Microsoft cảnh báo chiến dịch phishing nhắm vào khách sạn bằng mã độc Node.js implant
- Evelyn Carter

- 29 thg 6
- 4 phút đọc
Từ tháng 4 năm 2026, một chiến dịch phishing tấn công khách sạn tại châu Á và châu Âu đã bị phát hiện. Kẻ tấn công lợi dụng hệ thống Calendly và Google để phát tán tệp ZIP chứa mã độc TonRAT qua bộ chạy Node.js v24.13.0 hợp pháp, rồi truyền dữ liệu qua các cổng mạng lạ từ 8443 đến 56003.
Microsoft vừa đưa ra cảnh báo khẩn cấp về một chiến dịch phishing tấn công khách sạn và ngành dịch vụ lưu trú quy mô lớn đang diễn ra tại khu vực châu Âu và châu Á. Tội phạm mạng đang áp dụng các kỹ thuật tinh vi vượt qua bộ lọc bảo mật để xâm nhập vào máy tính tại quầy lễ tân.
Vì sao email có thể vượt qua các lớp xác thực?
Một điểm đáng chú ý là kẻ tấn công tận dụng hệ thống thông báo email của Calendly cùng dịch vụ chuyển hướng URL của Google để phát tán liên kết.
Microsoft gọi kỹ thuật này là authentication laundering. Do email thực sự được gửi từ hạ tầng hợp lệ của Calendly nên vẫn vượt qua các cơ chế xác thực SPF, DKIM và DMARC. Tuy nhiên, các cơ chế này chỉ xác minh máy chủ gửi có hợp lệ hay không, chứ không đánh giá mục đích hay nội dung của email.
Sau khi người dùng nhấp vào liên kết trong email, họ sẽ lần lượt được chuyển qua Calendly, dịch vụ chia sẻ của Google, một liên kết chuyển hướng khác của Google và cuối cùng đến tên miền .cfd mới đăng ký được bảo vệ bởi Cloudflare. Trang đích còn sử dụng thử thách Turnstile để hạn chế việc phân tích tự động.

Mã độc TonRAT hoạt động như thế nào sau khi xâm nhập?
Microsoft theo dõi implant này dưới tên TonRAT. Sau khi được kích hoạt, TonRAT sử dụng API của blockchain TON để phân giải tên miền máy chủ điều khiển (C2), sau đó thiết lập kết nối WebSocket được mã hóa. Việc lấy tên miền động theo cách này khiến các danh sách chặn tĩnh trở nên kém hiệu quả hơn.
Đến thời điểm công bố, Microsoft chưa xác nhận có hoạt động đánh cắp dữ liệu, triển khai ransomware hoặc công bố danh tính nạn nhân.
Cần kiểm tra những gì khi xử lý sự cố phishing?
Microsoft cho biết việc loại bỏ mã độc cần xử lý đầy đủ cả hai cơ chế duy trì quyền truy cập. Quản trị viên cần xóa khóa RunOnce trỏ tới thư mục ProgramData, đồng thời loại bỏ khóa Run của Node.js cùng các tệp runtime và tệp JavaScript nằm trong AppData\Local\Nodejs.
Nếu chỉ xóa một trong hai thành phần, implant vẫn có thể tiếp tục tồn tại trên hệ thống. Các máy tính thuộc bộ phận lễ tân, đặt phòng và văn phòng tiếp nhận khách nên được ưu tiên kiểm tra.

Những hành vi đáng ngờ nào được phát hiện sau khi hệ thống bị nhiễm?
Sau khi xâm nhập thành công, mã độc TonRAT liên tục gửi tín hiệu đến các địa chỉ IP cố định thông qua các cổng mạng không tiêu chuẩn như 8443, 8445, 8453, 5555 và từ 56001 đến 56003. Các chuyên gia bảo mật tại SOC Prime và ITOCHU ghi nhận một số máy tính bị nhiễm còn tự động chạy trình duyệt ẩn, kiểm tra vị trí địa lý của máy và bị ép buộc tắt nguồn từ xa.
Cho đến nay, các báo cáo vẫn chưa xác định được mục đích cuối cùng của nhóm tin tặc cũng như chưa phát hiện hành vi tống tiền bằng mã độc mã hóa hay lấy cắp dữ liệu.
Làm thế nào để khắc phục hoàn toàn sự cố từ chiến dịch này?
Để xử lý triệt để lỗ hổng này, các quản trị viên hệ thống bắt buộc phải xóa bỏ cả hai đường dẫn tự khởi động của mã độc bao gồm mục RunOnce trong thư mục ProgramData và khóa Run của Node.js.
Các hệ thống máy tính dùng cho việc tiếp tân, quản lý đặt phòng và văn phòng đại diện là những nơi cần được ưu tiên rà soát kỹ lưỡng vì nếu chỉ xóa một phần, mã độc vẫn có thể tự hồi sinh.
Giải pháp nào cho việc bảo vệ “lá chắn số” của doanh nghiệp?
Để bảo vệ hệ thống công nghệ thông tin và nâng cao năng lực an toàn thông tin trước các chiến dịch tấn công nhắm mục tiêu tinh vi. IPSIP Việt Nami cung cấp các giải pháp bảo mật toàn diện, giám sát an ninh mạng chuyên nghiệp và dịch vụ ứng cứu sự cố kịp thời, giúp doanh nghiệp vững tâm phát triển kinh doanh.

Hệ thống quản trị và giám sát của IPSIP Việt Nam đã xuất sắc vượt qua các kiểm định khắt khe nhất để đạt chứng nhận tiêu chuẩn an toàn thông tin quốc tế ISO 27001:2022 và SOC 2 Type II. Bằng việc cung cấp các dịch vụ cốt lõi hoạt động 24/7 như Trung tâm Giám sát An ninh mạng (SOC 24/7), Trung tâm Điều hành Mạng lưới (NOC 24/7) và đội ngũ IT Support/Helpdesk trực chiến, IPSIP cam kết trực tiếp phản ứng, đánh chặn mọi nỗ lực xâm nhập bất kể ngày đêm.
Nguồn tham khảo









Bình luận