Ảnh minh họa. The Hacker News

Giả danh phóng viên, lợi dụng lòng tin của giới học giả và chuyên gia

Chiến dịch này được giới nghiên cứu theo dõi dưới tên gọi Operation Artemis, cho thấy sự “nâng cấp” đáng kể trong các thủ đoạn tấn công xã hội (social engineering) khi kẻ tấn công khai thác uy tín của các cơ quan truyền thông nhằm tạo lòng tin trước khi phát tán mã độc.

Theo phân tích, tin tặc tiếp cận nạn nhân qua email, ngụy trang thành lời mời phỏng vấn hoặc đề nghị hợp tác chuyên môn. Đối tượng tự xưng là biên tập viên hoặc tác giả của những chương trình truyền hình Hàn Quốc, đưa ra những đề tài có vẻ “nghiêm túc” như vấn đề Triều Tiên, nhân quyền, chính sách quốc tế – những lĩnh vực thường thu hút sự quan tâm của giới học giả, nhà báo và chuyên gia chính sách.

Chính việc lựa chọn chủ đề phù hợp và danh xưng đáng tin cậy khiến nhiều nạn nhân mất cảnh giác, dễ dàng mở các tệp đính kèm mà không nghi ngờ.

Tài liệu HWP bị cài mã độc, kích hoạt chuỗi lây nhiễm ngầm

Các nhà phân tích của hãng bảo mật Genians cho biết, mã độc được phát tán thông qua tệp HWP (Hangul Word Processor) – định dạng văn bản phổ biến tại Hàn Quốc. Những tệp này được ngụy trang thành bảng câu hỏi phỏng vấn hoặc tài liệu hướng dẫn sự kiện.

Khi nạn nhân mở tài liệu và nhấp vào các liên kết được nhúng sẵn, chuỗi lây nhiễm sẽ được kích hoạt âm thầm ở chế độ nền, không hiển thị dấu hiệu bất thường rõ ràng.

Lợi dụng công cụ hợp pháp của Windows để né tránh phát hiện

Về mặt kỹ thuật, chiến dịch cho thấy mức độ tinh vi cao khi sử dụng kỹ thuật DLL side-loading – phương thức cài mã độc bằng cách “đánh tráo” thư viện động (DLL).

Cụ thể, tin tặc đặt DLL độc hại (đặt tên là version.dll) cùng thư mục với các chương trình hợp pháp của Microsoft Sysinternals như vhelp.exe hoặc mhelp.exe. Khi các chương trình hợp pháp này chạy, Windows sẽ vô tình tải DLL độc hại thay vì thư viện chuẩn.

Phương pháp này né tránh các công cụ bảo mật dựa trên dấu hiệu truyền thống vì các chương trình chạy có vẻ hợp pháp đối với phần mềm chống virus tiêu chuẩn.

Mã độc tự thích nghi, nhiều lớp mã hóa để che dấu

Phân tích cho thấy DLL độc hại được mã hóa nhiều lớp bằng phép toán XOR, sử dụng các khóa như 0xFA và 0x29 để che giấu mã thực.

Đáng chú ý, mã độc có khả năng tự lựa chọn phương thức giải mã:

- Giải mã XOR từng byte thông thường, hoặc

- Giải mã tốc độ cao bằng SSE (Streaming SIMD Extensions), xử lý đồng thời 16 byte.

Cách tiếp cận linh hoạt này giúp tăng tốc độ xử lý, đồng thời né tránh các hệ thống phát hiện dựa trên mẫu (signature-based detection).

Mã độc RoKRAT và hạ tầng điều khiển đặt trên đám mây Yandex

Chuỗi tấn công kết thúc bằng việc triển khai RoKRAT, một loại mã độc chuyên đánh cắp dữ liệu. Toàn bộ quá trình gồm: kích hoạt đối tượng OLE trong tài liệu HWP, triển khai tệp thực thi và DLL độc hại vào thư mục tạm, sau đó giải mã nhiều bước trước khi chạy mã shellcode cuối cùng.

Truy vết và phân tích kỹ thuật cho thấy hạ tầng điều khiển và ra lệnh (C2) của nhóm tấn công được đặt trên dịch vụ đám mây Yandex (Nga). Các mã định danh tài khoản cho thấy chiến dịch đã hoạt động liên tục từ tháng 10/2023 đến ít nhất tháng 2/2025, phản ánh năng lực duy trì tấn công dài hạn.

Theo các chuyên gia, việc phát hiện chiến dịch này không thể chỉ dựa vào quét tệp truyền thống, mà cần các giải pháp giám sát và phân tích hành vi trên máy tính, máy chủ để phát hiện sớm các cuộc tấn công EDR (Endpoint Detection and Response).

Các nhóm bảo mật của các cơ quan và tổ chức cần đặc biệt chú ý: hiện tượng DLL được tải từ thư mục tạm, các tiến trình con bất thường xuất phát từ chương trình hợp pháp, xuất hiện kết nối ra ngoài tới hạ tầng đám mây ngay sau khi mở tài liệu.

Chiến dịch Operation Artemis cho thấy tin tặc đang phát triển kỹ thuật xã hội, thao túng tâm lý và kỹ thuật né tránh bảo mật, khai thác tối đa lòng tin và những “điểm mù” trong hệ thống phòng vệ số để phát tán và cài đặt mã độc cho các cuộc tấn công mạng.

An Lâm (Theo Cyber Security News)