Duy Linh
Writer
Các nhóm tin tặc đang liên tục thay đổi chiến thuật nhằm vượt qua các hệ thống bảo mật truyền thống. Một chiến dịch lừa đảo có chủ đích vừa bị phát hiện cho thấy hacker đã sử dụng cấu trúc thư mục lồng nhau giống macOS để che giấu mã độc, đồng thời hạn chế khả năng bị phát hiện trong quá trình quét bảo mật.
Chiến dịch bắt đầu bằng email giả mạo đính kèm tệp ZIP có tên “常州大学2026年《国家学生体质健康标准》测试通知最终版.zip”, được ngụy trang thành thông báo chính thức từ trường đại học. Nội dung email khai thác tâm lý người nhận bằng cách nhấn mạnh rằng việc không hoàn thành bài kiểm tra thể chất có thể ảnh hưởng trực tiếp tới điều kiện tốt nghiệp. Chính yếu tố này khiến sinh viên và nhân viên nhà trường dễ dàng mở tệp mà không nghi ngờ.
Đối tượng bị nhắm tới gồm các trường đại học, cơ quan giáo dục thuộc chính phủ, bộ phận thể thao, nhân viên hành chính và sinh viên phải tham gia kỳ kiểm tra thể lực bắt buộc.
Bên trong file nén chứa nhiều thành phần phục vụ cho quá trình lây nhiễm:
Sau đó, đoạn mã chromedo.vbs đảm nhiệm vai trò điều phối toàn bộ quá trình. Trong khi mở tài liệu PDF giả để đánh lạc hướng người dùng, nó đồng thời âm thầm kích hoạt mã độc. Một khoảng trễ ngắn được thêm vào để mọi hoạt động trông tự nhiên hơn.
Phân tích VBS (Nguồn: Seqrite Labs).
Tiếp theo, mã độc khởi chạy Bandizip.exe hợp pháp từ một thư mục ẩn. Đi kèm là tệp DLL độc hại ark.x64.dll, được sử dụng để khai thác cơ chế tìm kiếm DLL của Windows nhằm nạp mã do kẻ tấn công kiểm soát vào tiến trình đáng tin cậy.
Chuỗi lây nhiễm (Nguồn: Seqrite Labs).
DLL này được tích hợp nhiều cơ chế chống phân tích như:
Điểm đáng chú ý là gần như toàn bộ hoạt động đều diễn ra trong bộ nhớ thay vì ghi dữ liệu ra ổ đĩa, khiến việc điều tra pháp y trở nên khó khăn hơn đáng kể.
Các nhà nghiên cứu phát hiện nhiều mẫu mã độc trong chiến dịch có liên hệ với nhau thông qua việc tái sử dụng ID máy trong tệp LNK và việc dùng Bandizip như một công cụ hợp pháp để che giấu hoạt động độc hại.
Tệp LNK có phần mở rộng kép (Nguồn: Seqrite Labs).
Hệ thống máy chủ điều khiển và kiểm soát được truy vết tới địa chỉ IP 60.205.186.162 trên hạ tầng Alibaba Cloud (AS37963), cùng các tên miền như lysander[.]asia. Phân tích hạ tầng cũng cho thấy mối liên hệ với các nhà cung cấp dịch vụ Trung Quốc như HiChina và Feishu, cho thấy khả năng chiến dịch có nguồn gốc từ Trung Quốc.
Seqrite Labs đặt tên chiến dịch này là “Chiến dịch Huýt sáo Rồng” và cho rằng nhóm tin tặc UNG0002 có thể đứng sau hoạt động với độ tin cậy từ trung bình đến cao. Nhóm này được đánh giá có nhiều điểm tương đồng với chiến dịch “Huýt sáo Cobalt” từng được phát hiện trước đó.
Chiến dịch tiếp tục cho thấy xu hướng mới của các cuộc tấn công mạng hiện đại: kết hợp kỹ thuật xã hội tinh vi với cơ chế phát tán được che giấu kỹ lưỡng. Việc lạm dụng phần mềm hợp pháp, sử dụng thư mục lồng nhau và thực thi trong bộ nhớ giúp mã độc né tránh hiệu quả nhiều giải pháp bảo mật truyền thống trong khi vẫn duy trì khả năng hoạt động bí mật.
Các chuyên gia khuyến nghị các tổ chức giáo dục cần tăng cường lọc email, hạn chế thực thi tệp LNK và giám sát việc sử dụng bất thường các công cụ hợp pháp như phần mềm nén tệp để giảm nguy cơ bị tấn công.
Chiến dịch bắt đầu bằng email giả mạo đính kèm tệp ZIP có tên “常州大学2026年《国家学生体质健康标准》测试通知最终版.zip”, được ngụy trang thành thông báo chính thức từ trường đại học. Nội dung email khai thác tâm lý người nhận bằng cách nhấn mạnh rằng việc không hoàn thành bài kiểm tra thể chất có thể ảnh hưởng trực tiếp tới điều kiện tốt nghiệp. Chính yếu tố này khiến sinh viên và nhân viên nhà trường dễ dàng mở tệp mà không nghi ngờ.
