủ nhiều lớp. Thay vì tự xây dựng tốn kém nguồn lực, các doanh nghiệp và tổ chức có thể ứng phó toàn diện với mã độc này thông qua hệ sinh thái giải pháp an ninh mạng từ IPSIP Việt Nam:
SOC 24/7 & XDR (Giám sát và săn lùng mối đe dọa): Hoạt động liên tục 24/7 để phân tích hành vi, phát hiện điểm bất thường và tự động chặn đứng mã độc ngay khi chúng vừa cố gắng vượt qua lớp phòng thủ ban đầu.
PAM / Bastion (Quản lý truy cập đặc quyền): Thiết lập kiểm soát ranh giới nghiêm ngặt. Ngay cả khi tin tặc lấy được tài khoản nhân viên, chúng cũng không thể leo thang đặc quyền để đánh cắp dữ liệu lõi.
Đào tạo An ninh mạng: Nâng cao nhận thức cho nhân sự, biến mỗi nhân viên thành một "lá chắn" nhạy bén trước các email lừa đảo mạo danh chính phủ.

Chủ động phát hiện sớm mồi nhử là chìa khóa then chốt để chặn đứng PhantomEnigma và các chiến dịch tấn công tinh vi tương tự. Khám phá chi tiết các giải pháp bảo vệ tối ưu cho tổ chức tại IPSIP Việt Nam.











Bình luận