Chiến dịch Operation TaxShadow phát tán mã độc vô hình qua email giả mạo thuế
- Evelyn Carter
- 4 ngày trước
- 4 phút đọc
Các hình thức tấn công mạng đang trở nên ngày một tinh vi hơn khi kẻ gian liên tục cải tiến phương thức ẩn mình. Một chiến dịch mới mang tên Operation TaxShadow vừa bị phát hiện, sử dụng các email giả mạo cơ quan thuế để lừa người dùng hệ điều hành Windows tải về các phần mềm độc hại nguy hiểm. Đáng chú ý, các mã độc này hoạt động hoàn toàn trên bộ nhớ hệ thống, giúp hạn chế tối đa dấu vết và khiến việc phát hiện trở nên vô cùng khó khăn.
Thủ đoạn lừa đảo qua email giả mạo cơ quan thuế của chiến dịch này diễn ra như thế nào?
Kẻ tấn công gửi các email lấy danh nghĩa cơ quan thuế của chính phủ Ấn Độ nhằm tạo tâm lý hoảng loạn cho nạn nhân về các khoản phạt tài chính và áp đặt thời hạn xử lý gấp gáp. Để tăng độ tin cậy, chúng sao chép chính xác ngôn ngữ và logo của cơ quan chức năng.
Các email lừa đảo này vượt qua thành công các hàng rào kiểm tra xác thực nghiêm ngặt như SPF, DKIM và DMARC do được gửi thông qua một dịch vụ phân phối thư điện tử của bên thứ ba hợp pháp. Khi nạn nhân bấm vào liên kết trong thư, họ sẽ dẫn đến một website giả mạo giao diện chính phủ hỗ trợ song ngữ Anh và Hindi. Tại đây, người dùng được yêu cầu tải xuống một tệp nén định dạng ZIP chứa trọn bộ mã độc phá hoại.
Mã độc vô hình đã xâm nhập và chạy ngầm trong hệ thống máy tính bằng cách nào?
Tệp ZIP độc hại sau khi tải về sẽ kích hoạt chuỗi ba thành phần hoạt động tuần tự để chiếm quyền điều khiển. Đầu tiên, trình khởi chạy (launcher) sẽ kiểm tra phiên bản Windows và cài đặt các hook (lệnh chặn) vào chức năng cốt lõi của hệ thống.
Tiếp theo, thành phần tải (loader) mang tên SbieDll.dll áp dụng kỹ thuật chiếm quyền thứ tự tìm kiếm thư viện (DLL Search Order Hijacking) tận dụng cơ chế hệ điều hành Windows luôn tìm tệp trong thư mục ứng dụng trước thư mục hệ thống để ép máy tính nạp tệp DLL độc hại.
Cuối cùng, tệp payload chính (SbieDll.bin) được giải mã bằng biến thể thuật toán RC4 và đưa thẳng vào bộ nhớ RAM thông qua kỹ thuật tải phản chiếu (Reflective PE Loading).
Tại sao các công cụ bảo mật truyền thống lại khó phát hiện mối đe dọa này?
Do phần lõi SbieDll.bin chạy hoàn toàn trên bộ nhớ RAM và không hề ghi dữ liệu xuống đĩa, các phần mềm diệt virus thông thường gần như bị vô hiệu hóa. Để liên lạc với máy chủ điều khiển (C2), mã độc sử dụng kết nối WebSocket - một giao thức phổ biến của các ứng dụng web hợp pháp để biến lưu lượng độc hại thành lưu lượng mạng bình thường nhằm qua mặt hệ thống giám sát.
Phạm vi ảnh hưởng của chiến dịch này được ghi nhận ra sao và giải pháp khắc phục là gì?
Theo các kết quả nghiên cứu chuyên sâu, chiến dịch này đã mở rộng phạm vi ra quy mô quốc tế. Hệ thống hạ tầng tấn công giả mạo cơ quan thuế Ấn Độ cũng được phát hiện đang lưu trữ các cổng thông tin thuế giả mạo nhắm vào chính phủ Nhật Bản.
Các đội ngũ kỹ thuật hệ thống được khuyến nghị triển khai nghiêm ngặt các quy tắc YARA và Sigma nhằm nhận diện hành vi chiếm quyền DLL, kỹ thuật tải phản chiếu, các mẫu kết nối WebSocket C2 và kích hoạt tính năng giám sát bộ nhớ liên tục.
Giải pháp bảo mật an toàn từ IPSIP Việt Nam
Để chủ động đối phó với các nguy cơ rò rỉ dữ liệu và tấn công mạo danh thương hiệu tinh vi, các doanh nghiệp cần một lá chắn bảo mật kiên cố.
Hệ thống quản trị và giám sát của IPSIP Việt Nam đã xuất sắc vượt qua các kiểm định khắt khe nhất để đạt chứng nhận tiêu chuẩn an toàn thông tin quốc tế ISO 27001:2022 và SOC 2 Type II. Bằng việc cung cấp các dịch vụ cốt lõi hoạt động không ngừng nghỉ 24/7 như Trung tâm Giám sát An ninh mạng (SOC), Trung tâm Điều hành Mạng lưới (NOC) và đội ngũ IT Support/Helpdesk trực chiến, IPSIP cam kết trực tiếp phản ứng, đánh chặn mọi nỗ lực xâm nhập bất kể ngày đêm. Sự đồng hành của những bộ óc kỹ thuật hàng đầu sẽ giúp doanh nghiệp tháo gỡ hoàn toàn rủi ro pháp lý và giải phóng nguồn lực cho các mục tiêu tăng trưởng.
Nguồn tham khảo
Báo cáo phân tích an ninh mạng từ Cyfirma: https://www.cyfirma.com/research/operation-taxshadow-multi-region-tax-phishing-in-memory-malware-campaign/
Bình luận