Đối tượng bị nhắm tới gồm các trường đại học, cơ quan giáo dục thuộc chính phủ, bộ phận thể thao, nhân viên hành chính và sinh viên phải tham gia kỳ kiểm tra thể lực bắt buộc.
Email giả mạo và cấu trúc thư mục kiểu macOS
Cuộc tấn công được triển khai thông qua email gửi từ tài khoản 163.com, giả danh thông báo nội bộ của trường đại học. Sau khi mở tệp ZIP, nạn nhân sẽ thấy một tài liệu giả có giao diện gần giống hoàn toàn văn bản chính thức, bao gồm tên nhân viên thật, số điện thoại liên hệ và dấu xác nhận của nhà trường.Bên trong file nén chứa nhiều thành phần phục vụ cho quá trình lây nhiễm:
- Một tệp LNK giả dạng PDF đóng vai trò kích hoạt ban đầu
- Bốn lớp thư mục lồng nhau mô phỏng cấu trúc siêu dữ liệu macOS để che giấu mã độc khỏi công cụ bảo mật
- Thiết kế nhiều lớp giúp giảm nguy cơ bị phát hiện trong cả quá trình quét tự động lẫn kiểm tra thủ công
Chuỗi lây nhiễm nhiều giai đoạn để né bảo mật
Quá trình phát tán mã độc được chia thành nhiều bước nhằm tránh bị phát hiện. Đầu tiên, tệp LNK sẽ thực thi một VBScript ẩn thông qua explorer.exe. Đây là kỹ thuật “living off the land”, tận dụng các tiến trình hợp pháp có sẵn trong Windows để tránh kích hoạt cơ chế giám sát script.Sau đó, đoạn mã chromedo.vbs đảm nhiệm vai trò điều phối toàn bộ quá trình. Trong khi mở tài liệu PDF giả để đánh lạc hướng người dùng, nó đồng thời âm thầm kích hoạt mã độc. Một khoảng trễ ngắn được thêm vào để mọi hoạt động trông tự nhiên hơn.
Phân tích VBS (Nguồn: Seqrite Labs).
Tiếp theo, mã độc khởi chạy Bandizip.exe hợp pháp từ một thư mục ẩn. Đi kèm là tệp DLL độc hại ark.x64.dll, được sử dụng để khai thác cơ chế tìm kiếm DLL của Windows nhằm nạp mã do kẻ tấn công kiểm soát vào tiến trình đáng tin cậy.
Chuỗi lây nhiễm (Nguồn: Seqrite Labs).
DLL này được tích hợp nhiều cơ chế chống phân tích như:
- Kiểm tra môi trường gỡ lỗi bằng GetTickCount, IsDebuggerPresent và CheckRemoteDebuggerPresent
- Mã hóa chuỗi ký tự và chỉ giải mã trong lúc chạy bằng VirtualAlloc
- Quét tiến trình hệ thống để phát hiện Wireshark, Procmon và Fiddler
- Tự động dừng thực thi nếu phát hiện công cụ phân tích
Điểm đáng chú ý là gần như toàn bộ hoạt động đều diễn ra trong bộ nhớ thay vì ghi dữ liệu ra ổ đĩa, khiến việc điều tra pháp y trở nên khó khăn hơn đáng kể.
Các nhà nghiên cứu phát hiện nhiều mẫu mã độc trong chiến dịch có liên hệ với nhau thông qua việc tái sử dụng ID máy trong tệp LNK và việc dùng Bandizip như một công cụ hợp pháp để che giấu hoạt động độc hại.
Tệp LNK có phần mở rộng kép (Nguồn: Seqrite Labs).
Hệ thống máy chủ điều khiển và kiểm soát được truy vết tới địa chỉ IP 60.205.186.162 trên hạ tầng Alibaba Cloud (AS37963), cùng các tên miền như lysander[.]asia. Phân tích hạ tầng cũng cho thấy mối liên hệ với các nhà cung cấp dịch vụ Trung Quốc như HiChina và Feishu, cho thấy khả năng chiến dịch có nguồn gốc từ Trung Quốc.
Seqrite Labs đặt tên chiến dịch này là “Chiến dịch Huýt sáo Rồng” và cho rằng nhóm tin tặc UNG0002 có thể đứng sau hoạt động với độ tin cậy từ trung bình đến cao. Nhóm này được đánh giá có nhiều điểm tương đồng với chiến dịch “Huýt sáo Cobalt” từng được phát hiện trước đó.
Chiến dịch tiếp tục cho thấy xu hướng mới của các cuộc tấn công mạng hiện đại: kết hợp kỹ thuật xã hội tinh vi với cơ chế phát tán được che giấu kỹ lưỡng. Việc lạm dụng phần mềm hợp pháp, sử dụng thư mục lồng nhau và thực thi trong bộ nhớ giúp mã độc né tránh hiệu quả nhiều giải pháp bảo mật truyền thống trong khi vẫn duy trì khả năng hoạt động bí mật.
Các chuyên gia khuyến nghị các tổ chức giáo dục cần tăng cường lọc email, hạn chế thực thi tệp LNK và giám sát việc sử dụng bất thường các công cụ hợp pháp như phần mềm nén tệp để giảm nguy cơ bị tấn công.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
