Ảnh minh họa. The Hacker News

Theo báo cáo mới công bố của Acronis Threat Research Unit (TRU), đơn vị nghiên cứu an ninh mạng chuyên sâu của công ty an ninh mạng toàn cầu Acronis  nhóm tin tặc APT SideWinder đang triển khai một chiến dịch tấn công có chủ đích nhằm vào các cơ quan chính phủ cấp cao tại Nam Á, tập trung vào Sri Lanka, Bangladesh và Pakistan.

Chiến dịch này sử dụng kỹ thuật spear phishing (lừa đảo có chủ đích) kết hợp với cài mã độc (payload) giới hạn theo vị trí địa lý (geofencing) nhằm đảm bảo mã độc chỉ phát tán tới đúng quốc gia mục tiêu.

Khai thác lỗ hổng Office cũ, tấn công có chủ đích

SideWinder phát tán tệp Word và RTF độc hại, khai thác hai lỗ hổng đã tồn tại nhiều năm của phần mềm Office là CVE-2017-0199 và CVE-2017-11882. Khi người dùng mở tài liệu được thiết kế riêng, mã độc được kích hoạt, cài đặt và thực thi đánh cắp dữ liệu từ xa.

Đáng chú ý, những các lỗ hổng này đã được vá từ lâu, những hiện nay vẫn bị tin tặc khai thác do nhiều cơ quan chính phủ và quốc phòng vẫn sử dụng phần mềm Office lỗi thời chưa nâng cấp, đặc biệt tại các quốc gia đang phát triển.

Nhóm tin tặc sử dụng các tài liệu mồi nhử được chuẩn bị kỹ lưỡng, điển hình như ấn phẩm giả mạo mang tên “Hướng dẫn Biểu thuế Nhập khẩu Quốc gia của Hải quan Sri Lanka năm 2025” (Sri Lanka Customs National Imports Tariff Guide 2025). Nội dung được thiết kế sát với lĩnh vực quản lý nhà nước, khiến nạn nhân tin tưởng mở tập tin.

Theo Acronis, mỗi email và tài liệu đều được cá nhân hóa cao độ, cho thấy mức độ trưởng thành trong hoạt động spear phishing và mục tiêu duy trì quyền truy cập lâu dài vào hạ tầng chính phủ trọng yếu.

Kỹ thuật tránh phát hiện tinh vi, tấn công các mục tiêu trọng yếu

SideWinder áp dụng nhiều kỹ thuật né tránh như hiển thị nội dung tùy chỉnh dựa trên vị trí và môi trường hoạt động của mục tiêu. Nếu các tiêu chí không được đáp ứng, máy chủ sẽ phản hồi bằng lỗi hoặc tệp giả mạo để che giấu cuộc tấn công.

Nhóm tin tặc cũng liên tục tinh chỉnh chuỗi lây nhiễm, chuyển từ việc sử dụng mshta.exe (công cụ hợp pháp của Windows dùng để thực thi mã HTML Application) sang loader dựa trên shellcode (đoạn mã máy chạy trực tiếp trong bộ nhớ), trong khi vẫn giữ nguyên mô hình hoạt động cốt lõi.

Chiến dịch đã ghi nhận các mục tiêu cụ thể như Ngân hàng Trung ương Sri Lanka và Sư đoàn 55 của Lục quân Sri Lanka. Đây đều là các cơ quan có vai trò chiến lược, cho thấy SideWinder không tấn công tràn lan mà chọn lọc kỹ các mục tiêu có giá trị cao.

Acronis cho biết SideWinder thường xuyên đăng ký tên miền mới và chuyển hướng hạ tầng điều khiển (C2). Các đợt gia tăng hoạt động hạ tầng cho thấy nhịp độ tấn công theo chiến dịch, phản ánh mức độ tổ chức bài bản của nhóm.

Payload cuối cùng trong chuỗi tấn công là StealerBot, mã độc chuyên thu thập thông tin xác thực và dữ liệu nhạy cảm. Mã độc này sử dụng kỹ thuật DLL sideloading (lợi dụng phương thức Windows nạp các tệp thực thi hợp pháp) để nạp thành phần độc hại liền mạch.

Ngoài ra, phần mềm độc hại còn sử dụng các kỹ thuật che giấu tinh vi như làm rối mã, gây khó khăn cho các phần mềm chống virus phân tích tĩnh và phát hiện.

Khuyến nghị của các chuyên gia Acronis

Theo Acronis Threat Research Unit, để giảm thiểu rủi ro từ các chiến dịch tấn công như của SideWinder, các tổ chức cần hạn chế tối đa khả năng thực thi mã độc thông qua tài liệu Office, bằng cách vô hiệu hóa macro và chặn việc tải nội dung bên ngoài.

Đồng thời các cơ quan, người dùng cần giám sát những tiến trình bất thường do ứng dụng Office khởi tạo, giúp phát hiện sớm dấu hiệu xâm nhập. Các chuyên gia cũng khuyến nghị triển khai các giải pháp EDR/XDR (hệ thống phát hiện và phản ứng mối đe dọa dựa trên hành vi, giám sát từ máy trạm tới toàn bộ hạ tầng CNTT) nhằm kịp thời nhận diện và ngăn chặn các hoạt động bất thường.

Cuối cùng, nâng cao nhận thức an ninh mạng cho người dùng, đặc biệt về các chiêu thức spear phishing nhắm mục tiêu cụ thể, đây là lớp phòng vệ quan trọng nhằm giảm thiểu rủi ro từ yếu tố con người.

Theo các chuyên gia, việc SideWinder tiếp tục khai thác các lỗ hổng từ năm 2017 cho thấy mối nguy từ phần mềm lỗi thời vẫn hiện hữu, đặc biệt trong khu vực công. Sự kết hợp giữa khai thác lỗ hổng cũ, kỹ thuật né tránh tinh vi và nhắm mục tiêu chính xác đang giúp SideWinder duy trì mối đe dọa nghiêm trọng đối với các cơ quan nhà nước tại Nam Á.

An Lâm (Theo Maritime Fair Trade)